Wojciech Ciemski, Autor w serwisie Security Bez Tabu

DragonForce ukrywa ruch C2 w infrastrukturze Microsoft Teams Relay

Wprowadzenie do problemu / definicja

Cyberprzestępcy coraz częściej wykorzystują legalne usługi chmurowe do maskowania komunikacji z serwerami dowodzenia i kontroli. W najnowszym przypadku grupa ransomware DragonForce ukrywała ruch C2 w infrastrukturze relay powiązanej z Microsoft Teams, przez co złośliwa aktywność mogła przypominać zwykły ruch biznesowy do zaufanej platformy.

To ważny sygnał dla zespołów bezpieczeństwa, ponieważ klasyczne podejście oparte na reputacji domen, adresów IP i listach usług dozwolonych staje się coraz mniej skuteczne. Jeśli malware tuneluje komunikację przez powszechnie wykorzystywane środowisko SaaS, wykrycie incydentu wymaga znacznie głębszej korelacji danych z sieci, endpointów i tożsamości.

W skrócie

DragonForce wykorzystał malware Backdoor.Turn do ukrywania komunikacji C2 w infrastrukturze TURN używanej przez Microsoft Teams.
Atakujący pozyskiwali anonimowy token gościa i zestawiali połączenie przez legalny relay, aby ruch wyglądał jak zaufana komunikacja.
Kampania została powiązana z atakiem na dużą firmę usługową w USA.
W łańcuchu ataku użyto także DLL sideloading, technik BYOVD, eskalacji uprawnień i finalnego wdrożenia ransomware po eksfiltracji danych.

Kontekst / historia

DragonForce jest znaną operacją ransomware aktywną co najmniej od 2023 roku. Grupa była wcześniej opisywana jako podmiot działający w modelu zbliżonym do kartelu, korzystający z rozproszonego zaplecza przestępczego i elastycznych metod prowadzenia ataków.

W analizowanym incydencie szczególną uwagę zwrócił nie tylko sam etap szyfrowania danych, ale przede wszystkim sposób utrzymywania ukrytej komunikacji po uzyskaniu dostępu do środowiska ofiary. To właśnie wykorzystanie infrastruktury Microsoft Teams Relay pokazuje, że techniki znane dotąd z analiz badawczych zaczynają być stosowane w realnych operacjach ransomware.

Znaczenie tego przypadku wzmacnia wcześniejsze zainteresowanie badaczy możliwością nadużywania usług konferencyjnych i mechanizmów TURN do tworzenia ukrytych tuneli komunikacyjnych. Obecnie widać już wyraźne przejście od koncepcji teoretycznej do praktycznego użycia w atakach wymierzonych w przedsiębiorstwa.

Analiza techniczna

Centralnym elementem kampanii było złośliwe oprogramowanie Backdoor.Turn, opisane jako trojan zdalnego dostępu napisany w języku Go. Malware wykorzystywał protokół TURN, czyli mechanizm pośredniczący w komunikacji sieciowej w sytuacji, gdy bezpośrednie połączenie między stronami jest utrudnione, na przykład przez translację adresów lub ograniczenia sieciowe.

Schemat działania polegał na uzyskaniu anonimowego tokenu gościa Microsoft Teams, a następnie na zainicjowaniu komunikacji przez legalny serwer relay. W praktyce pozwalało to tunelować ruch C2 tak, aby z perspektywy monitoringu przypominał standardowe połączenia związane z usługą Teams. To znacząco utrudnia wykrywanie oparte wyłącznie na analizie miejsca docelowego ruchu.

Według opisu incydentu atak rozpoczął się prawdopodobnie od wykorzystania nieznanej podatności w serwerze SQL lub MSSQL. Po uzyskaniu dostępu napastnicy pobrali archiwum ZIP zawierające legalny plik wykonywalny, taki jak VirtualBox lub DbgView, oraz złośliwą bibliotekę DLL przeznaczoną do sideloadingu. Taki mechanizm pozwala uruchomić szkodliwy kod w kontekście zaufanego procesu i utrudnia analizę operacyjną.

Kolejny etap obejmował utrwalanie dostępu i osłabianie zabezpieczeń. Atakujący tworzyli nieautoryzowane konta użytkowników, modyfikowali polityki bezpieczeństwa Windows, zmieniali ustawienia zapory oraz przygotowywali środowisko do dalszych działań. Następnie zastosowali technikę Bring Your Own Vulnerable Driver, wykorzystując podatne sterowniki do uzyskania uprawnień jądra i wyłączania narzędzi ochronnych.

W analizie wskazano użycie kilku podatnych lub nadużywanych sterowników, a także złośliwego sterownika ABYSSWORKER podszywającego się pod legalny komponent. To istotny element łańcucha ataku, ponieważ BYOVD pozwala omijać ochronę endpointów jeszcze przed wdrożeniem właściwego ładunku ransomware.

Sam Backdoor.Turn został wstrzyknięty do procesu DbgView64.exe po wdrożeniu ransomware, co sugeruje funkcję utrzymania dostępu, dalszego rozpoznania lub przygotowania kolejnych operacji. Możliwości backdoora obejmowały wykonywanie poleceń, uruchamianie procesów, skanowanie sieci, przeszukiwanie LDAP i Active Directory, przechwytywanie certyfikatów TLS, zbieranie tytułów stron WWW oraz kradzież poświadczeń z przeglądarek.

Konsekwencje / ryzyko

Najpoważniejsze ryzyko wynika z nadużycia zaufanej infrastruktury komunikacyjnej do ukrywania złośliwego ruchu. W wielu organizacjach Microsoft Teams i podobne usługi są szeroko dopuszczane przez firewalle, serwery proxy oraz polityki dostępu. To sprawia, że część złośliwej aktywności może nie wzbudzić alarmu, jeśli analiza opiera się głównie na prostym allowlistingu.

Z perspektywy operacyjnej taki model komunikacji obniża skuteczność klasycznych detekcji C2. Ruch nie musi prowadzić do domen o złej reputacji ani do nietypowych lokalizacji geograficznych, a jego charakter może przypominać codzienne wykorzystanie legalnej platformy komunikacyjnej. W rezultacie rośnie poziom szumu, a próg wykrycia rzeczywistego incydentu wyraźnie spada.

Dodatkowo połączenie tej techniki z DLL sideloading, BYOVD, eksfiltracją danych i wdrożeniem ransomware znacząco zwiększa skalę zagrożenia. Ofiara może mieć do czynienia jednocześnie z długotrwałą obecnością napastnika w środowisku, pogłębionym rozpoznaniem infrastruktury, kradzieżą danych i destrukcyjnym etapem szyfrowania systemów.

Rekomendacje

Organizacje powinny odejść od założenia, że ruch do zaufanych platform SaaS jest z definicji bezpieczny. W praktyce oznacza to konieczność analizy behawioralnej połączeń, uwzględniającej proces inicjujący ruch, kontekst użytkownika, czas aktywności oraz korelację z telemetrią bezpieczeństwa.

