Dyrektywa NIS2 to największa od lat zmiana w podejściu do cyberbezpieczeństwa w Europie. Jej celem nie jest biurokracja, lecz wprowadzenie realnych, mierzalnych standardów bezpieczeństwa – organizacje muszą nie tylko wdrożyć środki ochrony, ale także wykazać ich skuteczność. Oznacza to konieczność stałego monitorowania systemów, regularnego mierzenia efektywności zabezpieczeń i przeprowadzania audytów, aby udowodnić przed regulatorami i interesariuszami, że cyberbezpieczeństwo jest utrzymywane na wysokim poziomie i podlega ciągłemu doskonaleniu.
27 października 2025 r. IBM opublikował biuletyn bezpieczeństwa informujący, że IBM Tivoli Business Service Manager (TBSM) jest podatny na dwie podatności wynikające z użycia komponentów IBM Db2/JDBC:
CVE-2025-33092 – przepełnienie bufora na stercie (stack-based buffer overflow) w komponencie db2fm, umożliwiające lokalne wykonanie dowolnego kodu;
CVE-2025-33143 – DoS wywołane specjalnie spreparowanym zapytaniem SQL prowadzącym do niekontrolowanej rekursji.
Podatne są instalacje TBSM 6.2.0.0 – 6.2.0.6, ponieważ wraz z TBSM dystrybuowany jest sterownik DB2 JDBC w pakiecie XMLToolkit. IBM dostarczył instrukcję natychmiastowej wymiany plików db2jcc4.jar w kilku katalogach produktu.
W skrócie
Dotyczy: IBM TBSM 6.2.0.0–6.2.0.6 (komponent XMLToolkit/DB2 JDBC).
CVE-2025-33092 (CVSS 7.8): lokalne RCE przez przepełnienie bufora w db2fm.
CVE-2025-33143 (CVSS 6.5): zdalny DoS przez rekursję w zapytaniu SQL (wymaga użytkownika uwierzytelnionego).
Brak obejść: IBM nie podaje „workaroundów”; zalecana jest aktualizacja sterownika DB2 JDBC do najnowszej wersji z gałęzi 11.5.x zgodnej z biuletynami Db2.
Kontekst / historia / powiązania
Obie luki pierwotnie opisano w biuletynach Db2 (29 lipca 2025 r.), a następnie ich wpływ rozszerzono na produkty zależne (w tym TBSM), które pakują komponenty Db2/JDBC. IBM utrzymuje centralną stronę „special builds” Db2 z kumulatywnymi poprawkami — aktualne łatki znajdują się w strumieniach 11.5.9 i 12.1.1/12.1.2. Dla TBSM istotna jest aktualizacja sterownika JDBC zgodnie z instrukcją w biuletynie TBSM.
Analiza techniczna / szczegóły luki
CVE-2025-33092
Wada: niewłaściwe sprawdzanie granic w komponencie db2fm prowadzące do stack-based buffer overflow.
Skutek: lokalny użytkownik z uprawnieniami niewysokimi (PR:L) może doprowadzić do wykonania dowolnego kodu; CVSS 7.8 (AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H).
Zakres: potwierdzone dla Db2 12.1.0, 12.1.1, 12.1.2 (wg NVD/IBM).
CVE-2025-33143
Wada: niekontrolowana rekursja podczas przetwarzania specjalnie spreparowanego zapytania SQL.
Skutek:Denial of Service (krytyczne obciążenie/restart procesu Db2), wymagane uprawnienia użytkownika uwierzytelnionego (PR:L); CVSS 6.5 (AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
Powiązanie z TBSM TBSM nie zawiera „pełnego” serwera Db2, ale używa sterownika DB2 JDBC (XMLToolkit), więc podatność przenika przez zależność. IBM podaje precyzyjne ścieżki do wymiany db2jcc4.jar (w tym wariant z nazwą db2jcc.jar wymagający podmiany i zmiany nazwy).
Praktyczne konsekwencje / ryzyko
Środowiska produkcyjne TBSM narażone są na incydenty stabilności (DoS) ze strony użytkowników posiadających konto do baz/źródeł danych obsługiwanych przez sterownik DB2.
