W najnowszym wydaniu „Krajobrazu zagrożeń” łączymy śledztwo i praktykę: analizujemy konsekwencje długotrwałej kompromitacji F5 przypisywane UNC5221, wskazujemy konkretne kroki łagodzące oraz mechanikę ryzyka dla łańcucha dostaw oprogramowania. Przyglądamy się też zmianom w arsenale Lazarusa, które redefiniują ataki supply-chain i komunikację C2 oraz opisujemy GlassWorm – pierwszego samoreplikującego się robaka uderzającego w ekosystemy deweloperskie. Dodatkowo: przegląd cyberprzestępczości, oszustw i krytycznych CVE tygodnia – wszystko z praktycznymi wskazówkami dla SOC oraz CTI i priorytetami do wdrożenia jeszcze dziś.

Na skróty:

1. Temat tygodnia: F5 pod atakiem: analiza incydentu UNC5221 i rekomendacje działań.
2. Zaawansowane zagrożenia: Co nowego w Lazarusie?
3. Cybercrime: DarkConvenant – rosyjska cyberprzestępczość i aparat państwowy.
4. Oszustwa i podszycia: Jak się miewa Lumma Stealer?
5. Cyberwar: Fast pass do infrastruktury, czyli współpraca chińskich grup APT.
6. Złośliwe oprogramowanie: Glassworm – cyfrowy robak w środowisku deweloperskim.
7. CVE Tygodnia: WSUS – podatność i ataki.

Temat tygodnia

F5 pod atakiem: analiza incydentu UNC5221 i rekomendacje działań.

W połowie października 2025 roku firma F5 ogłosiła, że od ponad roku jej wewnętrzne systemy zostały skompromitowane przez wysoce zaawansowanego, państwowego aktora cybernetycznego, prawdopodobnie chiński zespół UNC5221. Incydent został wykryty 9 sierpnia 2025 roku, a atak objął głównie środowisko deweloperskie F5, w tym dostęp do kodu źródłowego produktów BIG-IP oraz informacje o wcześniej nieujawnionych lukach bezpieczeństwa. Atak ten jest szczególnie niebezpieczny ze względu na długotrwały charakter dostępu i możliwość eksfiltracji poufnych danych klientów, w tym konfiguracji systemów i szczegółów wdrożeń.

W odpowiedzi na incydent, F5 opublikowało w październiku zestaw krytycznych poprawek bezpieczeństwa, obejmujących 27 podatności wysokiego ryzyka. Najpilniejszą kwestią są CVE-2025-53868, CVE-2025-61955 oraz CVE-2025-57780. CVE-2025-53868 umożliwia atakującemu zdalnemu wykonanie poleceń SCP/SFTP i obejście restrykcji trybu Appliance w wersjach 15.x-17.x. CVE-2025-61955 i CVE-2025-57780 to luki eskalacji uprawnień w F5OS-A i F5OS-C, pozwalające uwierzytelnionemu użytkownikowi obejść ograniczenia trybu Appliance. Dodatkowo, inne podatności, takie jak CVE-2025-61958 i CVE-2025-59481, dotyczą ucieczek z sandboxa w trybie Appliance, ale wymagają już uprzywilejowanego dostępu administracyjnego.

F5 dostarczyło klientom prywatnie przewodnik do poszukiwania zagrożeń (Threat Hunting skupiony na środowisku wirtualizacyjnym) wraz z przykładowym skryptem Python, który umożliwia wykrywanie obecności malware BRICKSTORM w środowiskach vSphere. Malware ten był wcześniej wykorzystywany w atakach grupy UNC5221, m.in. w 2024 roku w atakach zero-day na systemy Ivanti. Techniki obserwowane w sieciach zaatakowanych tym malware obejmują klonowanie maszyn wirtualnych w vCenter (tzw. VirtualGHOST), tworzenie i usuwanie kont lokalnych w vCenter/ESXi, wykrywanie backdoorów w systemie plików vCenter oraz nietypowy ruch sieciowy na portach 9999 i 10022.

Pomimo, że obecnie nie ma dowodów na wykorzystanie nieujawnionych podatności przez UNC5221 w tym incydencie, kradzież kodu źródłowego oraz dostęp do poufnych informacji o lukach w zabezpieczeniach stwarza wysokie ryzyko dalszych ataków. W związku z tym eksperci oceniają poziom zagrożenia jako wysoki, zalecając pilne wdrożenie poprawek październikowych oraz rotację certyfikatów i kluczy podpisujących produkty BIG-IP, BIG-IQ i F5OS. Dla klientów, których dane mogły zostać skompromitowane, F5 rozpoczęło kontakt indywidualny. Dotyczy to głównie danych pochodzących z przypadków wsparcia technicznego, które były przechowywane w skompromitowanym środowisku deweloperskim.

Atak ten uderza w sedno ryzyka związanego z kompromitacją dostawcy – konsekwencje dla klientów mogą być poważne nawet wtedy, gdy ich urządzenia nie zostały bezpośrednio naruszone. Gdy przez ponad rok atakujący miał wgląd w proces wytwarzania oprogramowania dla appliance BIG‑IP, nawet pozornie drobne zmiany w kodzie mogą stać się ukrytą furtką umożliwiającą dostęp do sieci organizacji. Fakt, że urządzenia te działają na krawędzi sieci (między światem publicznym a infrastrukturą wewnętrzną), sprawia, że są wyjątkowo atrakcyjnym celem – modyfikacja jednego komponentu może otworzyć drogę do eskalacji, persistent presence i późniejszej eksfiltracji danych.

Dla zespołów SOC i CTI priorytetem musi być połączenie błyskawicznej reakcji z dokładną retrospektywną analizą: natychmiastowa aktualizacja i rotacja kluczy, intensywne polowanie na ślady klonowania VM, nieautoryzowanych kont i nieznanych binariów, oraz korelacja nietypowego ruchy wychodzącego i sesji SSH z telemetrią stacji końcowych oraz sieci. W praktyce oznacza to uruchomienie przyspieszonego procesu Threat Huntingu w środowiskach wirtualizacji, wzbogacenie reguł detekcji o behawioralne wzorce oraz weryfikację wyników skanerów manualnym śledztwem. Tylko takie, skoordynowane działanie – szybkie, ale jednocześnie systematyczne – da szansę na wykrycie ukrytej obecności, usunięcie backdoorów i znaczące ograniczenie możliwości wykorzystania wykradzionych informacji w kolejnych operacjach przeciwnika.

Więcej informacji:

https://my.f5.com/manage/s/article/K000154696
https://my.f5.com/manage/s/article/K000156572
https://www.ncsc.gov.uk/news/confirmed-compromise-f5-network

Wybrane zagrożenia tygodnia

Zaawansowane zagrożenia

Co nowego w Lazarusie?

Lazarus, szeroko znany również pod nazwami HIDDEN COBRA, APT38, Guardians of Peace, Labyrinth Chollima czy BlueNoroff, to północnokoreańska grupa APT prowadząca od ponad 15 lat operacje na styku cyberwywiadu, sabotażu i finansowania reżimu KRLD. Pierwsze głośne działania przypisywane tej grupie – atak na Sony Pictures z 2014 roku – ujawniły agresywne podejście aktora. Od tego czasu Lazarus przeszedł ewolucję taktyczną, integrując techniki supply-chain, blockchainowe kanały C2 i trojanizację popularnych narzędzi open-source.

Najbardziej widoczną zmianą jest masowe przejście w stronę ataków supply-chain oraz zdecentralizowanej infrastruktury C2. W kampanii Contagious Interview, aktywnej od 2022 roku, Lazarus podszywa się pod rekruterów i oferuje fałszywe projekty IT, które zawierają złośliwe paczki npm lub PyPI. W 2025 roku badacze odnotowali ponad 338 trojanizowanych pakietów, które zebrały dziesiątki tysięcy pobrań. Te biblioteki dystrybuowały m.in. BeaverTail i OtterCookie – wysoce obfuskowane infostealery działające w JavaScript, komunikujące się z C2 poprzez WebSocket. Nowsze wersje OtterCookie zostały wzbogacone o moduły keyloggera i zrzutu ekranu, wskazując na konwergencję z innymi rodzinami Lazarusa.

Kolejnym innowacyjnym elementem jest EtherHiding – technika, w której blockchain (Ethereum, Solana) wykorzystywany jest jako nośnik dla zaszyfrowanych payloadów. Dzięki użyciu publicznych wywołań JSON-RPC (np. eth_getStorageAt) operatorzy Lazarusa uzyskują dostęp do pierwszych etapów malware w sposób niemożliwy do wyłączenia, trwały i niewidoczny w klasycznym ruchu sieciowym. To rzadkość wśród grup APT i przykład agresywnej innowacji.

Arsenał grupy wzbogacił się również o nowe implanty i loadery:

• PyLangGhost – lekki loader w Pythonie uruchamiany przez łańcuch curl–zip–wscript, pozwalający na trwałe przejęcie systemu.
• BinMergeLoader – stosowany w kampaniach wymierzonych w sektor UAV, działający w pamięci i komunikujący się przez Microsoft Graph API.
• HexEval i XORIndex – nowe loadery dystrybuowane w paczkach npm, które dynamicznie pobierają BeaverTail, zamiast zawierać go w kodzie. W połowie 2025 roku odnotowano tysiące pobrań bibliotek zawierających te mechanizmy.
• WeaselStore, Tropidoor i AkdoorTea – świeże backdoory i infostealery opisane przez ESET i Mandiant, wskazujące na szybkie tempo rozwoju warsztatu Lazarusa.

Ważnym wektorem działań stała się także infiltracja środowisk deweloperskich poprzez fałszywych kontraktorów IT. Podszywając się pod specjalistów AI i open-source, Lazarus oferował kod z backdoorami, umożliwiający nie tylko eksfiltrację danych, ale też długotrwałe utrzymanie dostępu do strategicznych repozytoriów.

Lazarus nie tylko utrzymuje swoją aktywność, ale wręcz redefiniuje sposób prowadzenia operacji APT. Zamiast pojedynczych implantów i spearphishingów obserwujemy dziś całe ekosystemy: trojanizowane open-source, blockchainowe kanały C2, fałszywych IT-workerów i rebrandowane malware. Całościowo, arsenał Lazarusa wyróżnia się dużą dynamiką i zdolnością adaptacji do zmieniających się warunków operacyjnych. Grupa konsekwentnie stosuje rebranding własnych narzędzi – przykładem jest transformacja VSingle w YamaBot czy ewolucja DTrack w kolejne, coraz bardziej zaawansowane warianty – co pozwala jej utrudniać śledzenie i korelację kampanii. Jednocześnie Lazarus szeroko wykorzystuje usługi i protokoły określane jako „living-off-the-web”, takie jak Microsoft Graph API, wtyczki WordPress czy mechanizmy blockchain RPC, dzięki czemu może ukrywać swoją aktywność w legalnym ruchu sieciowym i minimalizować ryzyko wykrycia. Istotnym elementem taktyki stały się także masowe ataki supply-chain, obejmujące złośliwe paczki npm, PyPI czy trojanizowane projekty open-source, które otwierają drogę do kompromitacji środowisk deweloperskich i dystrybucji malware na dużą skalę. W zakresie komunikacji C2 Lazarus wykorzystuje proxy i wielopoziomowe trasy połączeń, opierając się na routerach SOHO, serwerach VPS oraz węzłach blockchain, co dodatkowo komplikuje atrybucję i utrudnia blokowanie infrastruktury. Całość dopełnia łączenie celów finansowych i wywiadowczych w ramach tych samych operacji, co sprawia, że działania grupy są jednocześnie źródłem dochodu dla reżimu północnokoreańskiego oraz narzędziem do pozyskiwania strategicznych informacji wojskowych i technologicznych.

Dla zachowania bezpieczeństwa kluczowe jest dostosowanie detekcji do tych zmian: monitorowanie anomalii w procesach deweloperskich (np. postinstall scripts w npm), analiza ruchu JSON-RPC z endpointów, wykrywanie nadużyć Graph API oraz weryfikacja kontraktorów i kodu open-source. Brak adaptacji w tym obszarze oznacza ryzyko kompromitacji nawet przy braku klasycznych wektorów ataku.

Więcej informacji:

https://socket.dev/blog/north-korea-contagious-interview-campaign-338-malicious-npm-packages
https://www.virusbulletin.com/uploads/pdf/conference/vb2025/papers/DeceptiveDevelopment-and-North-Korean-IT-workers-from-primitive-crypto-theft-to-sophisticated-AI-based-deception.pdf
https://cloud.google.com/blog/topics/threat-intelligence/dprk-adopts-etherhiding
https://www.welivesecurity.com/en/eset-research/gotta-fly-lazarus-targets-uav-sector/

Cybercrime

DarkConvenant – rosyjska cyberprzestępczość i aparat państwowy.

Koncepcja „Dark Covenant” została po raz pierwszy opisana w 2021 roku przez Recorded Future i odnosiła się do sieci relacji łączących rosyjskie podziemie cyberprzestępcze z aparatem państwowym – od bezpośrednich powiązań z wywiadem, przez pośrednie afiliacje, po milczące przyzwolenie. Druga edycja raportu (2023) pokazała, że po inwazji na Ukrainę wiele grup otwarcie deklarowało lojalność wobec Kremla, inne się rozpadały, a cyberprzestępcy zaczęli pełnić rolę „haktywistycznych” pomocników w operacjach informacyjnych.

W obu przypadkach sednem był pragmatyczny układ: państwo rekrutuje talenty, gdy są potrzebne, przymyka oko, gdy działalność wspiera jego interesy, a egzekwuje prawo tylko wtedy, gdy aktywność staje się politycznie kosztowna.