Monitorować połączenia do usług komunikacyjnych pod kątem nietypowych procesów i niestandardowych wzorców ruchu.
Wdrażać detekcję DLL sideloading oraz uruchamiania legalnych binariów z nietypowych lokalizacji.
Ograniczać ładowanie sterowników poprzez listy dozwolonych, HVCI i Windows Defender Application Control.
Aktywnie wykrywać techniki BYOVD poprzez monitoring instalacji i uruchamiania podatnych sterowników.
Wzmocnić ochronę serwerów SQL i MSSQL, które często pełnią rolę punktu wejścia.
Regularnie audytować nowe konta użytkowników, zmiany polityk systemowych i lokalne uprawnienia administracyjne.
Analizować ruch związany z Teams pod kątem anomalii wolumenowych, czasowych i procesowych.
Rozszerzyć reguły SIEM, EDR i NDR o wskaźniki kompromitacji oraz scenariusze threat hunting związane z nadużyciem infrastruktury konferencyjnej.

Zespoły reagowania na incydenty powinny również uwzględnić w playbookach możliwość wykorzystywania legalnych usług konferencyjnych jako kanału C2. Taki scenariusz wymaga innych metod triage niż klasyczne infekcje komunikujące się z oczywiście podejrzaną infrastrukturą.

Podsumowanie

Przypadek DragonForce pokazuje wyraźną ewolucję ataków ransomware w kierunku bardziej dyskretnych i trudniejszych do wykrycia technik operacyjnych. Wykorzystanie relay TURN powiązanego z Microsoft Teams nie jest jedynie ciekawostką techniczną, lecz praktycznym sposobem obchodzenia zaufania, jakim organizacje obdarzają popularne usługi chmurowe.

Połączenie tej metody z sideloadingiem DLL, nadużyciem podatnych sterowników, eskalacją uprawnień i eksfiltracją danych tworzy dojrzały łańcuch ataku zdolny do omijania wielu standardowych mechanizmów ochronnych. Dla obrońców oznacza to konieczność głębszej analizy legalnego ruchu SaaS, twardszej kontroli sterowników oraz lepszej korelacji sygnałów z warstwy endpoint, sieci i tożsamości.

Źródła

DOJ przejmuje domeny CFAKE i SOCFAKE. Deepfake pornograficzne pod presją TAKE IT DOWN Act

Wprowadzenie do problemu / definicja

Deepfake to materiał audio, wideo lub obraz wygenerowany albo zmanipulowany przy użyciu modeli sztucznej inteligencji w sposób, który wiarygodnie przedstawia osobę w sytuacji, jaka nigdy nie miała miejsca. W ostatnich latach technologia ta coraz częściej służy do tworzenia niekonsensualnych materiałów intymnych, oszustw socjotechnicznych, podszywania się pod znane osoby oraz działań uderzających w prywatność i reputację ofiar.

Najnowsza operacja amerykańskich organów ścigania pokazuje, że deepfake przestaje być wyłącznie problemem etycznym i platformowym. Staje się również przedmiotem zdecydowanej egzekucji prawa karnego, czego przykładem jest przejęcie domen CFAKE.com i SOCFAKE.com, które miały służyć do publikacji pornografii deepfake przedstawiającej kobiety bez ich zgody.

W skrócie

Amerykański Departament Sprawiedliwości poinformował 15 czerwca 2026 r. o przejęciu domen CFAKE.com i SOCFAKE.com. Według władz serwisy hostowały wygenerowane przez AI nagie obrazy i filmy przedstawiające kobiety bez ich zgody, w tym osoby publiczne z wielu państw.

Operacja została przeprowadzona przez Homeland Security Investigations oraz Departament Sprawiedliwości we współpracy międzynarodowej z Francją i Włochami. Śledztwo miało rozpocząć się po sygnale włoskiej policji ds. poczty i cyberbezpieczeństwa, a działania doprowadziły także do zatrzymania podejrzanego w Nicei 10 czerwca 2026 r. oraz zajęcia powiązanych aktywów cyfrowych.

przejęto dwie domeny powiązane z publikacją pornografii deepfake,
sprawa ma charakter międzynarodowy i obejmuje współpracę kilku państw,
to jeden z pierwszych głośnych przykładów egzekucji TAKE IT DOWN Act wobec infrastruktury internetowej.

Kontekst / historia

Problem niekonsensualnych treści generowanych przez AI narasta wraz z popularyzacją modeli generatywnych, narzędzi do syntezy twarzy oraz usług automatyzujących tworzenie obrazów i wideo. Początkowo dominowały przypadki dotyczące celebrytów, jednak z czasem zjawisko rozszerzyło się na polityczki, dziennikarki, sportsmenki i inne osoby publiczne.

W tej sprawie treści publikowane przez wskazane serwisy miały obejmować seksualnie jednoznaczne cyfrowe fałszerstwa przedstawiające rozpoznawalne kobiety ze świata polityki, mediów, rozrywki i sportu. Według dostępnych informacji włoskie organy miały wszcząć postępowanie już w październiku 2025 r., a następnie uzyskać nakaz blokady dostępu do witryn i przekazać zgromadzone dowody partnerom zagranicznym.

Sprawa dobrze ilustruje transgraniczny charakter cyberprzestępczości. Infrastruktura, operatorzy, użytkownicy i przepływy finansowe często funkcjonują w różnych jurysdykcjach, co wymusza ścisłą współpracę międzynarodową oraz łączenie narzędzi prawnych, technicznych i operacyjnych.

Analiza techniczna

Z perspektywy technicznej nie jest to klasyczny incydent oparty na exploicie czy malware. Mamy tu do czynienia z nadużyciem infrastruktury internetowej do dystrybucji treści generowanych przez AI. Źródłem zagrożenia nie była luka w oprogramowaniu, lecz operacyjne wykorzystanie domen, hostingu, systemów publikacji i kanałów monetyzacji do wspierania nielegalnego modelu działania.

Ekosystem tego typu serwisów zwykle obejmuje kilka kluczowych warstw:

domeny będące publicznym punktem wejścia do usługi,
backend do przesyłania, przechowywania i publikacji obrazów oraz materiałów wideo,
mechanizmy ukrywania operatorów i zaplecza technicznego,
systemy płatności cyfrowych i potencjalnie kryptowalut,
procesy pozyskiwania materiałów źródłowych i generowania treści z użyciem modeli AI.

Po przejęciu domen użytkownicy zobaczyli komunikat o zajęciu zasobu na podstawie nakazu sądowego. Tego rodzaju działanie ma podwójny efekt: ogranicza dostępność usługi oraz działa odstraszająco, pokazując, że warstwa dystrybucyjna może zostać szybko wyłączona nawet wtedy, gdy sama treść jest łatwa do powielenia.

Jednocześnie takie operacje mają charakter częściowego remedium. Operatorzy podobnych serwisów mogą próbować odtwarzać działalność pod nowymi domenami, korzystać z hostingu offshore, CDN-ów, reverse proxy lub migrować do bardziej zamkniętych kanałów komunikacji. Dlatego skuteczna odpowiedź wymaga również identyfikacji operatorów, śledzenia przepływów finansowych oraz współpracy z rejestratorami, hostingiem i platformami płatniczymi.

Konsekwencje / ryzyko

Ryzyko związane z pornografią deepfake jest wielowarstwowe. Dla ofiar oznacza naruszenie prywatności, szkody reputacyjne, stres psychologiczny oraz ryzyko wtórnej wiktymizacji wskutek dalszego kopiowania i rozpowszechniania materiałów.

Z perspektywy bezpieczeństwa informacji deepfake należy postrzegać szerzej niż wyłącznie jako problem treści intymnych. Te same techniki mogą być wykorzystywane do:

tworzenia materiałów kompromitujących używanych w szantażu,
budowania wiarygodnych person do spear phishingu,
podszywania się pod kadrę kierowniczą w oszustwach typu business email compromise,
obchodzenia części procesów weryfikacji opartych na obrazie lub głosie,
wzmacniania kampanii dezinformacyjnych.