Ryzyko eskalacji lokalnej (jeśli komponenty Db2 są obecne na tym samym hoście) z uwagi na CVE-2025-33092 — mniejsze w kontekstach czysto zdalnych, ale krytyczne przy współlokacji narzędzi administracyjnych.
Brak obejść wymusza pilną aktualizację — IBM nie wskazuje mitgacji konfiguracyjnych.
Rekomendacje operacyjne / co zrobić teraz
Zidentyfikuj instalacje TBSM 6.2.0.0–6.2.0.6. Priorytet dla instancji produkcyjnych i tych z ekspozycją sieciową.
Wykonaj wymianę sterownika JDBC DB2 na najnowszy 11.5.x:
Pobierz aktualny pakiet DB2 JDBC (v11.5.x) ze strony Db2 Special Builds lub użyj pliku z istniejącej instalacji Db2 ≥ 11.5.9 z zastosowaną łatką.
Zatrzymaj serwery TBSM, podmień db2jcc4.jar w katalogach: <TBSM>/XMLtoolkit/tools/crviewer/lib/ <TBSM>/XMLtoolkit/tools/ExportDatabaseTool/drivers/ <TBSM>/XMLtoolkit/jars/ (Jeśli widnieje db2jcc.jar, podmień zawartość z db2jcc4.jar i zmień nazwę na db2jcc.jar.) Następnie uruchom TBSM.
Zaplanuj testy regresji (połączenia JDBC, eksport/import, narzędzia XMLToolkit) i monitoruj logi pod kątem błędów po aktualizacji.
Upewnij się, że Db2 w środowisku (jeżeli współistnieje) ma zastosowane najnowsze special builds zgodnie z gałęziami 11.5.9/12.1.1/12.1.2.
Wzmocnij kontrolę dostępu do zapytań (rola/PR:L) i limity zasobów w warstwie bazy, aby ograniczyć potencjalne skutki DoS do czasu pełnej aktualizacji. (Wniosek operacyjny na podstawie charakterystyki CVE-2025-33143).
Subskrybuj powiadomienia IBM PSIRT dla TBSM/Db2, aby otrzymywać komunikaty o przyszłych biuletynach.
Różnice / porównania z innymi przypadkami
W 2024–2025 pojawiały się liczne biuletyny Db2 związane z DoS przy specjalnie spreparowanych zapytaniach (różne przyczyny: zwalnianie pamięci, biblioteki zależne itp.). CVE-2025-33143 wyróżnia się mechanizmem rekursji i wymaganiem PR:L (użytkownik uwierzytelniony), podczas gdy CVE-2025-33092 to klasyczne overflow w komponencie serwisowym (db2fm) i dotyczy głównie kontekstu lokalnego. W praktyce zestaw special builds zbiera poprawki kumulacyjnie — wdrożenie najświeższego sterownika/łatek zwykle remediuje cały zestaw pokrewnych problemów.
Podsumowanie / kluczowe wnioski
Instalacje TBSM 6.2.0.0–6.2.0.6 są narażone poprzez komponent DB2 JDBC — brak obejść, konieczna pilna podmiana db2jcc4.jar.
CVE-2025-33092 (CVSS 7.8) umożliwia lokalne RCE; CVE-2025-33143 (CVSS 6.5) może wywołać DoS specjalnie spreparowanym SQL.
Utrzymuj najświeższe special builds Db2 (11.5.9 / 12.1.1 / 12.1.2) i aktualny sterownik JDBC w TBSM.