W maju 2024 Europol i partnerzy ogłosili start Operacji Endgame, wymierzonej w ransomware i sieci botnetów dystrybuujących złośliwe oprogramowanie. Akcję podzielono na dwie fazy (2024 i 2025), a jej celem były m.in. IcedID, Pikabot, Bumblebee, Trickbot, Qakbot, Emotet, a także usługi prania pieniędzy takie jak Cryptex, PM2BTC, UAPS. W działaniach zastosowano nie tylko przejęcia infrastruktury, ale też kampanię psychologiczną – publikując wideo z ostrzeżeniami dla operatorów i afiliantów. W odpowiedzi Rosja zaczęła prowadzić politykę, którą badacze określają mianem „kontrolowanej bezkarności”. Oznacza to, że władze stosują selektywną egzekucję prawa – dokonują pokazowych aresztowań i konfiskat, ale jednocześnie chronią te grupy i osoby, które są dla nich strategicznie użyteczne, na przykład zapewniają dane wywiadowcze lub mogą być wykorzystane jako instrument nacisku na Zachód.

Przykładem tej selektywności były działania wobec usług Cryptex i UAPS – rosyjskich giełd kryptowalutowych obsługujących pranie pieniędzy z działalności ransomware. We wrześniu 2024 roku zatrzymano ponad sto osób powiązanych z tymi platformami, a w mediach państwowych szeroko relacjonowano zdjęcia skonfiskowanej gotówki i luksusowych dóbr. Tymczasem wobec członków grup Conti czy Trickbot, którzy od dawna pozostają w orbicie zainteresowania międzynarodowych organów ścigania, działania rosyjskich władz były symboliczne i ograniczały się do krótkich zatrzymań czy postępowań bez realnych wyroków. To wyraźnie pokazuje asymetrię – warstwy monetyzacji i infrastruktury można poświęcić, ale rdzeń grup powiązanych z rosyjskimi służbami bezpieczeństwa jest nietykalny.
Konsekwencje dla rosyjskiego podziemia są daleko idące. Zaufanie wewnętrzne ulega erozji, a afilianci coraz częściej skarżą się na brak wypłat, oszustwa i manipulacje ze strony operatorów. W efekcie tradycyjne mechanizmy budowania reputacji, takie jak vouching na forach, tracą znaczenie. Zamiast tego pojawiły się bardziej sformalizowane mechanizmy selekcji. Coraz większe znaczenie zyskują prywatni brokerzy, escrow services oraz invite managerowie. To oni decydują, kto może dołączyć do danej grupy, weryfikują nowych uczestników, a także przechowują depozyty, które pełnią rolę zabezpieczenia przed oszustwem. W praktyce oznacza to, że dostęp do rynku staje się coraz bardziej selekcjonowany i zamknięty. Afilianci muszą wykazać się aktywnością, a brak działań przez kilka dni czy tygodni skutkuje usunięciem z programu. Zaufanie oparte na słowie i reputacji zostało zastąpione finansowym „dowodem życia”.

Ta ewolucja przekłada się także na techniczną stronę działania podziemia. Publiczne fora, takie jak Exploit czy XSS, oraz ogólnodostępne kanały Telegramu tracą znaczenie jako miejsca otwartej rekrutacji i handlu. Zamiast tego obserwujemy migrację do bardziej prywatnych i zdecentralizowanych platform – Session, Jabber/XMPP, Tox, a także zamkniętych serwerów Discord czy prywatnych grup Telegram z selektywnymi zaproszeniami. To zjawisko zwiększa koszty wejścia i utrudnia infiltrację, ale jednocześnie fragmentuje ekosystem, utrudniając jego uczestnikom wzajemne zaufanie i współpracę.

Kolejnym ważnym zjawiskiem jest rebranding. W przeszłości grupy przestępcze budowały swoją markę, by zyskać rozpoznawalność i prestiż wśród ofiar oraz społeczności podziemnej. Dziś rebranding staje się narzędziem przetrwania. Grupa Royal po uderzeniu w jej infrastrukturę zmieniła nazwę na BlackSuit, a później na Chaos. Podobnie dzieje się z usługami hostingowymi – dostawcy tacy jak Aeza, Stark Industries czy inni tworzą struktury dualne, przenosząc część infrastruktury za granicę (np. do Serbii), ale pozostawiając finanse i ochronę w Rosji. Zmiany nazw i struktur mają utrudnić analitykom śledzenie ciągłości działań, rozmyć odpowiedzialność i zmniejszyć presję.

Dla operatorów ransomware transformacja oznacza także potrzebę ciągłego dostosowywania modeli biznesowych. Klasyczne kampanie ransomware uzupełniane są o techniki triple extortion – groźby DDoS, telefony do ofiar, kampanie medialne. Grupy oferują także dodatkowe usługi, jak „call lawyer”, czyli pakiet obsługi prawnej i PR, mający zwiększyć presję na ofiary poprzez groźby procesów i nagłośnienia sprawy w mediach. Inne programy afiliacyjne zaczynają przypominać modele inwestycyjne, w których afilianci muszą wnosić „kapitał ryzyka”, a ich wynagrodzenie zależy od wartości ofiar, które wprowadzają do programu.
Te zmiany zachodzą równolegle do reakcji Zachodu, która również jest coraz bardziej zdecydowana. W Stanach Zjednoczonych wprowadzono rozporządzenia ograniczające możliwość płacenia okupów i nakładające obowiązek raportowania incydentów. Australia zobowiązuje firmy do zgłaszania okupów w ciągu 72 godzin. Wielka Brytania konsultuje całkowity zakaz płacenia okupów w sektorze publicznym. Japonia poszła o krok dalej i przyjęła ustawę o aktywnej cyberobronie, pozwalającą na ofensywne operacje wymierzone w serwery przeciwników jeszcze przed rozpoczęciem ataków. Takie działania oznaczają, że ekosystem ransomware musi działać pod rosnącą presją – zarówno wewnętrzną, jak i zewnętrzną.

Rosja, z jednej strony poddawana jest coraz większym naciskom dyplomatycznym i prawnym, a z drugiej stara się zachować strategiczną wartość swojego podziemia. W praktyce oznacza to, że ekosystem cyberprzestępczy przestaje być jednolitym „bezpiecznym rajem” i staje się zarządzanym rynkiem, gdzie interes państwa, a nie prawo, decyduje o tym, kto zostaje objęty ochroną, a kto zostaje poświęcony.

Podsumowując, rosyjska cyberprzestępczość w latach 2024–2025 weszła w nową fazę. Operacja Endgame naruszyła fundamenty ekosystemu, ale nie doprowadziła do jego upadku. Zamiast tego wymusiła adaptację: fragmentację, rebranding, migrację do zamkniętych kanałów, wprowadzenie depozytów i nowych modeli biznesowych. Erozja zaufania i proliferacja fałszywych grup zmieniają dynamikę, ale nie hamują aktywności. Rdzeń operatorów powiązanych z państwem pozostaje chroniony, a ich działalność nadal stanowi narzędzie w politycznym arsenale Kremla.

Dla zespołów bezpieczeństwa oznacza to konieczność zmiany podejścia. Sama walka z poszczególnymi grupami czy wariantami ransomware nie przynosi trwałych efektów. Kluczem jest uderzanie w mechanizmy ochrony i ekonomii, które pozwalają tym grupom przetrwać: w usługi prania pieniędzy, dostawców infrastruktury, pośredników finansowych i polityczne kanały ochrony. Tylko poprzez podniesienie kosztu ochrony i zmniejszanie wartości strategicznej cyberprzestępców możliwe jest realne ograniczenie zagrożenia. W przeciwnym razie rosyjski podziemny rynek będzie się dalej adaptował, pozostając źródłem globalnego zagrożenia.

Więcej informacji:

https://www.recordedfuture.com/research/dark-covenant-3-controlled-impunity-and-russias-cybercriminals

Oszustwa i podszycia

Jak się miewa Lumma Stealer?

Analitycy nie spuszczają z oczu złośliwego oprogramowania i jego twórców, nawet jeżeli służby lub sami przestępcy zapewniają o zakłóceniu działalności, a nawet jej zakończeniu. Aktualizacje Lumma Stealera są nadal monitorowane w celu dostosowania zabezpieczeń do zmian w zachowaniu tego malware, a aktywność twórców oraz powiązanych środowisk wciąż jest istotnym wątkiem mogącym wyjaśnić fluktuacje w częstotliwości pojawiania się go w atakach.

W ostatnim czasie zauważyliśmy stopniowy spadek liczby nowych próbek Lumma Stealera widocznych w atakach i podobnymi obserwacjami podzieliła się firma TrendMicro. Opisali jak doxxing operatorów, czyli ujawnienie tożsamości, danych osobowych i przy okazji wielu innych informacji na ich temat, mógł wpłynąć znacząco na osłabienie pozycji tego malware na rynku Malware-as-a-Service. W tym przypadku doxxing odbywał się już od sierpnia za pośrednictwem strony „Lumma Rats”, gdzie w ramach akcji organizowanej prawdopodobnie przez przestępczą konkurencję, pojawiały się regularnie informacje na temat osób powiązanych z Lummą. Były to między innymi osoby odpowiedzialne za administrację i zarządzanie działalnością, deweloperzy zajmujący się stroną techniczną, w tym rozwojem crypterów i obfuskacją oraz zidentyfikowani członkowie grupy, których role nie są znane. Poza danymi osobowymi pojawiały się tam także hasła dostępowe i profile w mediach społecznościowych pięciu operatorów. We wrześniu operatorzy Lumma Stealera poinformowali na forum przestępczym o przejęciu ich kont na Telegramie oraz przestrzegali przed kontaktem z aktualnymi właścicielami nazwy.

TrendMicro od początku września obserwuje mniej stacji zainfekowanych tym stealerem oraz spadek potwierdzonej liczby nowych adresów Command & Control. Jednak rynek nie znosi próżni, proporcjonalne wzrosty zanotowały inne stealery – StealC oraz Vidar. Według analizy CheckPoint jedna z kampanii, opierająca się na publikowaniu filmów „instruktażowych” na YouTube demonstrujących instrukcje instalacji hacków, modów lub cracków do gier wraz z linkiem do pobrania plików (w rzeczywistości złośliwych) trwa już co najmniej dwa lata i jej skala nie maleje. Wcześniej regularnie wykorzystywał Lumma Stealera (co opisywaliśmy na łamach naszego bloga), ale obecnie wykonanie instrukcji atakujących skutkuje infekcją malware Rhadamanthys. Co ciekawe Amadey, botnet z funkcjami loadera działający w modelu pay-per-install, zanotował spadki w statystykach firmy TrendMicro, ponieważ jednym z częściej instalowanych dodatkowych payloadów była właśnie Lumma.
W przypadku dalszych problemów operatorów Lumma Stealera spodziewamy się częstszego wykorzystania w atakach usług ich konkurencji, ponieważ stealery w modelu MaaS to lukratywny przestępczy biznes wiążący się z dużym ryzykiem dla twórców oraz afiliantów, ale także wysokimi zyskami. Jak można zauważyć, nie tylko akcje służb mogę prowadzić do osłabienia kluczowych operatorów malware, ale także działania konkurencji mogą być bezpośrednim powodem utraty klientów oraz zakłócenia działalności. Nie zaprzestajemy obserwacji stałych kampanii niezależnie od złośliwego oprogramowania wykorzystywanego przez atakujących, ale bacznie obserwujemy zmiany w rozwiązaniach Malware-as-a-Service, by rozumieć z jakimi zagrożeniami możemy się mierzyć. Jest to szczególnie ważne w okresach takich zmian jak osłabienie jednego z dostawców, ponieważ nie można wykluczyć także pojawienia sie nowych grup działających w modelu MaaS.

Przypominamy, że wiele infekcji stealerami odbywa się przez pobieranie oraz instalację narzędzi, oprogramowania, gier lub „cracków” z nieoficjalnych źródeł lub scenariusze FakeCaptcha/ClickFix o czym pisaliśmy już wielokrotnie na łamach naszego Krajobrazu. Niezależnie od aktualnych wiodących rozwiązań MaaS, warto pozostać ostrożnym, nie wykonywać komend, których działania nie rozumiemy i pobierać oprogramowanie jedynie z zaufanych źródeł.

Więcej informacji:

https://www.trendmicro.com/pl_pl/research/25/j/the-impact-of-water-kurita-lumma-stealer-doxxing.html
https://open.substack.com/pub/intelinsights/p/mapping-latest-lumma-infrastructure
https://research.checkpoint.com/2025/youtube-ghost-network/

Cyberwar

Fast pass do infrastruktury, czyli współpraca chińskich grup APT.

Analitycy TrendMicro przedstawili zaawansowane formy współpracy między chińskimi grupami APT, a szczególnie Earth Estries i Earth Naga. Celami grup jest krytyczna infrastruktura, a szczególnie sektory rządowy i telekomunikacyjny. Nie ograniczają się do jednego kraju czy kontynentu, ale w ostatnim czasie wybierali cele w regionie Azja-Pacyfik i widać ich wyraźne zainteresowanie Tajwanem. Nie zabrakło także ataku na kraj NATO. Opisywany Premier Pass-as-a-Service przedstawia model działania, w którym Earth Estries jest brokerem dostępu dla Earth Naga, która kontynuuje działania w infrastukturze. Opisywana działalność została opisana na podstawie tegorocznych ataków na rząd w Azji Południowo-Wschodniej, w której udział pierwszej grupy wykracza poza przekazania danych dostępowych i przypomina bardziej oddanie kontroli nad przejętym środowiskiem.

Przytoczony atak rozpoczynał się od wykorzystania podatności w wewnętrznym serwerze webowym i instalacji backdoora CrowDoor. Następnie złośliwe oprogramowanie ShadowPad było dystrybuowane za pośrednictwem Cobalt Strike i wykorzystywano poświadczenia użytkowników do przekazywania plików poprzez SMB. W atakach wykorzystywano także Draculoader (shellcode loader), który ładował ostateczny payload (CrowDoor, HEMIGATE lub beacon Cobalt Strike). W dalszej części ataku, na etapie, który można określić mianem post-exploitation, atakujący wykorzystywali AnyDesk, EarthWorm (tunel SOCK5), Blindsight (ogólnodostępne narzędzie umożliwiające dump pamięci LSASS) i personalizowane narzędzie realizujące z dużą dozą prawdopodobieństwa podobne funkcje.