Dodatkowym problemem jest skala automatyzacji. Narzędzia generatywne obniżają koszt wejścia, skracają czas produkcji treści i zwiększają możliwość personalizacji ataków. W praktyce oznacza to, że deepfake coraz częściej staje się elementem większych operacji cyberprzestępczych, a nie tylko odrębnym zjawiskiem medialnym.

Egzekucja TAKE IT DOWN Act wysyła też czytelny sygnał regulacyjny do platform internetowych. Ustawa wzmacnia presję na operatorów serwisów, aby szybciej reagowali na zgłoszenia, usuwali nielegalne treści oraz współpracowali z organami ścigania i poszkodowanymi.

Rekomendacje

Organizacje powinny uwzględnić zagrożenia związane z deepfake w swoich programach cyberbezpieczeństwa, nawet jeśli nie działają w branży medialnej. Szczególnie istotne są procedury reagowania, niezależne kanały potwierdzania tożsamości oraz gotowość do szybkiego zgłaszania nadużyć.

wdrożenie procedur reagowania na incydenty związane z podszywaniem się pod pracowników i kadrę zarządzającą,
przygotowanie procesu szybkiego zgłaszania i eskalacji treści naruszających prywatność lub wizerunek,
monitorowanie ekspozycji marki, nazwisk kierownictwa i otwartych źródeł,
ograniczenie nadmiernej publikacji wysokiej jakości materiałów biometrycznych,
stosowanie wieloskładnikowej weryfikacji tożsamości w procesach wysokiego ryzyka,
szkolenia dla zespołów SOC, fraud i PR w zakresie rozpoznawania syntetycznych mediów,
ścisła współpraca z działem prawnym i dostawcami platform w celu szybkiego usuwania treści oraz zabezpieczania materiału dowodowego.

W środowiskach korporacyjnych szczególnie ważne jest odejście od założenia, że nagranie audio, zdjęcie lub krótki klip wideo stanowią wiarygodny dowód tożsamości. Procesy dotyczące płatności, zmian danych dostępowych, zatwierdzania przelewów czy udostępniania poufnych informacji powinny zawsze obejmować dodatkowy, niezależny kanał potwierdzenia.

Podsumowanie

Przejęcie domen CFAKE i SOCFAKE pokazuje, że walka z deepfake wchodzi w nową fazę. Technologia generatywna jest traktowana nie tylko jako źródło nadużyć wizerunkowych, lecz również jako obszar aktywnej egzekucji prawa karnego i współpracy międzynarodowej.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że syntetyczne media należy włączyć do modelu zagrożeń organizacji. Deepfake nie jest już wyłącznie problemem reputacyjnym, ale coraz częściej staje się realnym elementem krajobrazu cyberzagrożeń, wymagającym połączenia środków technicznych, operacyjnych, prawnych i edukacyjnych.

Źródła

DOJ seizes CFAKE, SOCFAKE deepfake nude sites under TAKE IT DOWN Act — https://www.bleepingcomputer.com/news/security/doj-seizes-cfake-socfake-deepfake-nude-sites-under-take-it-down-act/
U.S. Department of Justice announcement — https://www.justice.gov/
TAKE IT DOWN Act — Congress.gov — https://www.congress.gov/
Sky TG24 report on the investigation — https://tg24.sky.it/

SprySOCKS trafia na Windows: backdoor powiązany z Chinami zyskuje stealth w kernelu

Wprowadzenie do problemu / definicja

SprySOCKS to zaawansowany backdoor wykorzystywany w operacjach cybernetycznego szpiegostwa. Dotąd był kojarzony głównie z systemami Linux, jednak nowe ustalenia pokazują, że narzędzie doczekało się także wariantów dla Windows, co znacząco zwiększa jego wartość operacyjną dla atakujących.

Rozszerzenie możliwości malware na środowiska wieloplatformowe oznacza większą elastyczność podczas utrzymywania dostępu, poruszania się po sieci oraz prowadzenia długotrwałych kampanii przeciwko organizacjom korzystającym z różnych systemów operacyjnych.

W skrócie

Odkryto dwa warianty SprySOCKS dla Windows: WIN_DRV oraz WIN_PLUS.
Oba warianty komunikują się z infrastrukturą C2 przez TCP, UDP i WebSocket.
WIN_DRV wykorzystuje sterowniki kernela do ukrywania procesów, plików, kluczy rejestru i połączeń sieciowych.
WIN_PLUS nadużywa usługi Print Spooler oraz mechanizmu print processor do uruchamiania złośliwych komponentów.
Artefakty łączono z atakami wymierzonymi m.in. w podmioty rządowe w Hondurasie, Tajwanie, Tajlandii i Pakistanie.

Kontekst / historia

SprySOCKS został publicznie opisany jako narzędzie używane przez klaster aktywności wiązany z Chinami, najczęściej łączony z nazwą Earth Lusca. W środowisku threat intelligence grupa ta była również zestawiana z szerszym ekosystemem operacji przypisywanych do zaplecza Winnti.

Najważniejszą zmianą w najnowszych analizach jest przejście od implantu postrzeganego jako specjalistyczny backdoor linuksowy do dojrzałego narzędzia wieloplatformowego. Taka ewolucja zwykle sugeruje inwestycję w rozwój zestawu ofensywnego, chęć zwiększenia skali działań oraz nacisk na długoterminowe operacje szpiegowskie.

Wcześniejsze obserwacje wskazywały również, że operatorzy tego klastra potrafili wykorzystywać znane podatności w systemach brzegowych i publicznie dostępnych usługach. Oznacza to, że kampanie z użyciem SprySOCKS mogą łączyć skuteczny dostęp początkowy z rozbudowanymi mechanizmami utrzymania obecności w środowisku ofiary.

Analiza techniczna

Windowsowe warianty zachowują wiele cech architektury znanej z wersji dla Linuksa. Dotyczy to logiki komend, sposobu komunikacji z serwerem dowodzenia oraz części mechanizmów operacyjnych. Z perspektywy analitycznej nie jest to więc całkowicie nowe malware, lecz adaptacja sprawdzonego implantu do natywnych mechanizmów Windows.

Wariant WIN_DRV korzysta z łańcucha infekcji obejmującego skrypt wsadowy, utworzenie zaplanowanego zadania oraz DLL side-loading. W dalszych etapach instalowane są komponenty backdoora oraz sterowniki jądra. To właśnie warstwa kernelowa odpowiada za najbardziej niebezpieczne funkcje stealth i utrudnia wykrycie zagrożenia przez narzędzia opierające się głównie na telemetrii użytkownika.

Funkcjonalnie WIN_DRV potrafi ukrywać procesy, pliki, klucze rejestru i połączenia sieciowe. Szczególnie istotna jest możliwość przekierowywania ruchu TCP, dzięki której operator może maskować rzeczywisty port nasłuchu implantu i utrudniać zespołom bezpieczeństwa korelację zdarzeń sieciowych z konkretnym procesem.

WIN_PLUS wykorzystuje odmienną metodę uruchomienia. Punktem wejścia jest usługa Print Spooler, w ramach której wykonywany jest loader pierwszego etapu działający jako print processor. Następnie malware uruchamia kolejny komponent w nowo utworzonym procesie svchost.exe, co pozwala lepiej ukryć aktywność wśród legalnych procesów systemowych.

Oba warianty obsługują rozbudowany zestaw komend operatorskich. Obejmuje on rozpoznanie systemu, enumerację procesów, operacje na usługach, zarządzanie plikami, uruchamianie istniejących zasobów, transfer danych oraz inicjalizację proxy SOCKS. W praktyce daje to atakującym pełnoprawne narzędzie do utrzymania dostępu, rekonesansu i dalszej rozbudowy operacji.

W analizach pojawiły się także ograniczone przesłanki sugerujące możliwy związek z mechanizmami trwałości wykraczającymi poza sam system operacyjny, w tym z obejściem zabezpieczeń rozruchu powiązanym z CVE-2023-24932. Gdyby taki element został użyty w praktyce, remediacja incydentu byłaby znacznie trudniejsza i mogłaby wymagać działań na poziomie firmware oraz weryfikacji integralności procesu rozruchu.

Konsekwencje / ryzyko

Rozszerzenie SprySOCKS na Windows zwiększa poziom ryzyka dla administracji publicznej, organizacji strategicznych oraz firm działających w środowiskach mieszanych Windows/Linux. To zagrożenie nie ogranicza się do prostego zdalnego dostępu, lecz oferuje mechanizmy trwałości, ukrywania i sterowania, które mogą wspierać długotrwały cyberwywiad.

Trwałe utrzymanie dostępu dzięki technikom stealth na poziomie kernela.
Utrudniona detekcja w środowiskach, w których widoczność sterowników i działań jądra jest ograniczona.
Możliwość użycia zainfekowanego hosta jako pośrednika proxy w kolejnych etapach operacji.
Kradzież danych, rekonesans wewnętrzny i przygotowanie ruchu bocznego.
Większa złożoność dochodzenia z powodu side-loadingu, iniekcji do procesów oraz ukrywania artefaktów.

Dodatkowym zagrożeniem jest fakt, że operatorzy byli wcześniej wiązani z wykorzystywaniem podatności w systemach wystawionych do Internetu. W praktyce oznacza to konieczność ochrony nie tylko samych endpointów, ale też usług brzegowych, serwerów aplikacyjnych oraz mechanizmów zdalnego dostępu.

Rekomendacje

Organizacje powinny potraktować pojawienie się windowsowych wariantów SprySOCKS jako sygnał do rozszerzenia monitoringu i procedur huntingowych. Ochrona powinna obejmować zarówno warstwę hosta, jak i telemetrię sieciową oraz kontrolę integralności systemu.

Monitorować tworzenie i modyfikację zaplanowanych zadań.
Wykrywać nietypowe przypadki DLL side-loadingu.
Analizować ładowanie niestandardowych sterowników kernela i ich relacje z usługami systemowymi.
Objąć szczególnym nadzorem spoolsv.exe, print processor oraz nietypowe uruchomienia svchost.exe.
Inspekcjonować ruch C2 prowadzony przez TCP, UDP i WebSocket.
Korelować aktywność sieciową z procesami systemowymi wykazującymi nietypowe zachowanie.
Utrzymywać szybkie łatanie publicznie dostępnych usług i systemów brzegowych.
Wdrożyć segmentację sieci i ograniczać możliwość lateral movement.
Prowadzić hunting pod kątem hostów pełniących nieautoryzowaną rolę proxy SOCKS.
W przypadku incydentu zabezpieczyć obraz pamięci, artefakty sterowników oraz zweryfikować integralność rozruchu i ustawień Secure Boot.

Podsumowanie

Pojawienie się wariantów WIN_DRV i WIN_PLUS pokazuje, że SprySOCKS przestał być zagrożeniem ograniczonym do Linuksa i stał się dojrzałym implantem wieloplatformowym. Szczególnie niepokojące są techniki ukrywania oparte na sterownikach jądra, nadużywanie zaufanych komponentów Windows oraz elastyczne kanały komunikacji z serwerami C2.

Dla zespołów SOC, IR i administratorów infrastruktury oznacza to potrzebę lepszej widoczności warstwy kernelowej, dokładniejszego monitorowania usług systemowych oraz traktowania nietypowych ścieżek uruchomienia jako potencjalnych wskaźników kompromitacji. W nowoczesnych kampaniach szpiegowskich samo wykrycie pliku malware nie wystarcza — kluczowe staje się zrozumienie całego łańcucha operacyjnego i potencjalnej trwałości infekcji.

Źródła

https://thehackernews.com/2026/06/china-linked-sprysocks-backdoor-expands.html
https://www.trendmicro.com/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24932
https://learn.microsoft.com/
https://www.virustotal.com/

iRhythm ujawnia naruszenie danych pacjentów po ataku socjotechnicznym

Wprowadzenie do problemu / definicja

iRhythm Holdings poinformował o incydencie bezpieczeństwa, w ramach którego osoby atakujące uzyskały dostęp do danych osobowych oraz informacji zdrowotnych pacjentów przechowywanych w aplikacjach biznesowych hostowanych przez podmiot trzeci. To kolejny przykład naruszenia, w którym kluczowym elementem nie jest sabotowanie infrastruktury, lecz kradzież danych i wywarcie presji na ofiarę poprzez groźbę ich ujawnienia.

Sprawa wpisuje się w utrzymujący się trend ataków opartych na eksfiltracji danych i wymuszeniu okupu, szczególnie widoczny w sektorze ochrony zdrowia. Dane medyczne należą do najbardziej wrażliwych kategorii informacji, dlatego ich utrata generuje zarówno wysokie ryzyko operacyjne, jak i konsekwencje prawne oraz reputacyjne.

W skrócie

Incydent został ujawniony w czerwcu 2026 roku po tym, jak cyberprzestępcy skontaktowali się z firmą i zażądali okupu w zamian za nieujawnianie skradzionych danych. Spółka potwierdziła, że doszło do wycieku informacji z wybranych aplikacji biznesowych.

atak miał być oparty na socjotechnice,
naruszenie objęło dane osobowe, informacje zdrowotne oraz dane o charakterze własnościowym,
firma wskazała, że incydent nie dotknął systemów klinicznych ani urządzeń medycznych,
nie odnotowano wpływu na bezpieczeństwo pacjentów, produkcję, dystrybucję ani sprawozdawczość finansową,
organizacja uruchomiła procedury reagowania i zaangażowała zewnętrznych ekspertów.

Kontekst / historia

iRhythm działa w obszarze cyfrowej kardiologii i monitorowania pracy serca, a więc przetwarza duże wolumeny danych medycznych i operacyjnych. Takie organizacje od lat pozostają atrakcyjnym celem dla grup specjalizujących się w kradzieży danych, wymuszeniach oraz atakach na dostawców usług wspierających działalność biznesową.

W sektorze healthcare ryzyko jest szczególnie wysokie z kilku powodów: krytycznego charakteru świadczonych usług, dużej wartości informacji o pacjentach oraz rozbudowanego ekosystemu partnerów i usług zewnętrznych. W praktyce oznacza to, że skuteczny atak nie musi być wymierzony bezpośrednio w system kliniczny. Równie cennym celem mogą być aplikacje administracyjne, platformy chmurowe i narzędzia biznesowe wykorzystywane do codziennej obsługi procesów.

W analizowanym przypadku istotne jest właśnie to, że naruszenie dotyczyło aplikacji biznesowych utrzymywanych przez stronę trzecią. Taki model odzwierciedla współczesną architekturę przedsiębiorstw, w której dane przepływają pomiędzy wieloma systemami SaaS, usługami integracyjnymi i środowiskami partnerów technologicznych.