W świecie cyberzagrożeń każdy tydzień przynosi nowe interesujące techniki ataków, przed którymi należy nauczyć się bronić, ale także przypomnienia o tych dobrze znanych, których nie należy bagatelizować. Tym razem przyjrzeliśmy się procesowi tworzenia kampanii i rozwijania arsenału przez atakujących, zarówno w zakresie budowania wielkiego botnetu oraz korzystania z gotowych modułowych phishing-kitów. Nie zabrakło również nowego złośliwego oprogramowania oraz wykorzystania narzędzi bezpieczeństwa w złych celach. DDoSy, chmurowe incydenty i kradzież wypłat pracowników, to tylko niektóre z tematów, które postanowiliśmy poruszyć w naszym aktualnym Krajobrazie Zagrożeń, co jeszcze działo się w minionym tygodniu?

Na skróty:

1. Temat tygodnia: Incydent SonicWall – gdy kopie zapasowe stają się celem ataku.
2. Zaawansowane zagrożenia: Payroll pirate, czyli kradzież wypłat pracowników uczelni wyższych.
3. Cybercrime: Velociraptor w służbie ransomware: lekcja o cienkiej granicy między obroną a ofensywą.
4. Telco: Skąd się biorą DDoSy o mocy 30 Tbps?
5. Oszustwa i podszycia: IUAM ClickFix Generator, czyli automatyzacja kampanii ClickFix.
6. Złośliwe oprogramowanie: ClayRat – gliniany spyware na solidnych podstawach.
7. CVE Tygodnia: Redishell – podatnośc w Redis.

Temat tygodnia

Incydent SonicWall – gdy kopie zapasowe stają się celem ataku.

We wrześniu 2025 roku firma SonicWall ogłosiła poważny incydent bezpieczeństwa dotyczący usługi MySonicWall Cloud Backup – odkryto nieautoryzowaną aktywność w środowisku chmurowym, w którym przechowywano kopie zapasowe konfiguracji urządzeń klientów. Początkowo wskazywano, że zagrożony został tylko niewielki wycinek środowiska – mniej niż 5 % plików backupowych – oraz podkreślano, że dane uwierzytelniające użytkowników i klucze licencyjne nie zostały naruszone w sposób jawny (choć część plików konfiguracji mogła zostać pobrana). W kolejnych dniach SonicWall regularnie uaktualniał swoje komunikaty, przekazując nowe ustalenia oraz narzędzia wspierające klientów w ocenie ryzyka i remediacji.

Do chwili zakończenia dochodzenia firma SonicWall współpracowała z Mandiant – zespołem ds. reagowania na incydenty bezpieczeństwa (IR) działającym w ramach Google Cloud. W październiku 2025 ogłoszono wyniki tej wspólnej analizy, które diametralnie zmieniają pierwotny obraz zdarzenia. Według ustaleń Mandiant, atakujący uzyskali dostęp do środowiska kopii zapasowych i byli w stanie pobrać pliki .EXP (pełne zrzuty konfiguracji urządzeń) dla wszystkich klientów korzystających z usługi MySonicWall Cloud Backup, a to oznacza, że zakres incydentu objął 100 % backupów konfiguracyjnych usług w chmurze, a nie tylko wybraną ich część, jak sugerowano na początku.

Mandiant ustalił, że chociaż same dane uwierzytelniające i hasła oraz tokeny konfiguracyjne znajdujące się w backupach były szyfrowane (w urządzeniach Gen 7 i nowszych przy użyciu AES-256, a w Gen 6 z użyciem 3DES), dostępność zaszyfrowanych plików umożliwia napastnikom prowadzenie działań rekonesansowych i planowanie precyzyjnych ataków. Szczególnie groźne jest to, że część danych konfiguracyjnych (np. struktura reguł, ustawienia NAT, VPN, polityki dostępu) nie była w pełni szyfrowana – były zakodowane (np. za pomocą Base64 lub innych metod kodowania), co ułatwia ich analizę.

Końcowy raport wskazuje, że atakujący mogli wykorzystać podatności w API usługi backupu lub mechanizmy uwierzytelnienia, w szczególności poprzez ataki siłowe (brute force) na interfejs backupu w chmurze, co umożliwiło im pobranie plików – a następnie analiza i rekonstrukcja topologii sieci, polityk bezpieczeństwa czy ustawień VPN. SonicWall, w komunikacie po zakończeniu dochodzenia, potwierdził, że wszystkie urządzenia, które korzystały z backupów w chmurze, zostały uwzględnione w “finalnej liście urządzeń objętych incydentem”, publikowanej w portalu MySonicWall.

W reakcji na wnioski Mandiant, SonicWall wdrożył dodatkowe środki zabezpieczeń dla swojej infrastruktury chmurowej oraz wzbogacił monitoring i mechanizmy wykrywania anomalnej aktywności w środowisku backupowym. Firma współpracuje nadal z Mandiant celem przeprowadzenia testów red-teamingowych i symulacji ataków na zmodernizowaną infrastrukturę, by zweryfikować odporność systemu.

Z technicznego punktu widzenia incydent ten uwidacznia jeden z kluczowych problemów współczesnego modelu bezpieczeństwa – zaufanie do chmury jako miejsca składowania danych wrażliwych. Backupy konfiguracyjne, które z założenia mają służyć odtwarzaniu działania infrastruktury po awarii, w sytuacji wycieku stają się gotową mapą sieci organizacji. Zawarte w nich informacje o adresach IP, regułach routingu, strefach bezpieczeństwa czy integracjach z systemami zewnętrznymi pozwalają cyberprzestępcom lepiej zrozumieć architekturę celu i planować dalsze ataki. W tym sensie incydent SonicWall pokazuje, że utrata kopii zapasowej jest równie groźna jak utrata danych produkcyjnych.

Ryzyko związane z przechowywaniem backupów w chmurze ma charakter zarówno techniczny, jak i proceduralny. Po stronie technicznej istotne jest właściwe szyfrowanie kopii oraz segmentacja środowisk – tak, by potencjalne przełamanie zabezpieczeń jednego komponentu nie dawał możliwości dostępu do całego ekosystemu. Jednak w praktyce często to właśnie środowiska backupowe są słabiej chronione, bo postrzega się je jako pasywne i mało atrakcyjne cele. Tymczasem stanowią one repozytorium pełnej wiedzy o konfiguracji, procesach i danych organizacji. Po stronie proceduralnej kluczowym błędem bywa także nadmierne zaufanie do dostawcy chmurowego – w myśl założenia, że skoro usługa jest zarządzana, to odpowiedzialność za bezpieczeństwo spoczywa wyłącznie po stronie operatora. Incydent SonicWall pokazał, że model współodpowiedzialności w chmurze jest realny: to użytkownik powinien dbać o kontrolę nad tym, co i w jakiej formie trafia do chmury, oraz czy dane są szyfrowane jeszcze przed wysyłką.

Analiza tego przypadku wskazuje, że bezpieczeństwo backupów powinno być traktowane na równi z ochroną danych operacyjnych. Organizacje powinny nie tylko szyfrować swoje kopie zapasowe, lecz także regularnie testować mechanizmy ich przywracania i przeglądać konfiguracje systemów, by minimalizować ilość informacji potencjalnie dostępnych w razie wycieku. W kontekście incydentu SonicWall można uznać, że głównym zagrożeniem nie była sama utrata dostępności, lecz ujawnienie wiedzy o wewnętrznych strukturach sieciowych klientów.

Sprawa ta stanowi ważny sygnał ostrzegawczy dla całej branży bezpieczeństwa IT. W świecie, w którym coraz więcej danych – w tym kopii zapasowych – trafia do chmury, tradycyjne rozumienie bezpieczeństwa infrastruktury musi ewoluować. Backup przestaje być tylko kopią bezpieczeństwa – staje się potencjalnym wektorem ataku, który może posłużyć do precyzyjnego planowania działań ofensywnych. Incydent SonicWall przypomina, że w erze chmury każda warstwa zabezpieczeń, łącznie z warstwą kopii zapasowych, musi być traktowana jako element krytyczny całego łańcucha bezpieczeństwa.

Więcej informacji:
https://www.sonicwall.com/support/knowledge-base/mysonicwall-cloud-backup-file-incident/250915160910330
https://kapitanhack.pl/backup-czy-luka-jak-atak-na-kopie-zapasowe-sonicwall-otworzyl-drzwi-cyberprzestepcom/

Wybrane zagrożenia tygodnia

Zaawansowane zagrożenia

Payroll Pirate, czyli kradzież wypłat pracowników uczelni wyższych.

Zespół Microsoft Threat Intelligence opisał ataki nazywane „payroll pirate”, które mają na celu wyłudzenie poświadczeń pracowników i dzięki uzyskanym dostępom przekierowanie wypłat na konta kontrolowane przez atakujących. Celami motywowanego finansowo threat actora śledzonego przez Microsoft jako Storm-2657 są organizacje w Stanach Zjednoczonych, szczególnie pracownicy uczelni wyższych. Najcenniejszy dla atakujących jest dostęp do kadrowych platform SaaS takich jak Workday, lecz analitycy wskazują, że podobne ataki mogłyby zostać wykorzystane do przejęcia profili z dostępem do danych związanych z płatnościami i kontami bankowymi na innych platformach. Kluczowe dla atakujących było pozyskanie dostępu umożliwiającego szybkie spieniężenie ataku – nie interesowała ich kradzież danych wewnętrznych lub dostępowych.

Kampania polegała na wysyłce maili phishingowych stworzonych tak, by wyłudzać także kody MFA za pomocą metodą AITM (adversary-in-the-middle) i uzyskać dostęp do Exchange Online. Dostęp pozwalał im na stworzenie odpowiednich reguł pocztowych usuwających powiadomienia z ostrzeżeniami o zmianach na profilu Workday. Po logowaniu za pośrednictwem SSO do Workday atakujący zmieniali dane konta bankowego, na które miała być wysyłana wypłata pracownika na takie, znajdujące się pod ich kontrolą. W celu zachowania trwałego dostępu do kont, Storm-2657 podmieniało numery telefonów służące do obsługi MFA na swoje.

Rys. Łańcuch ataku ”payroll pirate”. Źródło: Microsoft.

Scenariusze mające działać jako „przynęta” i zachęcać do kliknięcia w odnośnik w mailu, to między innymi raporty z zachorowań na COVID lub inną chorobę zakaźną pozwalające sprawdzić, czy miało się kontakt z chorym, powiadomienia o złamaniu zasad uczelni oraz dokumenty do przeglądu pochodzące z któregoś z uczelnianych pionów (na przykład kadrowego). Na podstawie motywów przewodnich phishingu można zauważyć, że wyraźnym celem atakujących było szkolnictwo wyższe. Może to wynikać z mniej restrykcyjnego lub niewdrożonego filtrowania poczty, braku wymogu korzystania z 2FA dla wszystkich kont oraz przyzwyczajenia pracowników do korzystania z usług chmurowych (takich jak wykorzystywane także w tym ataku Google Docs) do otwierania współdzielonych dokumentów.

Uchronienie się przed atakami payroll pirate wymaga przede wszystkim implementacji wieloskładnikowego uwierzytelniania odpornego na phishing. Jeżeli opieramy MFA na kodach przepisywanych z urządzenia mobilnego lub akceptacji logowania w aplikacji, należy liczyć się z tym, że wprawny atakujący wyłudzi także ten czynnik. Tokeny fizyczne, które nie zadziałają na stronie fałszywej i wymagają podłączenia ich do urządzenia, na którym odbywa się logowanie są znacznie pewniejszym rozwiązaniem gwarantującym zabezpieczenie akurat przed atakami socjotechnicznymi. Jeżeli podobny atak już miał miejsce w naszym środowisku, konieczny jest reset haseł dotkniętych atakiem użytkowników, ponowna rejestracja urządzeń służących do MFA (i usunięcie poprzednich) oraz cofnięcie zmian przeprowadzonych przez atakujących, w tym usunięcie reguł pocztowych i poprawienie danych w systemach kadrowych.

Więcej informacji:
https://www.microsoft.com/en-us/security/blog/2025/10/09/investigating-targeted-payroll-pirate-attacks-affecting-us-universities/

Telco

Skąd się biorą DDoSy o mocy 30 Tbps?

Według analiz botnet Aisuru nieustannie zwiększa swoje możliwości realizacji rekordowych wolumetrycznie ataków DDoS. Przejęte urządzenia IoT są głównym źródłem mocy botnetu – konsumenckie routery, kamery monitoringu, rejestratory i inne urządzenia z nieaktualnym oprogramowaniem oraz niezmienionymi domyślnymi ustawieniami fabrycznymi. Właściciele Aisuru skanują sieć w poszukiwaniu podatnych urządzeń i przejmują je na cele późniejszego wykorzystania w atakach DDoS.
W maju 2025 strona KrebsOnSecurity została zaatakowana przez Aisuru poważnym DDoSem o mocy 6.35 Tbps bliskiej ówczesnemu rekordowi, ale już kilka dni później atakujący pochwalili się możliwością wygenerowania 11 Tbps ruchu. Pod koniec września były to już 22 Tbps, a 6 października miał miejsce pokaz umiejętności, który choć trwał tylko kilka sekund i nie był atakiem, pobił rekord wartością wynoszącą 29,6 Tbps. W ostatnim czasie celami ataków z wykorzystaniem botnetu Aisuru byli dostawcy hostujący popularne gry, jak chociażby Minecraft, ale ataki miały zauważalny wpływ wykraczający poza świat gier online. Rozwiązanie anty-DDoS TCPShield, chroniące ponad 50 tysięcy serwerów Minecraft nie udźwignęło ataku DDoS, który sprowadził na infrastrukturę ponad 15 terabitów szkodliwego ruchu i spowodował chwilową niedostępność 28 września. Australijski ISP Global Secure Layer przejął pełną ochronę nad TCPShield po tym, jak OVH zrezygnowało ze świadczenia im usług w związku z utrzymującymi się kilka tygodni zakłóceniami normalnej działalności firmy.