Analiza techniczna

Z ujawnionych informacji wynika, że 9 czerwca 2026 roku firma otrzymała wiadomość od sprawcy lub grupy sprawców, którzy twierdzili, że posiadają wrażliwe dane, w tym informacje zdrowotne, dane osobowe oraz dane własnościowe. Atakujący mieli zażądać zapłaty w zamian za niepublikowanie przejętych informacji.

Następnie organizacja potwierdziła, że z określonych aplikacji biznesowych doszło do eksfiltracji danych. 10 czerwca 2026 roku incydent został uznany za istotny z punktu widzenia skali i potencjalnego wpływu. Firma uruchomiła plan reagowania na incydenty oraz zaangażowała zewnętrznych specjalistów cyberbezpieczeństwa do wsparcia analizy i ograniczenia skutków zdarzenia.

Z technicznego punktu widzenia jest to scenariusz typowy dla nowoczesnych operacji extortion-first lub double extortion, nawet jeśli nie pojawiły się informacje o szyfrowaniu zasobów. Kluczowym aktywem dla napastników są dane, a głównym mechanizmem presji stają się konsekwencje regulacyjne, reputacyjne i operacyjne związane z ich wyciekiem.

Spółka wskazała, że dostęp został uzyskany z wykorzystaniem socjotechniki. Taki wektor wejścia może obejmować phishing, przejęcie poświadczeń, manipulację pracownikiem, podszywanie się pod zaufany podmiot albo nadużycie procedur helpdeskowych i odzyskiwania dostępu. W środowiskach opartych na usługach chmurowych i aplikacjach biznesowych tożsamość użytkownika bywa najsłabszym ogniwem całego łańcucha ochrony.

W praktyce podobny atak często przebiega wieloetapowo:

rozpoznanie organizacji, pracowników i wykorzystywanych platform,
pozyskanie poświadczeń lub przejęcie aktywnej sesji,
uzyskanie dostępu do aplikacji biznesowych lub paneli administracyjnych,
wyszukanie danych o najwyższej wartości,
cicha eksfiltracja informacji,
kontakt z ofiarą i próba wymuszenia zapłaty.

Brak wpływu na systemy kliniczne i urządzenia medyczne nie zmniejsza znaczenia incydentu. W wielu organizacjach to właśnie systemy wspierające biznes przechowują szerokie zbiory danych identyfikacyjnych, dokumentacyjnych i medycznych, które podlegają ścisłej ochronie i mogą stać się podstawą kosztownych działań naprawczych.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem takich naruszeń jest ekspozycja informacji o pacjentach. Dane zdrowotne są szczególnie wrażliwe, a ich wyciek może prowadzić nie tylko do klasycznej kradzieży tożsamości, lecz także do bardziej ukierunkowanych nadużyć.

kradzież tożsamości i oszustwa finansowe,
precyzyjnie przygotowany phishing skierowany do pacjentów lub partnerów,
szantaż i nadużycia reputacyjne,
wtórne wykorzystanie danych w kolejnych kampaniach przestępczych,
obowiązki notyfikacyjne, sankcje regulacyjne i ryzyko sporów prawnych.

Z perspektywy biznesowej organizacja musi liczyć się z utratą zaufania pacjentów, kosztami dochodzenia, przeglądem procedur bezpieczeństwa oraz koniecznością weryfikacji relacji z dostawcami zewnętrznymi. Incydent może również ujawnić luki w procesach zarządzania tożsamością, przydzielania uprawnień i monitorowania aktywności w aplikacjach SaaS.

Dodatkowym czynnikiem ryzyka jest sam charakter socjotechniki. Jeśli atak rozpoczął się od skutecznego oszukania użytkownika lub obejścia procedur operacyjnych, problem może mieć charakter systemowy i wykraczać poza pojedynczą aplikację czy jeden incydent dostępu.

Rekomendacje

Organizacje z sektora ochrony zdrowia oraz wszystkie podmioty przetwarzające dane wrażliwe powinny potraktować ten przypadek jako sygnał ostrzegawczy. Ochrona systemów klinicznych pozostaje ważna, ale równie istotne jest zabezpieczenie aplikacji biznesowych, kont użytkowników i procesów administracyjnych.

Najważniejsze działania operacyjne obejmują:

wymuszenie silnego MFA dla wszystkich kont, szczególnie administracyjnych i uprzywilejowanych,
wdrożenie polityk conditional access ograniczających logowania wysokiego ryzyka,
monitorowanie anomalii w usługach SaaS, takich jak masowe eksporty danych, nietypowe logowania i nowe integracje OAuth,
ograniczenie nadmiernych uprawnień zgodnie z zasadą najmniejszych uprawnień,
segmentację danych i separację systemów klinicznych od biznesowych,
regularny przegląd logów audytowych oraz odpowiednią retencję zdarzeń,
utwardzenie procesów helpdeskowych, resetów haseł i odzyskiwania kont,
szkolenia antyphishingowe oparte na realistycznych scenariuszach socjotechnicznych,
ocenę bezpieczeństwa dostawców zewnętrznych i aplikacji hostowanych przez strony trzecie,
przygotowanie planów reagowania obejmujących eksfiltrację danych i wymuszenia bez użycia ransomware.

Z defensywnego punktu widzenia szczególnie ważne jest wykrywanie ataków na tożsamość. W wielu środowiskach przejęte konto użytkownika jest najkrótszą drogą do danych pacjentów, dlatego obok klasycznych narzędzi endpoint security potrzebne są również mechanizmy ochrony poczty, wykrywania phishingu, analizy sesji i monitorowania zdarzeń w aplikacjach chmurowych.

Podsumowanie

Incydent dotyczący iRhythm pokazuje, że w sektorze healthcare celem atakujących nie muszą być wyłącznie systemy medyczne ani infrastruktura krytyczna. Bardzo cenne są także aplikacje biznesowe zawierające dane osobowe i zdrowotne, zwłaszcza gdy funkcjonują w rozbudowanym ekosystemie usług zewnętrznych.

Wstępne ustalenia wskazujące na socjotechnikę potwierdzają, że ochrona tożsamości, procedur operacyjnych i środowisk SaaS pozostaje jednym z najważniejszych filarów cyberbezpieczeństwa. Dla organizacji przetwarzających dane wrażliwe to wyraźne przypomnienie, że skuteczny atak może rozpocząć się od pojedynczej manipulacji użytkownikiem, a zakończyć poważnym naruszeniem danych pacjentów.

Źródła

Złośliwe wtyczki w JetBrains Marketplace wykradały klucze API do usług AI

Wprowadzenie do problemu / definicja

Ekosystem wtyczek do środowisk programistycznych stał się istotnym elementem nowoczesnego łańcucha dostaw oprogramowania. Rozszerzenia instalowane bezpośrednio w IDE mogą uzyskiwać dostęp do kodu, ustawień, tokenów i innych danych uwierzytelniających wykorzystywanych przez programistów. W opisanym incydencie wykryto kampanię złośliwych wtyczek opublikowanych w JetBrains Marketplace, których zadaniem było potajemne przechwytywanie kluczy API do popularnych usług AI.

W skrócie

W JetBrains Marketplace zidentyfikowano co najmniej 15 złośliwych wtyczek publikowanych z użyciem wielu kont dostawców. Dodatki podszywały się pod narzędzia do code review, asystentów AI, integracje Git oraz funkcje wspierające programowanie. Choć działały zgodnie z deklarowaną funkcją, równolegle przechwytywały wpisywane przez użytkowników klucze API i wysyłały je na zewnętrzny serwer.