Według eksperta z firmy GSL – Stevena Fergusona – botnet jest w coraz większym stopniu zbudowany z urządzeń hostowanych u amerykańskich ISP (AT&T, Charter Communications, Comcast, T-Mobile i Verizon). Może to utrudniać mitygację ataków DDoS z takich źródeł, ale także wpływać na jakość usług świadczonych nawet klientom, których urządzenia nie były zainfekowane botnetem Aisuru. Roland Dobbins z Netscout wskazał z kolei na rosnące zagrożenie wynikające z ruchu wychodzącego z zainfekowanych urządzeń znajdujących się w sieci, mogący wynosić nawet terabit na sekundę, co może wpływać na przepustowość i wywoływać awarie. Pokazuje to też konieczność zatrzymywania ataków DDoS nie tylko w momencie, kiedy docierają do sieci ofiary, lecz już na etapie, kiedy ruch wychodzi z przejętych urządzeń. Wykrywanie i przeciwdziałanie infekcjom złośliwym oprogramowaniem typu botnet to duże wyzwanie dla operatorów, którzy muszą bacznie obserwować anomalie w ruchu i zachowania charakterystyczne dla przejętych urządzeń.

Aisuru to botnet zbudowany na podstawie upublicznionego w 2016 roku kodu Mirai. Według firmy XLab, 15 września miał około 300 tysięcy aktywnych węzłów na całym świecie. Nieoczekiwaną korzyścią dla jego twórców okazało się między innymi osłabienie kluczowej konkurencji na rynku botnetów IoT – RapperBot, którego właściciel znalazł się w sierpniu na celowniku Departamentu Sprawiedliwości Stanów Zjednoczonych. Umożliwiło to przejęcie przez Aisuru uwolnionych spod wpływu RapperBota podatnych urządzeń i tym samym zwiększenie swojego DDoSowego potencjału. Jednym z groźniejszych działań Aisuru był opisany przez XLab atak wykorzystujący metodę zatrutego wodopoju. Przejęcie serwera aktualizacyjnego Totolink umożliwiło dystrybucję złośliwego skryptu bezpośrednio na wszystkie urządzenia próbujące się zaktualizować. To skuteczna metoda o szerokim zasięgu, która doprowadziła do szybkiego przyrostu urządzeń znajdujących się pod kontrolą Aisuru.

Błyskawiczny rozwój botnetu i skupienie się na pozyskiwaniu infrastruktury zlokalizowanej w Stanach Zjednoczonych to istotne ruchy wskazujące na dostosowanie się atakujących do coraz lepszych oraz powszechniejszych rozwiązań ochrony anty-DDoS. Ataki wolumetryczne, które można byłoby uznać za łatwiejsze w mitygacji w porównaniu do zaawansowanych ataków aplikacyjnych, wciąż pozostają poważnym zagrożeniem mogącym wpłynąć na funkcjonowanie operatorów i dużych dostawców usług cyfrowych. Nie należy bagatelizować zagrożenia jakie niosą za sobą ataki DDoS, szczególnie w obliczu dynamicznie rozwijających się grup dysponujących tak dużym botnetem, realizujących ataki dobierając cele w sposób nieprzewidywalny i oferujących swoje usługi na wynajem.

Więcej informacji:
https://krebsonsecurity.com/2025/10/ddos-botnet-aisuru-blankets-us-isps-in-record-ddos/
https://blog.xlab.qianxin.com/super-large-scale-botnet-aisuru-en/

Cybercrime

Velociraptor w służbie ransomware: lekcja o cienkiej granicy między obroną a ofensywą

Velociraptor to narzędzie stworzone z myślą o zabezpieczeniu danych i analizie post incydentalnej. Jego architektura pozwala zespołom bezpieczeństwa na pozyskiwanie artefaktów z urządzeń końcowych, uruchamianie zapytań i zdalne reagowanie na incydenty bezpieczeństwa. Zespół Cisco Talos, analizując aktywność motywowanego finansowo aktora zagrożeń Storm-2603, zilustrował brutalną ironię, w której operatorzy ransomware wykorzystali nieaktualną wersję Velociraptora w swoich atakach.

Początkowy etap ataku rozpoczynał się od wykorzystania krytycznych podatności w serwerach Microsoft Sharepoint, w tym podatności znanej jako ToolShell. Po uzyskaniu pierwotnego dostępu Storm-2603 wdrażał Velociraptora w infrastrukturze ofiary, nadając mu rolę agenta kontrolującego stacje robocze i serwery. W praktyce pozwalało to na pobieranie artefaktów, wykonanie poleceń systemowych oraz uruchamianie dodatkowego oprogramowania bez konieczności stosowania złośliwego oprogramowania. Narzędzie pełniło więc rolę platformy C2 zbudowanej na zaufanym komponencie, co znacząco podnosiło skuteczność ukrycia obecności w środowisku ofiary.

Kolejne fazy kampanii obejmowały lateralne poruszanie się w środowisku i eskalację uprawnień. Dzięki Velociraptorowi atakujący mogli zdalnie wywoływać komendy administracyjne i egzekwować polityki systemowe, które sprzyjały wdrożeniu ransomware. Zaobserwowano wykorzystanie tego narzędzia do przygotowania środowiska pod szyfrowanie zasobów, w tym serwerów Hyper-V oraz usług kluczowych dla działania infrastruktury ofiary. W finalnym etapie wdrażano kilka rodzin ransomware, między innymi LockBit, Warlock i wariant Babuk, co miało na celu maksymalizację skutków incydentu oraz presję na ofiary w negocjacjach okupu.

Techniczna analiza Talosa potwierdziła, że wykorzystana wersja Velociraptora była podatna na eskalację uprawnień, umożliwiając nawet użytkownikom z ograniczonymi rolami wykonanie działań o poziomie administratora. Luka oznaczona jako CVE-2025-6264 sprawiała, że Velociraptor wdrożony przez atakujących mógł działać w środowisku ofiary bez konieczności obejścia dodatkowych zabezpieczeń i w praktyce zapewniał pełną kontrolę nad zainfekowanymi hostami. Ponadto obserwacje z różnych zespołów badawczych potwierdziły, że Velociraptor był używany nie tylko jako mechanizm utrwalenia dostępu, ale również jako platforma pomocnicza do tworzenia tuneli i uruchamiania dodatkowego oprogramowania. W jednym z opisanych przypadków narzędzie posłużyło do pobrania i uruchomienia Visual Studio Code co najpewniej miało na celu zainicjowanie połączenia do zdalnego serwera C2 i ustanowienie trwałego kanału komunikacji.

Zjawisko utylizacji Velociraptora w kampaniach ransomware podkreśla fundamentalny problem – narzędzia stworzone do celów obronnych mogą być równie skutecznie wykorzystywane ofensywnie, jeśli zostaną wdrożone w niekontrolowany sposób. Ich otwartość, popularność i bogata funkcjonalność czynią je atrakcyjnymi dla aktorów zagrożeń. W tym przypadku narzędzie do analizy i reagowania na incydenty zostało przekształcone w element ataku, umożliwiając zdalne sterowanie środowiskiem ofiary i przygotowanie gruntu pod wdrożenie ransomware. Wnioski płynące z analizy mogą zabrzmieć prosto, ale konsekwencje są poważne. Po pierwsze, sama obecność narzędzia DFIR w środowisku nie gwarantuje bezpieczeństwa, a może stać się środkiem ułatwiającym atak, jeśli nie jest właściwie zarządzane. Po drugie, polityki i mechanizmy kontroli dostępu muszą być zaprojektowane z założeniem, że narzędzia administracyjne muszą mieć najmniejsze niezbędne uprawnienia oraz że ich aktualizacje i konfiguracje są krytycznym elementem higieny bezpieczeństwa. Po trzecie, monitoring nie powinien opierać się wyłącznie na znanych sygnaturach, lecz na anomaliach w zachowaniu procesów i użyciu uprawnień, bo w ten sposób legalne narzędzie wykorzystane w sposób nienadzorowany stanie się wykrywalne. Raporty analityczne z 2024 i 2025 roku odnotowały rosnącą liczbę incydentów, w których atakujący korzystali z komercyjnych i open source narzędzi w celu uniknięcia wykrycia a jednocześnie osiągnięcia zaawansowanych celów takich jak eskalacja uprawnień i eksfiltracja danych.

Więcej informacji:
https://blog.talosintelligence.com/velociraptor-leveraged-in-ransomware-attacks/
https://news.sophos.com/en-us/2025/08/26/velociraptor-incident-response-tool-abused-for-remote-access

Oszustwa i podszycia

IUAM ClickFix Generator, czyli automatyzacja kampanii ClickFix.

W trakcie codziennej analizy zagrożeń, od kilku miesięcy, identyfikowaliśmy liczne ataki (strony WWW, kampanie reklamowe, inne socjotechniki) wykorzystujące mechanizm „ClickFix”. Jak on działa i dlaczego jest taki skuteczny pisaliśmy już wielokrotnie w naszych krajobrazach zagrożeń. Ataki trwały i trwają nieustannie. Budowane są nowe strony phishingowe, ale atakujący również „wstrzykują” złośliwy kod do legalnych i często popularnych stron. Obserwowaliśmy te ataki, kategoryzowaliśmy i szukaliśmy cech wspólnych. W toku analiz natrafiliśmy na zestaw kampanii, które różniły się detalami (np. domeną, formatem ukrytego polecenia, czy metodą zaciemnienia kodu) – ale niemal co do bitu odzwierciedlały tę samą logikę działania. To skojarzenie sugerowało, że cały mechanizm jest dostarczany jako gotowy kit (malware-kit albo phishing-kit), a różnice wynikają głównie z różnej infrastruktury wykorzystywanej w dalszych etapach ataku.
IUAM ClickFix Generator to nowy, wyraźnie modułowy phishing-kit ujawniony przez Unit 42, który przemienia technikę „ClickFix” – polegającą na zmuszeniu ofiary do ręcznego wklejenia i uruchomienia komendy – w gotowy do natychmiastowego użycia generator z szeroką konfiguracją parametrów strony i ładunku; narzędzie automatyzuje tworzenie wabików (ang. lure) zawierających mechanizm kopiowania do schowka, detekcję systemu operacyjnego i wybór odpowiedniego payloadu (PowerShell dla Windows lub base64|sh dla macOS), co w badanych kampaniach poskutkowało dostarczaniem złośliwego oprogramowania typu infostealer.

Generator działa jako aplikacja webowa z panelem konfiguracyjnym pozwalającym określić tytuł dokumentu HTML, teksty przycisków i komunikatów, komendę kopiowaną do schowka, ustawienia blokady urządzeń mobilnych oraz zaawansowane opcje (obfuskacja JS, segmentacja logiki kopiowania, automatyczne przełączanie poleceń według wykrytego OS), a wygenerowane strony wykazują spójny szkielet DOM i charakterystyczne funkcje JavaScript (np. elementy kopiujące i walidujące „human check”), co umożliwia korelację wariantów jako jedna rodzina narzędzi.

Centralny mechanizm ataku to:

1. Wyświetlenie fałszywego procesu „weryfikacji” z przyciskiem uruchamiającym kopiowanie komendy do schowka.
2. Instrukcja dla użytkownika – otwórz terminal/PowerShell → wklej → uruchom – dzięki czemu to użytkownik dostarcza wykonanie złośliwego kodu, co omija wiele tradycyjnych zabezpieczeń na atakowanych komputerach, jak i sandboxów.
3. Dynamiczne pobieranie finalnego ładunku z adresów C2. W praktyce obserwowano zarówno domeny rejestrowane pod kampanie, jak i wstrzykiwanie złośliwych wywołań (snippety javascript) do legalnych stron.

W warstwie technicznej generator udostępnia opcje obfuskacji JavaScript (przez przemapowanie nazw funkcji, kodowanie ciągów znaków i rozbijanie logiki na asynchroniczne wywołania), możliwość „packaged builds” do hostingu na zewnętrznych serwerach lub CDN oraz mechanizmy śledzenia i logowania konfiguracji (w tym treści schowka i metadanych tworzenia instancji), co upraszcza masową dystrybucję i rotację stron phishingowych.

Konsekwencje pojawienia się takiego narzędzia dla ClickFix są wielowymiarowe: obniżenie progu wejścia technicznego powoduje rozszerzenie grona potencjalnych operatorów (phishing-as-a-service), szybka generacja wariantów i rotacja domen utrudnia sygnaturowe wykrywanie, a kombinacja i dopasowywanie payloadów do środowiska ofiary (m.in systemu operacyjnego) zwiększa zasięg ataku (w analizowanych przypadkach zarówno Windows, jak i macOS były celami) – dodatkowo techniki pokrewne (cache-smuggling, wstrzykiwanie do motywów WordPress) pozwalają na ukryte serwowanie złośliwych wabików z pozornie zaufanych źródeł.

W dłuższej perspektywie spodziewać się należy dalszej integracji modułów ClickFix w ofertach PhaaS, ewolucji technik obfuskacji i dostosowania payloadów do kolejnych platform oraz nasycenia krajobrazu dużą liczbą krótkotrwałych, wysoce spersonalizowanych kampanii – co wymaga od obrońców przejścia od reaktywnej sygnaturowej obrony ku adaptacyjnej ochronie łączącej telemetrię sieciową, silne reguły EDR i obowiązkowe mechanizmy ograniczające możliwości „ręcznego wykonywania” kodu przez nieuprzywilejowanych użytkowników.

Więcej informacji:
https://unit42.paloaltonetworks.com/clickfix-generator-first-of-its-kind/

ClayRat – gliniany spyware na solidnych podstawach.

ClayRat to złośliwe oprogramowanie wymierzone w użytkowników systemu Android, które to opisali badacze Zimperium. W odróżnieniu od prostych trojanów dystrybuowanych przez jeden wektor, mamy do czynienia z rozwiniętym ekosystemem, który łączy fałszywe strony z popularnymi aplikacjami, dystrybucję przez komunikatory oraz zaawansowane mechanizmy ładowania payloadów w trakcie instalacji. W efekcie użytkownik instaluje aplikacje wyglądającą jak niewinna aktualizacja, podczas gdy w tle uruchamiany jest zaszyfrowany moduł spyware, którego niezwykle trudno wykryć przy użyciu sygnaturowej detekcji.

Pierwszy etap infekcji wykorzystuje phishing i zaufane kanały dystrybucji. Użytkownik trafia na stronę stylizowaną na oficjalny portal popularnej aplikacji, takiej jak YouTube, WhatsApp czy TikTok, albo otrzymuje link przez Telegram. W obu przypadkach instalator APK zawiera dwie warstwy: widoczną aplikację, która często pełni jedynie rolę atrapy, oraz ukryty w zasobach zaszyfrowany moduł spyware. Payload ten jest odszyfrowywany i aktywowany dopiero podczas procesu instalacji – to tak zwany model session-based, który pozwala atakującym ominąć systemowe zabezpieczenia i utrudnia analizę statyczną plików. Zabezpieczenia Androida w nowszych wersjach wymuszają dodatkowe potwierdzenia dla aplikacji spoza sklepu, jednak operatorzy ClayRat obchodzą to, instruując użytkowników krok po kroku, jak włączyć instalację z „nieznanych źródeł”.

Po uruchomieniu zainfekowanej aplikacji użytkownik jest proszony o ustawienie jej jako domyślnego programu do obsługi SMS. Ten pojedynczy krok otwiera niezwykle szerokie możliwości. Aplikacja zyskuje kontrolę nad całą warstwą komunikacyjną urządzenia: może odczytywać wiadomości i kody jednorazowe wysyłane przez banki i serwisy internetowe, przechwytywać przychodzące powiadomienia, edytować bazę SMS, a także wysyłać wiadomości w imieniu ofiary. Z perspektywy operatora złośliwego oprogramowania oznacza to zarówno możliwość kradzieży danych uwierzytelniających i przejęcia kont, jak i stworzenie kanału automatycznej propagacji – każda infekcja generuje kolejne, gdy z urządzenia ofiary rozsyłane są wiadomości do całej książki kontaktowej. Z pozostałych funkcjonalności, malware potrafi zbierać metadane o urządzeniu, przeglądać listę zainstalowanych aplikacji, a także używać aparatu do wykonywania zdjęć, które następnie trafiają na serwery C2. Dane przesyłane są przez protokół HTTP, lecz nie w postaci jawnej. Starsze wersje wykorzystywały znaczniki tekstowe, takie jak np. fraza „apezdolskynet”, aby synchronizować komunikację i odróżniać właściwe odpowiedzi C2. W nowszych wariantach operatorzy stosują szyfrowanie AEAD, w tym AES-GCM, co zapewnia zarówno poufność, jak i integralność przesyłanych danych. Infrastruktura ClayRat jest rozproszona i stale rotowana. Domeny kontrolowane przez operatorów działają w krótkich cyklach, często w oparciu o serwery fast-flux i różne TLD, co pozwala na szybkie przemieszczanie hostów stagingowych bez przerywania kampanii. Charakterystyczne są krótkie okresy TTL w rekordach DNS, co ułatwia operatorom natychmiastową zmianę wskazań infrastruktury w przypadku wykrycia.

Cechą charakterystyczną jest także dynamika rozwoju kampanii. Odnotowano ponad 600 próbek w ciągu zaledwie trzech miesięcy, a towarzyszyło im około 50 unikalnych dropperów. Taka skala świadczy o dużych zasobach przeznaczonych na automatyzację procesu kompilacji i testowania. W praktyce każde wykrycie nowego wariantu przez rozwiązania antywirusowe szybko skutkuje wypuszczeniem kolejnego, z nowym sposobem zaciemniania lub nieco inną logiką ładowania zasobów. W efekcie skuteczne wykrywanie opiera się na analizie behawioralnej i monitorowaniu nietypowych aktywności, a nie na prostych sygnaturach. Warte odnotowania są również techniki używane do maskowania obecności w systemie. ClayRat potrafi rejestrować broadcast receivers, które zapewniają mu utrzymanie działalności w tle nawet po zamknięciu aplikacji, a także stosuje mechanizmy opóźnionego startu, aby uniknąć natychmiastowego wykrycia tuż po instalacji. Niektóre warianty korzystają z modularnej architektury – dopiero po wstępnej komunikacji z serwerem C2 pobierane są dodatkowe moduły odpowiedzialne za bardziej agresywne funkcje szpiegowskie. Dzięki temu na wielu urządzeniach malware może pozostawać w trybie uśpienia, czekając na komendę operatora.

ClayRat pokazuje, jak daleko posunęła się ewolucja mobilnego malware. Łańcuch infekcji łączy socjotechnikę, zaawansowane techniki ukrywania payloadu i nadużycia kluczowych uprawnień systemowych, tworząc środowisko trudne do wykrycia i jeszcze trudniejsze do wyeliminowania prostymi metodami. To przykład operacji, w której każde urządzenie staje się jednocześnie źródłem cennych danych i narzędziem propagacji kolejnych infekcji, a odporność całej kampanii wynika z kombinacji szybkiej rotacji wariantów, modularnej architektury i elastycznej infrastruktury C2. Kluczowe znaczenie ma ograniczenie instalacji aplikacji spoza oficjalnego sklepu i stosowanie systemów MDM lub UEM, które wymuszają polityki bezpieczeństwa, a także monitorowanie logów urządzeń pod kątem masowych wysyłek SMS lub połączeń do nieznanych numerów.

Więcej informacji:
https://zimperium.com/blog/clayrat-a-new-android-spyware-targeting-russia

CVE tygodnia

Redishell – podatność w Redis.

W poprzednim tygodniu opublikowana została podatność w Redis, nazwana Redishell. Jak sama nazwa wskazuje, luka CVE-2025-49844 pozwala na zdalne wykonanie kodu (RCE), poprzez wykorzystanie podatności use-after-free w silniku LUA i została wyceniona na 10.0 w skali CVSS. Redis wydał oficjalne oświadczenie z opisem problemu i wersjami zawierającymi poprawki.

W praktyce wykorzystanie tej podatności umożliwia atakującemu, który uzyskał uprzednio dostęp autoryzowany do instancji Redis, eskapadę z piaskownicy interpretera Lua i uruchomienie dowolnych poleceń na hoście, co może prowadzić do pełnego przejęcia systemu, eksfiltracji danych, wdrożenia ransomware lub wykorzystania zasobów do dalszego ruchu bocznego w chmurze. Luka ma szczególnie duże znaczenie, ponieważ Redis jest powszechnie wykorzystywany w środowiskach chmurowych do cache’owania, zarządzania sesjami i jako warstwa pośrednia w architekturze aplikacji co w naturalny sposób poszerza dostępną powierzchnie ataku.

Z punktu widzenia ekspozycji problem ma dwie krytyczne cechy, które należy traktować łącznie. Po pierwsze: oficjalne rekomendacje Redis przypominają, że wykorzystanie podatności wymaga uprzedniego dostępu z autoryzacją do instancji. Po drugie: analiza Wiz ujawnia, że w praktyce setki tysięcy instancji Redis pozostają wystawione do internetu, a znaczący procent tych wdrożeń nie ma skonfigurowanej autoryzacji lub korzysta z kontenerów uruchamianych bez odpowiedniego hardeningu. To połączenie niskiego progu wejścia dla źle skonfigurowanych systemów i wyjątkowo wysokiego potencjału destrukcyjnego sprawia, że należy traktować CVE-2025-49844 jako pilny problem operacyjny.

Natychmiastowe działania, które powinny podjąć zespoły operacyjne, obejmują w pierwszej kolejności jak najszybszą aktualizację wszystkich podatnych instancji Redis do wersji zawierających poprawki wymienione w advisory Redis. W środowiskach zarządzanych przez dostawcę (Redis Cloud) aktualizacje zostały już rozpropagowane, natomiast w środowiskach self-managed konieczne jest natychmiastowe wdrożenie wydanych poprawek bądź tymczasowe ograniczenie ekspozycji sieciowej, w tym całkowite zablokowanie publicznego dostępu do instancji Redis, jeśli taki dostęp istnieje. Redis dodatkowo rekomenduje włączenie trybu protected-mode oraz wymuszenie uwierzytelniania i ograniczenie uprawnień do wykonywania skryptów Lua jedynie do zaufanych tożsamości.

Równolegle do zastosowania poprawek należy wdrożyć praktyki minimalizujące ryzyko ponownego wykorzystania luki: natychmiastowe zablokowanie dostępu sieciowego do instancji Redis z nieznanych adresów, wymuszenie reguł zaporowych i polityk sieciowych ograniczających połączenia jedynie do konkretnych aplikacji lub warstw platformy, audyt konfiguracji kontenerów oraz przywrócenie zasad bezpieczeństwa obrazu (image hardening). Ze względu na powszechne użycie obrazu oficjalnego Dockera, który domyślnie nie wymaga autoryzacji, trzeba priorytetowo traktować kontenery uruchomione bez właściwych mechanizmów uwierzytelnienia.
Warto przeszukać logi pod kątem połączeń z nieautoryzowanych źródeł, wystąpień nieoczekiwanych lub podejrzanych poleceń skryptowych (EVAL, EVALSHA, SCRIPT LOAD), obecności niespodziewanych lub zmodyfikowanych skryptów w bazie danych, nagłych awarii serwera Redis z backtrace’ami wskazującymi na silnik Lua oraz nietypowego ruchu sieciowego wychodzącego z hosta lub zmian w systemie plików dotyczącym katalogów z danymi i konfiguracją Redis.

Dodatkowo zaleca się rotację poświadczeń i kluczy w systemach, które mogły być dostępne z kompromitowanych instancji oraz przegląd polityk backupów, ponieważ pełne przejęcie hosta może skutkować modyfikacją kopii zapasowych.

Więcej informacji:
https://redis.io/blog/security-advisory-cve-2025-49844/
https://www.wiz.io/blog/wiz-research-redis-rce-cve-2025-49844

Po krótkiej przerwie wracamy z dwutygodniowym przeglądem kluczowych cyberzagrożeń. Stale monitorujemy zmiany w świecie cyberprzestępczym oraz powiązania między grupami, które regularnie zmieniają motywy, metody i model działania. W aktualnym Krajobrazie zajęliśmy się kontynuacją sagi ze Scattered Lapsus$ Hunters w roli głównej, ale także wykorzystaniem przemysłowych routerów komórkowych do smishingu. Przyjrzeliśmy się również nowym informacjom o chińskiej grupie APT atakującej niezabezpieczone bazy danych oraz aktualnemu raportowi o sytuacji na ukraińskim cyberfroncie. O najgłośniejszym CVE tego tygodnia i innych istotnych wydarzeniach przeczytacie poniżej.

Na skróty:

1. Temat tygodnia: Scattered Lapsus$ Hunters – szantaże i sojusze.
2. Zaawansowane zagrożenia: Chiński Phantom Taurus zagląda do baz danych.
3. Cybercrime: GhostSec: od ideologii do ransomware (i z powrotem).
4. Telco: Silent smishing przy pomocy przemysłowych routerów komórkowych.
5. Oszustwa i podszycia: Stealer i cryptodrainer prosto ze Steama.
6. Cyberwar: Krajobraz cyberwojny w ukraińskiej cyberprzestrzeni.
7. Złośliwe oprogramowanie: DetourDog.
8. CVE Tygodnia: Krytyczna podatność w Oracle E-Business Suite.

Temat tygodnia

Scattered Lapsus$ Hunters – szantaże i sojusze.

Obserwując poczynania grupy Scattered Spider lub kolektywu Scattered Lapsus$ Hunters można utwierdzić się w przekonaniu, że przestępcom nie można wierzyć w żadne oświadczenia. Wcześniejsze zapewnienia o usunięciu się w cień można było interpretować zarówno jako zapowiedź zakończenia działalności, jak i dalszego jej kontynuowania, lecz po cichu. Miniony tydzień przyniósł informacje o nowej „data leak site” grupy służącej do wyłudzenia okupu od Salesforce oraz firm poszkodowanych w wycieku związanym z Salesloft Drift – co nie wpisuje się w żadną z interpretacji. W przypadku braku współpracy z atakującymi (i braku zapłaty) dane firm mają zostać opublikowane 10 października tego roku.

Salesforce zapewnia, że wszystkie opisywane ataki są znane wcześniej lub niepotwierdzone i firma jest w kontakcie z klientami, których dotknęły incydenty. Jednocześnie informuje, że nic nie wskazuje na naruszenie bezpieczeństwa platformy lub jakikolwiek związek opisywanej aktywności ze znanymi podatnościami w ich rozwiązaniu. Dziennikarzy przekierowano do analizy GTIG, która opisywała ataki vishingowe realizowane przez Scattered Spider skutkujące uzyskaniem dostępu do danych z Salesforce przez atakujących.

Na nowym DLS Scattered Lapsus$ Hunters opublikowano także między innymi informację o uzyskaniu dostępu do danych firmy Red Hat. Do ataku przyznało się Crimson Collective, które według najnowszych informacji zawiązało sojusz ze Scattered Lapsus$ Hunters. Jako datę ataku podano 13 września tego roku, a informację o udanym ataku Crimson Collective przekazali na swoim kanale Telegram 1 października. 2 października Red Hat poinformowało o incydencie dotyczącym instancji GitLab Red Hat Consulting, lecz w komunikacie nie wskazano na konkretną grupę przestępczą lub dokładny wektor wejścia użyty przez atakujących. Nazwy plików upublicznione przez przestępców sugerują, że wiele firm może być dotkniętych wyciekiem, lecz bez znajomości ich zawartości nie ma możliwości oceny wrażliwości czy charakteru zawartych danych. Według Red Hat dane pochodzą z GitLaba wykorzystywanego jedynie przez consultingową część firmy i dotyczą tego segmentu działalności. Firma zapowiedziała kontakt z klientami, których dotknął incydent.

Scattered Lapsus$ Hunters informując o usunięciu się w cień wskazywali, że część wcześniejszych ataków jeszcze ujrzy światło dzienne, ale wszelkie informacje o nowych atakach to próby podszycia się pod grupę. Przypominamy, że ataki na Salesloft Drift to wątek sprzed pożegnalnego komunikatu. W przyszłości należy spodziewać się nowych informacji o przeszłych atakach kolektywu, ale niewykluczone, że ich działalność będzie kontynuowana aktywnie. Świadczyć może o tym chociażby nowy kanał na Telegramie powstały 30 września, na którym analitycy obserwują charakterystyczną dla grupy chaotyczną formę komunikacji, obraźliwe wobec służb treści oraz prześmiewcze zwracanie się do poszkodowanych firm. Z publikowanych wiadomości można było także wyczytać ogłoszenie „powrotu”, co może oznaczać koniec tej przykrótkiej emerytury.