Kampania miała trwać od października 2025 roku.
Nowe wtyczki pojawiały się jeszcze w czerwcu 2026 roku.
Łączna liczba pobrań mogła sięgać około 70 tysięcy.
Celem były klucze API do usług wykorzystywanych przez narzędzia AI dla programistów.

Kontekst / historia

Incydenty typu supply chain najczęściej kojarzą się z rejestrami pakietów i bibliotek wykorzystywanych w procesie budowania aplikacji. Tym razem wektor ataku dotyczył jednak bezpośrednio marketplace’u rozszerzeń do IDE, czyli narzędzia obecnego w codziennej pracy zespołów developerskich, DevOps i platform engineering.

Znaczenie tego przypadku jest szczególne, ponieważ wtyczki IDE działają blisko procesu tworzenia oprogramowania i często mają szeroki dostęp do środowiska użytkownika. Jednocześnie rosnąca popularność narzędzi opartych na sztucznej inteligencji sprawia, że deweloperzy coraz częściej przechowują w IDE klucze dostępu do komercyjnych modeli, usług inferencyjnych i platform wspomagających pisanie kodu. To czyni środowisko programistyczne atrakcyjnym celem dla atakujących poszukujących łatwych do monetyzacji sekretów.

W analizowanej kampanii wtyczki były przedstawiane jako praktyczne dodatki wykorzystujące usługi OpenAI, DeepSeek oraz SiliconFlow. Z perspektywy użytkownika wyglądały więc jak typowe rozszerzenia zwiększające produktywność, a nie jak złośliwe oprogramowanie.

Analiza techniczna

Najważniejszym elementem kampanii było połączenie realnej funkcjonalności z ukrytym mechanizmem eksfiltracji danych. Wtyczki wykonywały deklarowane zadania, ale po zapisaniu konfiguracji przesyłały wprowadzony klucz API do zdalnego serwera kontrolowanego przez operatorów kampanii.

Z dostępnych ustaleń wynika, że mechanizm kradzieży uruchamiał się w chwili zatwierdzenia ustawień rozszerzenia. Następnie sekret był wysyłany do zaszytego na stałe endpointu HTTP. Taki sposób działania wskazuje na prosty, ale skuteczny model pozyskiwania poświadczeń bez konieczności stosowania zaawansowanego malware.

W kodzie obecny był stały endpoint służący do eksfiltracji danych.
Do przesyłu wykorzystywano nieszyfrowany kanał HTTP.
Atak koncentrował się na szybkim przechwytywaniu sekretów z ustawień użytkownika.
Wiele wykrytych wtyczek współdzieliło bardzo podobny kod.

Badacze wskazali również na użycie wielu kont wydawców, co mogło utrudniać szybkie powiązanie wszystkich próbek z jednym operatorem i omijać podstawowe mechanizmy reputacyjne. Dodatkowo zauważono logikę związaną z płatnym poziomem dostępu, w ramach którego użytkownik mógł otrzymać z serwera gotowy klucz API do dalszej komunikacji z modelem. Taki schemat jest z perspektywy bezpieczeństwa skrajnie podejrzany i może sugerować wtórne wykorzystywanie przejętych poświadczeń.

Wśród częściej pobieranych nazw wskazywano między innymi DeepSeek AI Assist oraz CodeGPT AI Assistant. Sama liczba pobrań nie musi jednak odzwierciedlać liczby faktycznie zainfekowanych systemów, ponieważ statystyki marketplace’u mogą obejmować także aktualizacje i ponowne instalacje.

Konsekwencje / ryzyko

Kradzież kluczy API do usług AI niesie ryzyko wykraczające poza samo przejęcie dostępu technicznego. W pierwszej kolejności może prowadzić do nadużyć billingowych, gdy atakujący wykorzystują cudze poświadczenia do masowych zapytań i generowania kosztów po stronie ofiary.

Drugim zagrożeniem jest możliwość pośredniego ujawnienia danych wrażliwych. Jeżeli organizacja korzysta z modeli AI do analizy kodu, dokumentacji, konfiguracji lub innych materiałów biznesowych, kompromitacja klucza może zwiększyć ryzyko wycieku informacji związanych z projektami i procesami wewnętrznymi.

Nie mniej istotny jest aspekt łańcucha dostaw. Nawet jeśli w tym przypadku głównym celem była kradzież sekretów, podobny kanał dystrybucji mógłby zostać użyty do pobierania dodatkowych ładunków, manipulacji kodem, podmiany commitów czy zbierania innych poświadczeń z maszyn deweloperskich.

Możliwe straty finansowe wynikające z nadużycia kluczy API.
Ryzyko wycieku danych przesyłanych do usług AI.
Zagrożenie dla integralności środowiska developerskiego.
Potencjalny wpływ na całe organizacje, nie tylko na pojedynczych programistów.

Rekomendacje

Incydent powinien skłonić organizacje korzystające z JetBrains IDE do przeglądu polityki bezpieczeństwa dotyczącej rozszerzeń developerskich. Wtyczki do IDE należy traktować jak pełnoprawny element powierzchni ataku i objąć je podobnym poziomem kontroli jak biblioteki, kontenery czy zależności używane w CI/CD.

Przeprowadzić natychmiastowy audyt wszystkich zainstalowanych wtyczek w środowiskach JetBrains.
Usunąć podejrzane rozszerzenia i przeanalizować logi oraz artefakty sieciowe hostów.
Uznać używane w tych wtyczkach klucze API za skompromitowane i wykonać ich rotację.
Ograniczyć zakres uprawnień kluczy oraz wdrożyć limity budżetowe i monitoring użycia.
Stosować firmowe menedżery sekretów zamiast przechowywania tokenów bezpośrednio w ustawieniach pluginów.
Monitorować ruch wychodzący z maszyn deweloperskich, szczególnie nietypowe połączenia HTTP.
Wprowadzić listę dozwolonych rozszerzeń oraz proces zatwierdzania nowych dodatków.
Szkolć zespoły developerskie z ryzyk związanych z rozszerzeniami AI i pluginami produktywnościowymi.

Podsumowanie

Kampania złośliwych wtyczek w JetBrains Marketplace pokazuje, że środowiska programistyczne stały się wartościowym celem dla ataków wymierzonych w sekrety dostępu do usług AI. Atakujący nie musieli wykorzystywać zaawansowanych exploitów — wystarczyło zaufanie użytkowników do marketplace’u i użytecznie wyglądających rozszerzeń. To nowoczesny przykład zagrożenia supply chain, w którym celem nie są wyłącznie hasła administracyjne, lecz także klucze API napędzające codzienną pracę deweloperów.

Źródła

BleepingComputer — https://www.bleepingcomputer.com/news/security/malicious-jetbrains-marketplace-plugins-steal-ai-api-keys-from-developers/

GhostTree: jak rekursywne junctions w Windows pomagają ukrywać malware przed skanowaniem

Wprowadzenie do problemu / definicja

GhostTree to technika unikania detekcji w systemach Windows, która wykorzystuje rekursywne dowiązania katalogów NTFS typu junction do budowania zapętlonych struktur ścieżek. W praktyce pozwala to tworzyć bardzo dużą liczbę logicznie poprawnych odwołań do tych samych plików i katalogów, co może utrudniać lub wręcz blokować skuteczne skanowanie przez część narzędzi bezpieczeństwa.