Skuteczna obrona przed tak rozproszonym i dynamicznym zagrożeniem, jakim są ataki Scattered Lapsus$ Hunters oraz ich naśladowców nie jest łatwa. Mimo pozornie trywialnych metod uzyskania dostępu, takich jak vishing i korzystanie z upublicznionych już wycieków kradzionych poświadczeń, skala ataków oraz ich skutków jest gigantyczna. Kluczowe metody prewencji, to zabezpieczanie dostępu do platform chmurowych (wieloskładnikowe uwierzytelnianie, reguły i polityki ograniczające dostęp) oraz szkolenie pracowników z zakresu metod socjotechnicznych wykorzystywanych przez atakujących. Niezwykle istotne jest także szybkie wykrywanie nieautoryzowanego dostępu na podstawie anomalii w logowaniu użytkownika (niestandardowe: lokalizacja, urządzenie, czas aktywności, dostęp do zasobów) i blokowanie tego wykrytego punktu wejścia. W ograniczaniu skutków incydentu z pewnością pomoże także szyfrowanie danych, jak i zapewnienie, że pracownicy nie mają dostępu do danych, które nie są im absolutnie niezbędne. Fundamentalną kwestią jest jednak upewnienie się, że zbieramy dostatecznie dużo informacji oraz logów dotyczących aktywności w platformach chmurowych, by móc taki incydent zauważyć i analizować.

Więcej informacji:
https://status.salesforce.com/generalmessages/20000224?locale=en-US
https://therecord.media/salesforce-scattered-spider-extortion-site
https://www.upguard.com/blog/salesforce-leak-extortion-scatterered-lapsus-hunters
https://www.redhat.com/en/blog/security-update-incident-related-red-hat-consulting-gitlab-instance
https://x.com/Ransom_DB/status/1973342646824255559
https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion
https://www.anomali.com/blog/red-hat-security-incident-crimson-collective-breach

Wybrane zagrożenia tygodnia

Zaawansowane zagrożenia

Chiński Phantom Taurus zagląda do baz danych.

Phantom Taurus, wcześniej opisywany przez Unit 42 jako CL-STA-0043 i później tymczasowo klasyfikowany jako TGR-STA-0043, to chińska grupa APT prowadząca długotrwałe operacje wywiadowcze przeciwko instytucjom rządowym i operatorom telekomunikacyjnym na Bliskim Wschodzie, w Afryce oraz w Azji. Pierwsze publiczne wzmianki o aktywnościach powiązanych z tym klastrem pojawiły się w połowie 2023 roku. Dalsze analizy i obserwacje pozwoliły sklasyfikować ten zestaw działań jako odrębnego aktora, którego operacje konsekwentnie skupiają się na komunikacji dyplomatycznej, wywiadzie obronnym i instytucjach centralnych państw.

Kluczową zmianą taktyczną zaobserwowaną przez Unit 42 jest przejście od eksfiltracji wiadomości e-mail do bezpośredniego atakowania baz danych. Analitycy opisali użycie skryptu o nazwie mssq.bat, który łączy się z docelową instancją Microsoft SQL Server przy użyciu wcześniej pozyskanych poświadczeń i wykonuje dynamiczne zapytania przekazywane przez operatorów, eksportując wyniki do plików CSV. Uruchamianie tego typu skryptów na zdalnych serwerach było realizowane między innymi przez WMI, co pozwalało na bezpośredni, szybki dostęp do interesujących zasobów. Taka metoda umożliwia bardziej ukierunkowane wyszukiwanie dokumentów i rekordów o znaczeniu strategicznym niż masowe zbieranie wiadomości e-mail.

Działania Phantom Taurus odznaczają się charakterystycznym zestawem taktyk, technik i procedur oraz stosowaniem zarówno powszechnie znanych narzędzi, jak i autorskich implantów. W obserwowanym arsenale znajdują się między innymi China Chopper, narzędzia z rodziny Potato (m.in. JuicyPotatoNG i SharpEfsPotato) oraz Impacket, ale wyróżniają się także własne projekty grupy: rodzina Specter (w tym TunnelSpecter i SweetSpecter), moduł wykradający poświadczenia Ntospy oraz nowo odkryta platforma NET-STAR — .NET-owy zestaw backdoorów przeznaczony do ataków na serwery Internet Information Services (IIS).

NET-STAR to istotny element najnowszego arsenału Phantom Taurus. Suite składa się z trzech komponentów zaprojektowanych do pracy w środowisku IIS:

• IIServerCore jako modularny backdoor ładujący i wykonujący payloady w pamięci procesu w3wp.exe,
• AssemblyExecuter V1 służący do ładowania i uruchamiania dodatkowych .NET-owych payloadów w pamięci,
• AssemblyExecuter V2, czyli ulepszona wersja wyposażona w mechanizmy omijające mechanizmy bezpieczeństwa systemu Windows, w tym techniki obejścia Antimalware Scan Interface (AMSI) oraz Event Tracing for Windows (ETW).

W przypadku IIServerCore Unit 42 opisał sposób ładowania za pomocą web shelli (np. OutlookEN.aspx), mechanizmy sesji oparte na ciasteczkach oraz mechanizmy timestompingu mające utrudnić analizę postincydentalną. Wersja AssemblyExecuter V2 została po raz pierwszy zaobserwowana w 2025 roku.

W zakresie infrastruktury badacze zauważyli, że Phantom Taurus korzysta z operacyjnej sieci zasobów, które częściowo pokrywają się z infrastrukturą wykorzystywaną przez inne chińskie grupy APT, takie jak APT27, APT41 i Mustang Panda, co wskazuje na współdzielenie ekosystemu narzędziowego i logistycznego w tzw. chińskim nexusie APT. Jednocześnie Unit 42 podkreśla elementy operacyjnego wydzielania zasobów, które utrudniają bezpośrednie mapowanie wszystkich obserwowanych komponentów do pojedynczych aktorów.

Phantom Taurus to wyrafinowany Threat Actor nastawiony na wywiad strategiczny, który z jednej strony korzysta z dobrze znanych narzędzi i sprawdzonych technik, a z drugiej stale rozwija własne, ukierunkowane rozwiązania atakujące infrastrukturę serwerową. Przejście do bezpośredniego pozyskiwania danych z baz danych oraz pojawienie się zaawansowanej platformy NET-STAR stanowią istotne zwiększenie ryzyka dla instytucji rządowych i operatorów usług krytycznych, szczególnie jeśli ich systemy IIS i serwery SQL są dostępne z wewnętrznych sieci lub nie są odpowiednio segmentowane i monitorowane. Zalecamy wzmocnienie monitoringu IIS i logów aplikacyjnych pod kątem web shelli oraz anomalii w procesie w3wp.exe, kontrolę i ograniczenie uprawnień kont serwisowych dla baz danych (zwłaszcza kont o uprawnieniach sa), wykrywanie i blokowanie wykonywania narzędzi administracyjnych zdalnie (WMI, psexec itp.), a także analizę telemetrii sieciowej pod kątem niestandardowych skryptów uruchamiających zapytania SQL i ruchu eksportującego dane.

Więcej informacji:
https://unit42.paloaltonetworks.com/phantom-taurus/

Cybercrime

GhostSec: od ideologii do ransomware (i z powrotem).

Historia grupy GhostSec stanowi jeden z najbardziej wyrazistych przykładów ewolucji współczesnych kolektywów hakerskich – od ruchu motywowanego ideologicznie do organizacji o charakterze w pełni przestępczym. Początki GhostSec sięgają roku 2015, gdy grupa wyłoniła się jako odłam słynnego Anonymous i zyskała rozgłos dzięki kampaniom wymierzonym w Państwo Islamskie. Ich działania, prowadzone pod hasłami #OpISIS, #OpNigeria czy #OpIsrael, miały charakter czysto polityczny i moralny: chodziło o walkę z terroryzmem, ekstremizmem religijnym i reżimami autorytarnymi. GhostSec, podobnie jak inne grupy haktywistyczne tamtego okresu, opierała się na idei cyfrowej sprawiedliwości, a nie na zyskach. Jednak w ciągu mniej niż dekady zespół przeszedł pełną metamorfozę – od ideologicznego „cyberruchu oporu” do profesjonalnie zorganizowanego przedsięwzięcia przestępczego, oferującego ransomware jako usługę.

W pierwszych latach działalności GhostSec wpisywał się w klasyczny nurt haktywizmu. Celem grupy były strony propagandowe ISIS, portale wspierające ekstremizm, a także infrastruktura informacyjna organizacji terrorystycznych. Ataki polegały głównie na defacementach stron internetowych, przejmowaniu kont w mediach społecznościowych i ujawnianiu danych osób powiązanych z radykałami. Działania te były nagłaśniane przez media, a GhostSec zyskiwał reputację cyfrowego bojownika o sprawiedliwość. W tym okresie w działaniach grupy dominowała motywacja ideologiczna, a jej członkowie postrzegali się raczej jako aktywiści niż przestępcy. Ich infrastruktura była prosta, a celem – przekaz polityczny, a nie zysk.

Przełom nastąpił kilka lat później, gdy GhostSec zaczął interesować się systemami przemysłowymi i infrastrukturą krytyczną. W 2022 roku grupa ogłosiła włamanie do rosyjskiej elektrowni wodnej Gusinoozerskaya oraz izraelskiego systemu oczyszczania ścieków w Or Akiva. Był to sygnał, że GhostSec przekracza granice klasycznego haktywizmu. Ataki na systemy ICS wymagały bowiem znacznie większych umiejętności, a ich skutki mogły mieć realny wpływ na bezpieczeństwo fizyczne i stabilność państw. Zmiana profilu ofiar sugerowała wzrost ambicji i profesjonalizację operacyjną grupy. Choć wciąż deklarowano ideologiczne motywy, w tle zaczęły pojawiać się działania o charakterze wyraźnie eksperymentalnym – testy złośliwego oprogramowania i infrastruktury, które później stały się podstawą pod działalność ransomware.

W sierpniu 2023 roku GhostSec dołączył do sojuszu znanego jako „The Five Families”, zrzeszającego kilka grup hakerskich: Stormous, SiegedSec, ThreatSec oraz BlackForums. Był to moment kluczowy, ponieważ w ten sposób stworzono coś na kształt ekosystemu współpracy między dawnymi haktywistami a grupami o profilu czysto przestępczym. Współdzielenie infrastruktury, wymiana narzędzi i rozwój zaplecza technicznego pozwoliły GhostSec na płynne wejście w świat cyberprzestępczości zorganizowanej. W tym samym okresie pojawiły się pierwsze zapowiedzi ransomware opracowanego przez tę grupę. Jesienią 2023 roku GhostSec zaprezentował GhostLocker – własne oprogramowanie szyfrujące, oferowane w modelu Ransomware-as-a-Service. Dla afiliantów przystąpienie do programu kosztowało nieco poniżej tysiąca dolarów, co potwierdza, że grupa przyjęła pełnoprawny model biznesowy.

Wkrótce potem pojawiła się druga generacja oprogramowania – GhostLocker v2.0, napisana w języku Go. Wersja ta była bardziej zaawansowana technicznie: zawierała funkcje persystencji (trwałości w systemie), automatycznego monitorowania procesów, lepsze algorytmy szyfrowania i mechanizmy wykradania danych. GhostSec poszedł jeszcze dalej, tworząc narzędzia pomocnicze, takie jak GhostPresser czy Deep Scan, przeznaczone do rekonesansu i włamań w aplikacjach webowych. Tym samym grupa przestała być zbiorem ideowych aktywistów, a zaczęła przypominać wyspecjalizowaną organizację przestępczą, dysponującą własnym zapleczem badawczo-rozwojowym. Ataki z użyciem GhostLockera zaczęły dotykać firmy z różnych sektorów – od edukacji po energetykę – w wielu krajach, w tym w Indiach, Turcji, Brazylii czy Polsce. Działania te były już czysto finansowe i miały charakter typowy dla gangów ransomware, z podwójnym wymuszeniem i publikacją skradzionych danych na stronach typu leak site.

W maju 2024 roku GhostSec ogłosił decyzję o wycofaniu się z działalności przestępczej. W oficjalnym komunikacie grupa zapowiedziała przekazanie kodu GhostLocker w wersji trzeciej, a także wszystkich operacji ransomware, zaprzyjaźnionej grupie Stormous. Według deklaracji członków GhostSec, ruch ten miał oznaczać powrót do korzeni haktywizmu. Nie jest jasne, na ile była to decyzja motywowana ideologicznie, a na ile próba ograniczenia ryzyka. Z jednej strony grupa mogła uznać, że osiągnęła wystarczające zyski, z drugiej – presja ze strony organów ścigania i społeczności bezpieczeństwa mogła zmusić ją do odwrotu. Należy pamiętać, że w tym okresie światowe służby intensyfikowały działania wymierzone w operatorów ransomware, co mogło stanowić istotny czynnik zewnętrzny.

Ewolucję GhostSec można wyjaśnić kilkoma współzależnymi czynnikami. Po pierwsze, motyw finansowy. Haktywiści działający z pobudek ideowych często napotykają ograniczenia wynikające z braku środków na utrzymanie infrastruktury i rozwój narzędzi. Ransomware stanowił szybki sposób na pozyskanie pieniędzy i uniezależnienie się od zewnętrznego wsparcia. Po drugie, coraz bardziej zaawansowane technicznie operacje wymagały inwestycji w rozwój – w pewnym momencie naturalną konsekwencją stało się potraktowanie działalności jak przedsiębiorstwa przestępczego. Po trzecie, współpraca w ramach „The Five Families” stworzyła środowisko, w którym granica między ideologicznym haktywizmem a cyberprzestępczością przestała być wyraźna. Wreszcie, presja prawna i reputacyjna mogła skłonić grupę do ogłoszenia formalnego „powrotu” do haktywizmu – gestu, który w praktyce może być jedynie taktycznym manewrem.

Transformacja GhostSec nie była nagła. Grupa przez długi czas funkcjonowała w stanie pośrednim – łączyła działania polityczne z atakami nastawionymi na zysk. W komunikatach publikowanych w mediach społecznościowych członkowie GhostSec sugerowali, że dochody z ransomware są wykorzystywane do finansowania „słusznych” operacji ideowych. W ten sposób próbowano zachować moralną legitymizację i uniknąć oskarżeń o zwykłą chciwość. W praktyce jednak różnica między aktywizmem a przestępczością zacierała się coraz bardziej. Niektórzy badacze sugerują, że decyzja o przekazaniu GhostLockera grupie Stormous nie była rzeczywistym końcem działalności przestępczej, lecz raczej próbą rozproszenia odpowiedzialności i ukrycia struktur.

Historia GhostSec wpisuje się w szerszy trend konwergencji haktywizmu i cyberprzestępczości. Coraz więcej grup, które początkowo kierowały się ideologią, przechodzi na działalność o charakterze finansowym. Wynika to z dostępności narzędzi, niskich barier wejścia, a także z faktu, że współczesny cyberatak może łączyć funkcje protestu, sabotażu i wymuszenia. Granice między tymi kategoriami coraz częściej się zacierają. Dla społeczności bezpieczeństwa oznacza to konieczność ciągłego monitorowania grup o ideologicznym rodowodzie, gdyż mogą one w każdej chwili zmienić motywację i profil działania. W przypadku GhostSec widzimy także, że haktywiści z czasem zyskują kompetencje techniczne na poziomie porównywalnym z wyspecjalizowanymi gangami ransomware, co czyni ich równie groźnymi.

Ewolucja GhostSec od ideologicznego kolektywu do przestępczego syndykatu ransomware pokazuje, jak płynna może być granica między aktywizmem a cyberprzestępczością. Grupa, która zaczynała jako obrońca wartości, stopniowo przekształciła się w organizację kierującą się rachunkiem zysków i strat. Proces ten został przyspieszony przez potrzebę finansowania, rozwój techniczny oraz współpracę z innymi grupami o podobnych ambicjach. Choć GhostSec oficjalnie ogłosił powrót do haktywizmu, jego historia dowodzi, że raz przekroczona granica między ideologią a zyskiem rzadko daje się całkowicie cofnąć. To również przestroga: w świecie współczesnych cyberkonfliktów motywacje ideowe mogą bardzo szybko ustąpić miejsca interesom finansowym, a dawni aktywiści mogą stać się przestępcami z pełną infrastrukturą, zasobami i rynkiem.

Dla zespołów Threat Intelligence (CTI) kluczowym problemem jest teraz identyfikacja i klasyfikacja threat actorów. Tradycyjne modele opierające się na „motywacja = klasyfikacja” tracą skuteczność: grupa może rano publikować manifest, a wieczorem uruchamiać kampanię RaaS za pośrednictwem afiliantów. Taka hybrydyzacja zwiększa nieprzewidywalność: źródła, infrastruktura i TTPs (taktyki, techniki, procedury) mogą pochodzić z różnych środowisk — ideologicznego i przestępczego jednocześnie. W praktyce zespoły CTI muszą zatem monitorować szerszy zestaw sygnatur, leak-site’ów, kanałów rekruterskich i rynków, łącząc sygnały z domen publicznych i z darkwebu, by szybko wychwycić zmiany w sposobie działania grup. Rzetelne analizy pokazują, że taka konwergencja nasila dynamikę zmian w ekosystemie ransomware, co komplikuje śledzenie i przewidywanie aktorów.

Więcej informacji:
https://dailysecurityreview.com/resources/threat-actors-resources/ghostsec-from-hacktivist-to-ransomware-warlord/
https://socradar.io/dark-web-profile-ghostsec/
https://www.sentinelone.com/anthology/ghostlocker-raas/

Telco

Silent smishing przy pomocy przemysłowych routerów komórkowych.

Smishing (SMS-phishing) to technika oszustwa polegająca na wysyłaniu wiadomości tekstowych w celu nakłonienia odbiorcy do kliknięcia w link lub ujawnienia danych (hasła, danych bankowych, danych osobowych). Jego skuteczność bierze się stąd, że SMS wydaje się bardziej „osobisty” niż e-mail i budzi mniejsze podejrzenia. Smishing operuje przez socjotechnikę wykorzystując fałszywe wiadomości z oszukańczymi linkami, często korzystając z technik skracania adresów URL oraz dowolnie definiować pole nadawcy wiadomości (podszywając się pod zaufane organizacje i firmy). 

Z czasem oszuści zaczęli szukać możliwości wysyłania takich wiadomości, które nie wymagają inwestycji we własną infrastrukturę. Jedną z takich nowych ścieżek jest wykorzystanie API w urządzeniach sieciowych – w szczególności w routerach z funkcjami komórkowymi. To właśnie jest „silent smishing”, który staje się szczególnie niebezpiecznym wariantem ataku. 

Raport Sekoia.io opisuje przypadki, w których atakujący wykorzystują API przemysłowych routerów komórkowych. Industrial Cellular Routers, czyli przemysłowe routery komórkowe, to specjalna kategoria urządzeń sieciowych, które umożliwiają łączenie infrastruktury przemysłowej, automatyki lub zdalnych systemów z Internetem przez sieć komórkową. W odróżnieniu od zwykłych domowych routerów Wi-Fi, routery przemysłowe są projektowane do pracy w trudnych warunkach, często 24/7, w lokalizacjach odległych, bez fizycznego nadzoru człowieka.  

Atakujący skupili się na modelach marki Milesight w celu wysyłania wiadomości SMS z linkami phishingowymi. W tym celu wykorzystywali lukę lub błędną konfigurację API routerów, które udostępniają endpoint /cgi, obsługujący operacje typu send_sms, query_outbox, query_inbox. W niektórych przypadkach funkcje te są dostępne bez uwierzytelnienia, co umożliwia atakującemu wykonywanie żądań HTTP POST z odpowiednim payloadem JSON zawierającym numer odbiorcy i treść wiadomości. 

W swojej analizie, Sekoia odkryła, że ataki te były prowadzone od co najmniej lutego 2022 roku, a kampanie nasiliły się w 2025 roku. Atakujący najpierw testowali, czy dany router może wysyłać SMS (np. wysyłając SMS do numeru testowego, którą jak się podejrzewa kontrolują przestępcy), co pozwalało odsiać urządzenia, które nie działają albo mają ograniczenia SIM. Ta walidacja pomogła efektywnie dobierać urządzenia do kampanii. Analiza zidentyfikowała, że spośród tysięcy routerów dostępnych publicznie, setki okazały się narażone na dostęp bez uwierzytelnienia do API SMS.   

Kampanie phishingowe były regionalnie ukierunkowane, z wyraźnym naciskiem na Belgię, często podszywając się pod usługi rządowe i wykorzystując komunikaty w językach niderlandzkim i francuskim. Inne kampanie objęły Francję, Szwecję, Włochy, wykorzystując nadpisy podszywające się pod operatorów telekomunikacyjnych, banków czy instytucji państwowych jako przynęty.  

Co kluczowe: atak nie polegał na zakładaniu backdoorów czy późniejszym przejmowaniu routera w sposób trwały, lecz wyłącznie na wykorzystaniu już istniejącej funkcjonalności do masowego wysyłania SMS-ów. Urządzenia pełniły rolę „proxy SMS”, bez potrzeby modyfikacji ich oprogramowania.  

Atak typu „silent smishing” ujawnia, jak łatwo lokalna infrastruktura telekomunikacyjna – często pomijana w klasycznym modelu obrony – może stać się narzędziem w rękach przestępców. Wykorzystanie API w urządzeniach z funkcją SMS do wysyłania phishingowych wiadomości bez wiedzy właściciela to nowatorski sposób rozproszenia ataku, który utrudnia wykrycie i blokowanie.

Więcej informacji:
https://blog.sekoia.io/silent-smishing-the-hidden-abuse-of-cellular-router-apis/

Oszustwa i podszycia

Stealer i cryptodrainer prosto ze Steama.

Streamer zbierający fundusze na leczenie nowotworu złośliwego został okradziony z zebranych kryptowalut przez zainstalowanie gry z oficjalnego źródła. Jeden z oglądających, będący twórcą gry, na czacie zachęcił prowadzącego transmisję Raivo Plavnieksa (RastalandTV) do pobrania prostej platformówki BlockBlasters ze Steam. Za prezentację gry streamer miał otrzymać wynagrodzenie. Gra miała prapremierę 31 lipca 2025 roku, otrzymała raczej pozytywne opinie od pierwszych graczy, lecz pojawiły się również i takie krytykujące drobne błędy widoczne w trakcie rozgrywki. W rzeczywistości gra okazała się podstępem, w sierpniu pojawiła się aktualizacja, która wstrzykiwała złośliwy kod realizujący funkcje stealera szczególnie nastawionego na kradzież kryptowalut.

To kolejna sytuacja, która zwróciła uwagę na wadliwy proces weryfikacji gier na Steam. Nawet jeżeli bezpieczeństwo pierwszej wersji zostało potwierdzone, nie są sprawdzane już aktualizacje, więc gracze nie są chronieni przed złośliwymi zmianami. W przypadku BlockBlasters, bazując na logach ze znanej bazy telemetrii dla Steama – SteamDB, „poprawka” wdrożyła plik game2.bat przejawiający zachowania charakterystyczne dla malware, co zostałe wnikliwie przeanalizowane przez analityków G DATA Security Lab. Skrypt zbierał informację o użytkowniku i jego lokalizacji, wykrywał zainstalowanego oprogramowanie antywirusowe (działał tylko przy samym Windows Defenderze), pozyskiwał dane sesji Steam, przekazywał dane do serwera C2 i uruchamiał kolejne pliki VBS. Te z kolei prowadziły do wykonania następnych skryptów .bat. Plik „test.bat” kradł informacje z rozszerzeń przeglądarek i wszelkie inne dane związane z portfelami kryptowalutowymi. Plik „1.bat” dodawał odpowiednią ścieżkę do wyjątków Windows Defender i wykonywał dwa pliki EXE po upewnieniu się o poprawnym połączeniu z serwerem C2. Ostateczne payloady to backdoor (Client-built2.exe) oraz stealer (Block1.exe) sklasyfikowany jako StealC działający w modelu MaaS. Konfiguracja serwera C2 umożliwiała przeglądanie plików tam zawartych, co pozwoliło analitykom na dotarcie do pliku zawierającego dane dostępowe do kanału na Telegramie, na który wysyłane były skradzione dane.

Społeczność powiązana z kryptowalutami i cyberbezpieczeństwem poruszona stratą zbieranych funduszy dokładnie przeanalizowała sprawę doprowadzając do wskazania potencjalnych sprawców celowanego ataku. Stealery działają na masową skalę, pojawiają się nawet w reklamach w mediach społecznościowych lub wiadomościach e-mail, lecz personalne zachęcenie chorej osoby zbierającej środki na leczenie zapewniło sprawie duży rozgłos. Dzięki temu udało się także zrekompensować stratę streamera, który otrzymał nie tylko równowartość skradzionych kryptowalut, ale i kolejne wpłaty. Ofiar z pewnością było więcej, choć być może nie stracili tak wiele lub ich sprawa nie stała się dostatecznie medialna. Gra została usunięta ze Steam, lecz wcześniej atakujący próbując zatrzeć ślady usunęli wszystkie złośliwe pliki. SteamDB już wcześniej oznaczyło grę jako podejrzaną, ale jako podmiot niepowiązany oficjalnie z Valve nie mieli wpływu na obecność gry na platformie Steam.

Jak pokazał ten atak, nie można uznawać pobierania oprogramowania i gier z oficjalnego źródła za niezawodną prewencję infekcji złośliwym oprogramowaniem typu stealer. Zaufanie do niektórych oficjalnych źródeł może być bezpodstawne lub zbyt duże. Środowiska, na które pobieramy treści związane z rozrywką i te, gdzie obsługujemy portfele kryptowalutowe oraz bankowość warto separować. Jeżeli nie my zainstalujemy strojanizowaną grę, to dzieci korzystając ze współdzielonego komputera mogą doprowadzić do infekcji skutkującej kradzieżą naszych danych i pieniędzy.

Więcej informacji:
https://www.gdatasoftware.com/blog/2025/09/38265-steam-blockblasters-game-downloads-malware
https://www.404media.co/steam-hosted-malware-game-that-stole-32-000-from-a-cancer-patient-live-on-stream/
https://zaufanatrzeciastrona.pl/post/okradli-chlopaka-chorego-na-raka-internet-im-nie-wybaczyl/

Cyberwar

Krajobraz cyberwojny w ukraińskiej cyberprzestrzeni.

Cyberwojna charakteryzuje się dużą dynamiką działań i częstymi zmianami, mającymi na celu zaskakiwanie przeciwnika i poszukiwanie nowych, skutecznych wektorów ataku. Tygodniowe podsumowanie przygotowane przez zespół ukraińskiej cyberobrony daje syntetyczny obraz wydarzeń oraz trendów jakie miały miejsce w teatrze cyberwojny.

Z przygotowanego podsumowania dowiadujemy się, iż nowym i istotnym zjawiskiem są cyberataki wymierzone w członków Sił Obronnych Ukrainy, polegające na rozprzestrzenianiu nowego konia trojańskiego typu backdoor o nazwie Cabinet RAT. Jego instalacja przebiega wieloetapowo – rozpoczyna się od dystrybucji archiwów zawierających programy ładujące w postaci plików XLL (uruchamianych jako aplikacje w programie Excel), a następnie pobierane są kolejne etapy złośliwego oprogramowania i odszyfrowywany jest shellcode ukryty w plikach graficznych. Ze względu na złożoność i wysoką jakość wykonania Cabinet RAT, te cyberataki przypisuje się grupie powiązanej z rosyjskim GRU. Ze względu na nowatorskie TTP (taktyki, techniki i procedury) CERT-UA przydzielił tej grupie aktywności osobny identyfikator UAC-0245 i nadał wysoki priorytet zagrożeniom związanym z tą grupą.