Problem nie wynika z klasycznej podatności w jądrze systemu, ale z różnic między sposobem działania systemu plików NTFS a metodą, jaką silniki antywirusowe, EDR i skanery plików realizują rekursywne przeszukiwanie katalogów. To sprawia, że legalna funkcja systemu może zostać wykorzystana ofensywnie.

W skrócie

GhostTree opiera się na mechanizmie junctions w NTFS.
Atakujący może tworzyć zapętlone struktury katalogów bez uprawnień administratora, jeśli ma prawo zapisu do folderu.
Wiele odgałęzień prowadzących do tego samego katalogu powoduje gwałtowny wzrost liczby możliwych ścieżek.
Narzędzia bezpieczeństwa mogą zawieszać się, przekraczać limity czasu lub nie kończyć skanowania.
W efekcie złośliwy plik umieszczony w katalogu bazowym może nie zostać przeanalizowany w odpowiednim czasie.

Kontekst / historia

Dowiązania katalogów i inne typy reparse points od dawna są obecne w ekosystemie Windows. Służą między innymi do zachowania kompatybilności, reorganizacji danych oraz przekierowywania ścieżek bez konieczności fizycznego przenoszenia plików. Z perspektywy administracyjnej są użyteczne, ale z perspektywy bezpieczeństwa bywają niedoszacowanym ryzykiem.

GhostTree rozwija prostszy scenariusz określany jako GhostBranch, w którym pojedynczy katalog potomny wskazuje z powrotem na katalog nadrzędny. W wersji rozszerzonej zamiast jednej pętli powstaje wiele równoległych odgałęzień, co prowadzi do efektu drzewa rekursyjnego. Każda kolejna warstwa zwiększa liczbę poprawnych logicznie ścieżek prowadzących do tych samych obiektów.

Analiza techniczna

Junction w NTFS jest szczególnym typem reparse point, który przekierowuje dostęp z jednego katalogu do innego. Dla aplikacji analizującej system plików zawartość katalogu docelowego może wyglądać tak, jakby znajdowała się lokalnie w miejscu odwołania. To właśnie ten mechanizm staje się podstawą techniki GhostTree.

W najprostszym wariancie tworzony jest katalog podrzędny, który wskazuje z powrotem na katalog nadrzędny. Gdy skaner porusza się rekursywnie po strukturze, może wielokrotnie odwiedzać ten sam logiczny obszar danych pod różnymi ścieżkami. Jeśli oprogramowanie nie rozpoznaje cykli lub nie deduplikuje obiektów według rzeczywistej tożsamości pliku czy katalogu, zaczyna wykonywać zbędną i kosztowną analizę.

GhostTree zwiększa skuteczność tego podejścia przez dodanie wielu katalogów potomnych wskazujących na tego samego rodzica. W rezultacie liczba możliwych kombinacji ścieżek rośnie wykładniczo. Nawet jeśli głębokość pozostaje ograniczona przez długość ścieżki i zachowanie aplikacji, całkowity koszt przetwarzania może stać się bardzo wysoki.

Znaczenie ma także sposób obsługi limitów długości ścieżek w Windows. Chociaż współczesne środowiska mogą wspierać dłuższe ścieżki, wiele narzędzi nadal korzysta z uproszczonych założeń lub starszych mechanizmów. W połączeniu z reparse points może to prowadzić do timeoutów, błędów logiki skanowania albo pomijania właściwego obiektu docelowego.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem GhostTree jest możliwość ukrycia malware w lokalizacji, której pełne przeskanowanie staje się dla narzędzia ochronnego zbyt kosztowne lub praktycznie niewykonalne. Zwiększa to ryzyko, że dropper, loader, ransomware lub inny złośliwy plik pozostanie niewykryty przez istotny czas.

Technika ta jest szczególnie niebezpieczna w środowiskach, które w dużym stopniu opierają bezpieczeństwo na skanowaniu endpointów. Jeśli produkt EDR lub AV nie radzi sobie poprawnie z rekursywnymi junctions, napastnik może wykorzystać tę słabość do opóźnienia analizy lub obejścia jednej z warstw obrony.

Ryzyko nie ogranicza się wyłącznie do detekcji malware. Zapętlone struktury katalogów mogą również wpływać na działanie systemów backupu, DLP, inwentaryzacji zasobów, skryptów administracyjnych i narzędzi IR. W efekcie organizacja może obserwować zwiększone zużycie zasobów, błędy operacyjne, timeouty i problemy z analizą incydentów.

Rekomendacje

Organizacje powinny traktować junctions, symbolic links i inne reparse points jako element wymagający monitorowania. Szczególnie podejrzane są sytuacje, w których katalog potomny wskazuje na katalog nadrzędny lub wiele odgałęzień prowadzi do tej samej lokalizacji.

Wdrożyć wykrywanie cykli w grafie katalogów zamiast ślepego podążania za każdą ścieżką.
Ograniczać głębokość rekursji oraz liczbę ścieżek odwiedzanych przez skanery.
Deduplikować analizę według rzeczywistego obiektu na dysku, a nie wyłącznie tekstowej postaci ścieżki.
Monitorować tworzenie i modyfikację reparse points w telemetryce bezpieczeństwa.
Przeprowadzić audyt uprawnień do katalogów, w których użytkownicy mogą tworzyć junctions.
Testować produkty EDR, AV i skanery plików pod kątem poprawnej obsługi rekursywnych junctions.
Regularnie aktualizować silniki ochronne, ponieważ nowe wersje mogą zawierać poprawki w tym obszarze.

Dodatkowo warto uwzględnić GhostTree w działaniach threat huntingowych oraz scenariuszach ćwiczeń zespołów SOC i IR. Pozwala to wcześniej ustalić, czy używane narzędzia rzeczywiście wykrywają ten typ nadużycia i czy skanowanie kończy się prawidłowo.

Podsumowanie

GhostTree pokazuje, że obejście zabezpieczeń nie zawsze wymaga zaawansowanego exploita ani eskalacji uprawnień. Czasami wystarczy wykorzystanie legalnego mechanizmu systemu operacyjnego w sposób, którego oprogramowanie ochronne nie przewidziało. Rekursywne junctions mogą zamienić zwykły katalog w strukturę trudną do pełnego przeskanowania przez źle zaprojektowane silniki analizy.

Dla obrońców to ważne przypomnienie, że skuteczność ochrony endpointów zależy nie tylko od sygnatur i heurystyk, ale również od poprawnego modelowania zachowania systemu plików. Monitorowanie reparse points, testy odporności narzędzi oraz wielowarstwowa detekcja pozostają kluczowe, by ograniczyć skuteczność technik takich jak GhostTree.

Źródła

GhostTree Attack Abused Recursive Windows Junctions to Hide Malware — https://www.bleepingcomputer.com/news/security/ghosttree-attack-abused-recursive-windows-junctions-to-hide-malware/
Hard links and junctions — Microsoft Learn — https://learn.microsoft.com/en-us/windows/win32/fileio/hard-links-and-junctions
Maximum Path Length Limitation — Microsoft Learn — https://learn.microsoft.com/en-us/windows/win32/fileio/maximum-file-path-limitation

Aktywne ataki na Fortinet FortiSandbox. Trzy krytyczne luki umożliwiają zdalne przejęcie systemu

Wprowadzenie do problemu / definicja

FortiSandbox to platforma służąca do analizy podejrzanych plików i ładunków w odizolowanym środowisku. Jej zadaniem jest wykrywanie złośliwego oprogramowania oraz dostarczanie informacji o zagrożeniach do pozostałych elementów infrastruktury bezpieczeństwa. Z tego powodu skuteczne przejęcie takiego systemu może mieć znacznie poważniejsze konsekwencje niż naruszenie zwykłego serwera aplikacyjnego.