Nasileniu uległy również kampanie phishingowe wykorzystujące motywy pomocy humanitarnej. Ataki te posługują się zaawansowanymi technikami socjotechnicznymi i technicznymi, takimi jak nakłanianie ofiar do ręcznego uruchamiania złośliwego kodu PowerShell (technika ClickFix) lub stosowanie phishingu OAuth w celu przechwytywania tokenów dostępu do usług Google.

Wśród aktywnych grup hakerskich wciąż znajdują się APT UAC-0010/Armageddon, UAC-0195, UAC-0150 oraz UAC-0050, wykorzystujące rodziny złośliwego oprogramowania takie jak AgentTesla, DonutLoader, FormBook, GuLoader, ModiLoader, NetSupport RAT oraz Remcos RAT.

Ponadto rosyjskie grupy haktywistów przeprowadziły w ostatnim tygodniu ataki DDoS na strony rządowe, administracje lokalne, media oraz przedsiębiorstwa z sektorów transportowego, energetycznego i bankowego w Czechach, Wielkiej Brytanii, Rumunii, Włoszech, Finlandii i Danii. Cyberataki oraz operacje informacyjne wymierzone w Czechy zbiegły się w czasie z kampanią mającą na celu ingerencję w tamtejsze wybory parlamentarne. Działania te obejmowały publikację rzekomych wycieków kont urzędników państwowych oraz twierdzenia o kompromitacji systemów sterowania przemysłowego (ICS) infrastruktury wodno-kanalizacyjnej.
Haktywiści ponownie próbują tworzyć nowe sojusze, co odzwierciedla utrzymujące się dążenie rosyjskich służb wywiadowczych do ponownego scentralizowania kontroli i prowadzenia bardziej zsynchronizowanych operacji hybrydowych.

Przewiduje się także pojawienie nowego zagrożenia związanego z testami beta nowej usługi e-mailowej Cloudflare, umożliwiającej wysyłanie wiadomości bezpośrednio z platformy serwerowej Cloudflare Workers. Istnieje wysokie prawdopodobieństwo, że usługa ta zostanie wykorzystana do kampanii phishingowych i dezinformacyjnych, również przez rosyjskie grupy hakerskie – podobnie jak technologia tunelowania Cloudflare jest dziś używana do ukrywania infrastruktury Command-and-Control C2.

Niebezpieczeństwo wynika z faktu, że infrastruktura IP Cloudflare może być używana do omijania tradycyjnych filtrów i systemów bezpieczeństwa, co mocno zwiększa skuteczność kampanii phishingowych i utrudnia ich atrybucję. Blokowanie zakresów adresów IP Cloudflare jest w praktyce niemożliwe, ponieważ prowadziłoby do zakłóceń w dostępie do ogromnej liczby legalnych usług internetowych.

Więcej informacji:
Serhii Demediuk, Ukrainian Cyber Defense, Threat Landscape https://www.linkedin.com/feed/update/urn:li:activity:7380860296392933376
https://cert.gov.ua/article/6285549

Złośliwe oprogramowanie

Detour Dog.

Badacze Infoblox zidentyfikowali klaster aktywności nazwany Detour Dog, w którym centralne miejsce zajmuje manipulacja systemem DNS i wykonywanie poleceń „po stronie serwera” kompromitowanych witryn. Kampania nie jest prostym mechanizmem przekierowań, ale rozbudowanym ekosystemem, w którym zapytania DNS i rekordy TXT służą równocześnie do sterowania przebiegiem ataku i do przekazywania zakodowanych instrukcji oraz fragmentów payloadów, a większość decyzji wykonawczych zapada po stronie serwera WWW, co znacząco zaciera ślady i utrudnia korelację zdarzeń.

Łańcuch infekcji rozpoczyna się od masowej kompromitacji witryn internetowych. Operatorzy wstrzykują złośliwe elementy do kodu stron lub wykorzystują zainfekowane wtyczki i komponenty CMS tak, że zwykła wizyta użytkownika trafia na warunkowy skrypt uruchamiany po stronie serwera. Skrypt ten, po spełnieniu określonych kryteriów (na przykład geolokalizacji odwiedzającego lub typu urządzenia), wykonuje zapytanie DNS do domen kontrolowanych przez Detour Dog. Format zapytania ma ustandaryzowaną strukturę zawierającą identyfikator zainfekowanego hosta, zakodowany adres IP odwiedzającego, losowy numer i opcjonalne pole „type”, dzięki czemu nazwy subdomen przenoszą informacje o instancji i kontekście ataku. Od kwietnia 2024 r. zapytania te wykonuje się po stronie serwera, co zwiększyło skalę i trudność wykrycia. Serwer DNS kontrolowany przez operatorów odpowiada rekordem TXT, który jest zakodowany Base64 i często zawiera słowo „down”, co w praktyce instruuje serwis WWW do pobrania i uruchomienia zewnętrznego zasobu. Odpowiedzi te mają ustandaryzowany kształt typu https://<domena_przekierowująca>/?<ciąg_alfanumeryczny>, gdzie ciąg alfanumeryczny zmienia się w każdej odpowiedzi i pełni rolę identyfikatora lub tokenu. W ten sposób DNS pełni rolę sygnalizacyjną i wskaźnikową — wskazuje, skąd pobrać rzeczywisty ładunek hostowany na innych serwerach — a operacja wykonania odbywa się na warstwie HTTP, co celowo rozdziela ślady ataku pomiędzy DNS i hosting.

Dla rozprzestrzeniania treści zewnętrznych operatorzy wykorzystują rozmaite redirectory i systemy pośredniczące, a więc w praktyce odpowiedzi TXT często zawierały domeny-redirectory, które kierowały dalej do tzw. Help TDS (Traffic Distribution System) lub bezpośrednio do hostów stagingowych. Detour Dog ręcznie tworzy i przenosi identyfikatory śledzące pomiędzy różnymi TDS-ami, dzięki czemu można połączyć rozproszone aktywności i śledzić łańcuchy przekierowań przez długi czas. Taki atak łączy kompromitowane witryny z globalnym ekosystemem TDS/affiliate, co umożliwia szerokie maskowanie i monetyzację ruchu, albo jego przekierowanie na bardziej złośliwe ładunki, gdy warunki są sprzyjające.

Po pobraniu wskazanego pliku z serwera zewnętrznego uruchamiany jest prosty loader lub backdoor, zidentyfikowany jako StarFish, który pełni rolę pośrednika między infrastrukturą Detour Dog a finalnym ładunkiem. StarFish funkcjonuje jako staging host, pobierając i uruchamiając właściwy stealer, najczęściej Strela. Po uruchomieniu Strela przeprowadza typowe operacje stealera: ekstrakcję poświadczeń i danych z przeglądarek oraz przesyłanie skradzionych informacji do infrastruktury C2. Część transferów i uruchomień odbywa się warunkowo, co ogranicza bezpośrednią liczbę zainfekowanych hostów i jednocześnie pozwala operacji rozproszyć staging na wielu, niezależnych zasobach.

Analiza wykazała, że znacząca większość potwierdzonych hostów stagingowych StarFish była kontrolowana przez operatorów Detour Dog, co wskazuje na ściśle powiązaną infrastrukturę DNS i hostingową działającą jako jeden ekosystem operacyjny. Dzięki takiemu rozdzieleniu logiki, gdy DNS pełni rolę wskaźnika, a zewnętrzny hosting dostarcza faktyczny nośnik ładunku, atak staje się trudniejszy do skorelowania i zablokowania jedynie przy użyciu reguł opartych na inspekcji HTTP. Operatorzy mogą przemieścić staging lub rotować domeny bez przerywania działania, co zwiększa odporność kampanii na działania obronne.

Technicznie komunikacja między zainfekowanym serwisem a infrastrukturą atakujących jest zaprojektowana tak, by omijać statyczne sygnatury detekcji. Operatorzy zapisują dane w rekordach TXT o dużej długości lub kodują fragmenty informacji bezpośrednio w etykietach subdomen, co umożliwia przesyłanie poleceń oraz małych fragmentów eksfiltrowanych danych. Mechanizm potrafi działać w trybie inicjalizacyjnym „knock”, w którym krótka seria zapytań sygnalizuje gotowość do dalszego przebiegu, po czym następuje rotacja subdomen generowana algorytmicznie lub oparta na krótkich tokenach, co utrudnia śledzenie kanału C2. Operatorzy stosują także rotację domen, techniki fast-flux, wykorzystanie CDN oraz różnych TLD, a wartości TTL bywają ustawiane na bardzo krótkie, gdy trzeba szybko przenieść infrastrukturę, albo na bardzo długie, gdy zależy im na stabilności wskazań. W praktyce w obrębie łańcucha występuje enkodowanie w Base64, proste operacje XOR, a w istotnych fragmentach payloadów stosowane jest szyfrowanie z uwiarygodnieniem typu AEAD. Wykorzystanie standardowego portu DNS i fragmentacja danych w małych porcjach w etykietach sprawiają, że skuteczna detekcja wymaga analizy anomalii w zapisach DNS, a nie jedynie inspekcji ruchu HTTP.

Detour Dog to kampania łącząca kompromitowane witryny, manipulację DNS oraz stagingowe hosty, w której DNS pełni funkcję zarówno sygnalizacyjną, jak i transmisyjną. Sekwencja zdarzeń jest konsekwentna: kompromitacja serwisu powoduje wysłanie zapytania DNS z zakodowanymi etykietami, name-server odpowiada danymi w rekordzie TXT zawierającymi instrukcję pobrania, zewnętrzny host dostarcza plik, stagingowy loader StarFish uruchamia Strela Stealer, a Strela przeprowadza ekstrakcję i wysyła skradzione informacje. Aby przerwać ten łańcuch, obrona musi być wielowarstwowa i oparta na korelacji telemetrii. Należy monitorować zapytania DNS pod kątem anomalii, w tym wyjątkowo długich etykiet subdomen, wielu poziomów subdomen skierowanych do jednego TLD oraz nagłych skoków zapytań TXT o nietypowej długości. Równocześnie trzeba korelować zapytania DNS z aktywnością HTTP i procesową na hostach, bo kiedy zapytanie TXT jest natychmiast lub w krótkim oknie czasowym skorelowane z pobraniem pliku z zewnętrznego URL, jest to mocny sygnał stagingu. Ograniczenie możliwości bezpośrednich zapytań klientów do dowolnych zewnętrznych resolverów i wymuszenie korzystania z kontrolowanych, logowanych serwerów DNS znacząco zmniejsza powierzchnię operacyjną atakujących i ułatwia identyfikację zainfekowanych maszyn.

Więcej informacji:
https://blogs.infoblox.com/threat-intelligence/detour-dog-dns-malware-powers-strela-stealer-campaigns

CVE tygodnia

Krytyczna podatność w Oracle E-Business Suite.

W ubiegłym tygodniu opublikowane zostały raporty o krytycznej podatności w Oracle E-Business Suite oznaczonej jako CVE-2025-61882, która umożliwia zdalne wykonanie kodu bez uwierzytelnienia i już została powiązana z aktywnymi kampaniami wymuszeń. Luka dotyczy instalacji Oracle EBS w wersjach 12.2.3–12.2.14 i bezpośrednio wpływa na moduł integracyjny odpowiedzialny za przetwarzanie zadań równoległych oraz komponent BI Publisher. Oracle sklasyfikował ją jako krytyczną z bazowym wynikiem CVSS v3.1 na poziomie 9.8 i opublikował Security Alert zawierający poprawki, szczegółowe instrukcje ich instalacji oraz zestaw wskaźników kompromitacji obejmujących adresy IP, hashe plików i wzorce poleceń reverse shell wykorzystywane w atakach.

W praktyce wykorzystanie CVE-2025-61882 pozwala na wykonanie poleceń na serwerze aplikacyjnym, co w obserwowanych przypadkach prowadziło do uruchomienia reverse shelli, eskalacji uprawnień w kontekście aplikacji oraz do instalacji złośliwego oprogramowania wykorzystywanego w ruchu bocznym i eksfiltracji danych. Raporty badaczy oraz doniesienia medialne opisują przypadki, w których atakujący wykorzystywali skompromitowane instancje Oracle EBS do uzyskania dostępu do wrażliwych danych, manipulacji procesami biznesowymi oraz szybkiego wdrożenia żądań okupu wobec organizacji i osób decyzyjnych. W części analiz grupa ransomware-as-a-service CL0P została powiązana z atakami in-the-wild. Według badaczy exploit dla CVE-2025-61882 został szybko zaadaptowany przez operatorów tej grupy do przejęcia kont w Oracle EBS i budowy wektorów wymuszeń.

Natychmiastowe działania, które powinny zostać podjęte przez zespoły operacyjne, obejmują zastosowanie poprawek udostępnionych przez Oracle na wszystkich podatnych instancjach oraz tymczasowe ograniczenie lub całkowite zablokowanie publicznego dostępu do EBS, jeśli taki dostęp istnieje. Niezbędne jest również wdrożenie reguł ochronnych w zaporach aplikacyjnych i firewallach, które ograniczą ruch do endpointów BI Publisher i komponentów Concurrent Processing. Równolegle należy zidentyfikować udostępnione IOC, analizując logi HTTP, logi proxy i logi serwerów aplikacyjnych pod kątem anomalii oraz monitorując procesy wskazujące na uruchamianie reverse shelli czy nietypowe transfery plików.

CVE-2025-61882 jest podatnością o bardzo niskim progu wejścia i wysokim potencjale destrukcyjnym, a jej wykorzystanie w realnych kampaniach ransomware pokazuje, że organizacje korzystające z Oracle E-Business Suite muszą nadać jej absolutny priorytet. Tylko szybkie wdrożenie poprawek, ograniczenie powierzchni ataku, aktualizacja reguł detekcyjnych oraz systematyczne poszukiwanie wskaźników kompromitacji mogą zminimalizować ryzyko utraty danych, zakłóceń działania usług i strat reputacyjnych wynikających z działań przestępczych.

Więcej informacji:
https://www.oracle.com/security-alerts/alert-cve-2025-61882.html
https://www.halcyon.ai/ransomware-research-reports/security-alert-cl0p-abuses-oracle-e-business-suite-for-account-takeover
https://www.bloomberg.com/news/articles/2025-10-02/cyber-group-extorting-executives-with-claims-of-stolen-data