Obecnie organizacje muszą zmierzyć się z aktywną eksploatacją trzech krytycznych podatności w Fortinet FortiSandbox. Luki pozwalają na zdalny atak bez uwierzytelnienia i mogą prowadzić do pełnej kompromitacji urządzenia, kradzieży danych oraz wykorzystania platformy bezpieczeństwa jako punktu wejścia do dalszej penetracji sieci.

W skrócie

Aktywnie wykorzystywane są trzy luki: CVE-2026-39813, CVE-2026-39808 oraz CVE-2026-25089.
Wszystkie podatności otrzymały wysoką ocenę CVSS 9.1.
Dwie luki załatano w kwietniu 2026 roku, a trzecią dopiero w czerwcu 2026 roku.
Atak obejmuje obejście uwierzytelnienia oraz wstrzyknięcie poleceń systemowych.
Największe ryzyko dotyczy instancji z wystawionym interfejsem administracyjnym lub API.

Kontekst / historia

Rozwiązania Fortinet od lat pozostają atrakcyjnym celem dla cyberprzestępców. Wynika to zarówno z ich szerokiego wykorzystania w środowiskach korporacyjnych, jak i z wartości operacyjnej urządzeń bezpieczeństwa po ich przejęciu. Kompromitacja produktu chroniącego organizację daje napastnikowi uprzywilejowaną pozycję, dostęp do danych telemetrycznych i możliwość wpływania na procesy detekcji.

W przypadku FortiSandbox sytuacja jest szczególnie istotna, ponieważ system analizuje próbki malware, współpracuje z innymi narzędziami ochronnymi i często funkcjonuje w zaufanych segmentach infrastruktury. Najnowsze obserwacje pokazują, że atakujący równolegle wykorzystują trzy odrębne błędy, co zwiększa presję na zespoły odpowiedzialne za aktualizację i monitoring tych środowisk.

Analiza techniczna

Pierwsza z podatności, CVE-2026-39813, dotyczy interfejsu JRPC API i jest klasyfikowana jako path traversal. Tego typu błąd pozwala manipulować ścieżką żądania w taki sposób, aby ominąć założenia logiki dostępu. W praktyce może to doprowadzić do obejścia uwierzytelnienia i uzyskania dostępu do funkcji przeznaczonych wyłącznie dla zalogowanych administratorów.

Druga luka, CVE-2026-39808, polega na wstrzyknięciu poleceń systemowych. Jeżeli dane wejściowe nie są poprawnie walidowane i trafiają do powłoki systemowej, napastnik może uruchomić nieautoryzowane komendy. W efekcie możliwe staje się zdalne wykonanie kodu, modyfikacja konfiguracji, instalacja dodatkowych narzędzi oraz osadzenie mechanizmów trwałości na urządzeniu.

Trzecia podatność, CVE-2026-25089, również należy do kategorii OS command injection i obejmuje FortiSandbox, FortiSandbox Cloud oraz FortiSandbox PaaS WEB UI. Szczególne znaczenie ma fakt, że została załatana stosunkowo niedawno, co zwiększa prawdopodobieństwo, że część organizacji nie zdążyła jeszcze wdrożyć poprawek. Nawet niedopracowane narzędzia exploitacyjne mogą okazać się skuteczne wobec słabo zabezpieczonych lub publicznie dostępnych instancji.

Kluczowym elementem wszystkich trzech scenariuszy jest brak wymaganego uwierzytelnienia dla ścieżki ataku. Oznacza to, że zagrożone są przede wszystkim systemy dostępne z Internetu, sieci współdzielonych lub niedostatecznie odseparowanych stref administracyjnych. W takich przypadkach czas między ujawnieniem luki a pierwszymi próbami jej masowego wykorzystania bywa bardzo krótki.

Konsekwencje / ryzyko

Ryzyko związane z tymi podatnościami należy uznać za wysokie. FortiSandbox przetwarza wrażliwe dane dotyczące analizowanych zagrożeń, konfiguracji i integracji z innymi narzędziami bezpieczeństwa. Przejęcie takiego systemu może przełożyć się nie tylko na utratę kontroli nad samym urządzeniem, ale także na naruszenie szerszego ekosystemu ochronnego.

zdalne wykonanie kodu i pełna kompromitacja appliance,
kradzież konfiguracji, poświadczeń i tokenów serwisowych,
manipulacja wynikami analizy zagrożeń,
wykorzystanie urządzenia do ruchu bocznego w sieci,
ukrywanie śladów aktywności poprzez ingerencję w logi i ustawienia bezpieczeństwa.

W praktyce organizacje powinny zakładać, że niezałatana i wystawiona instancja może stać się celem zautomatyzowanych kampanii skanujących. Szczególnie groźne są środowiska, w których urządzenie ma szeroką łączność z systemami zarządzania, pocztą, SIEM, EDR, firewallami lub repozytoriami próbek.

Rekomendacje

Najważniejszym działaniem jest natychmiastowe ustalenie, czy w środowisku działają podatne wersje FortiSandbox, FortiSandbox Cloud lub FortiSandbox PaaS, a następnie jak najszybsze wdrożenie poprawek producenta. Sama aktualizacja nie powinna jednak kończyć procesu reagowania.

przeprowadzić pilny przegląd wersji i porównać je z opublikowanymi biuletynami bezpieczeństwa,
ograniczyć dostęp do interfejsów administracyjnych wyłącznie do zaufanych adresów i wydzielonych sieci zarządzających,
wyłączyć publiczną ekspozycję paneli WWW i API, jeśli nie jest bezwzględnie konieczna,
przeanalizować logi HTTP, logi systemowe oraz zdarzenia administracyjne pod kątem prób obejścia autoryzacji i wykonywania poleceń,
sprawdzić integralność konfiguracji, kont administracyjnych i harmonogramów zadań,
zweryfikować nietypowe połączenia wychodzące z urządzenia,
wdrożyć dodatkowe reguły detekcyjne w SIEM, WAF i NDR,
przygotować procedurę izolacji oraz odtworzenia systemu z zaufanego obrazu w razie oznak kompromitacji.

W organizacjach o podwyższonym profilu ryzyka warto traktować niezałataną ekspozycję jako potencjalne naruszenie do momentu jednoznacznego potwierdzenia, że urządzenie nie zostało wykorzystane przez atakujących.

Podsumowanie

Aktywna eksploatacja trzech krytycznych luk w Fortinet FortiSandbox pokazuje, że urządzenia bezpieczeństwa pozostają jednym z najbardziej wartościowych celów dla cyberprzestępców. Połączenie obejścia uwierzytelnienia i wstrzyknięcia poleceń systemowych tworzy scenariusz prowadzący bezpośrednio do zdalnej kompromitacji.

Dwie podatności były dostępne z poprawkami od kwietnia 2026 roku, natomiast trzecia została załatana w czerwcu 2026 roku. To oznacza, że organizacje powinny działać natychmiast: aktualizować systemy, ograniczać ekspozycję interfejsów zarządzania i prowadzić retrospektywną analizę śladów potencjalnego wykorzystania.