Źródła / bibliografia
IBM: Security Bulletin — IBM TBSM is vulnerable to multiple vulnerabilities due to DB2 (CVE-2025-33092, CVE-2025-33143), publikacja 27.10.2025 (instrukcje wymiany db2jcc4.jar, wersje podatne TBSM). (IBM)
IBM: Security Bulletin — IBM Db2 is vulnerable to a stack-based buffer overflow (CVE-2025-33092), 29.07.2025. (IBM)
IBM: Security Bulletin — IBM Db2 is vulnerable to a denial of service using a specially crafted SQL statement (CVE-2025-33143), 29.07.2025. (IBM)
IBM: Published Security Vulnerabilities for Db2… including Special Build information (najświeższe special builds, gałęzie wsparcia). (IBM)
NVD: CVE-2025-33092 (opis, wektor CVSS 3.1). (NVD)
Debian opublikował DSA-6040-1 dotyczący pakietu thunderbird. Aktualizacja łata zestaw luk (CVE-2025-11708, -11709, -11710, -11711, -11712, -11714, -11715), które w sprzyjających warunkach mogą prowadzić do zdalnego wykonania kodu lub wycieku pamięci. Wydania naprawcze:
Problem dotyczy Thunderbird ESR 140.3 i wcześniejszych. Naprawa w Thunderbird 140.4 (ESR) i nowszych.
Część błędów to klasyczne memory safety (CVE-2025-11714, -11715), a inne to m.in. use-after-free w MediaTrackGraph (CVE-2025-11708) oraz problemy z WebGL i IPC pozwalające na przekroczenia zakresu i wyciek pamięci (CVE-2025-11709, -11710).
Debian dostarczył gotowe poprawki dla wspieranych gałęzi. Zalecana jest natychmiastowa aktualizacja.
Kontekst / historia / powiązania
Mozilla wydała biuletyn MFSA 2025-85 14 października 2025 r., grupujący poprawki w Thunderbird 140.4. Debian spiął to w DSA-6040-1 z wersjami ESR dla swoich wydań. Memory-safety CVE pojawiają się cyklicznie wraz z nowymi wersjami silnika Gecko i są traktowane jako potencjalnie umożliwiające RCE.
Analiza techniczna / szczegóły luki
Poniżej skrót opisu najistotniejszych CVE wchodzących w skład DSA-6040-1 (wg MFSA 2025-85):
CVE-2025-11709 – odczyty/zapisy poza buforem w uprzywilejowanym procesie wyzwalane przez złośliwe tekstury WebGL (wysokie). Może prowadzić do eskalacji w modelu wieloprocesowym.
CVE-2025-11710 – wyciek informacji między procesami przez złośliwe komunikaty IPC (wysokie). Pozwala wydobywać bloki pamięci procesu uprzywilejowanego.
CVE-2025-11711 – możliwość modyfikacji nie-zapisywalnych właściwości obiektów JavaScript (wysokie). Osłabia granice bezpieczeństwa JS.
CVE-2025-11712 – atrybut type w OBJECT potrafił nadpisać domyślne zachowanie przeglądarki dla zasobów bez nagłówka Content-Type (umiarkowane). Może wspierać wektor XSS na źle skonfigurowanych serwerach.
CVE-2025-11714, CVE-2025-11715 – zbiorcze błędy bezpieczeństwa pamięci (wysokie), domniemanie podatne na RCE przy odpowiednim nakładzie pracy.
Mozilla zaznacza, że większości z tych błędów nie da się wykorzystać przez sam podgląd e-maili (skrypty są wyłączone), ale stanowią ryzyko w kontekstach przeglądarkowych (np. otwieranie linków/załączników w osadzonym web-view).
Praktyczne konsekwencje / ryzyko
Zdalne wykonanie kodu / przejęcie konta użytkownika przy odwiedzeniu specjalnie spreparowanej strony/zasobu przez Thunderbird w trybie przeglądarkowym.
Wycieki pamięci i obejście mechanizmów separacji procesów (IPC), co może ujawnić poufne dane lub ułatwić dalszą eksploatację.
sudo apt update sudo apt install --only-upgrade thunderbird # lub pełna aktualizacja środowiska sudo apt full-upgrade
Restart aplikacji po aktualizacji – załadujesz nowe biblioteki.
Twarde polityki treści po stronie serwera (dla CVE-2025-11712): serwuj poprawny Content-Type, rozważ CSP i blokadę typu „nosniff”.
Ostrożność z linkami/załącznikami w wiadomościach – otwieraj w izolowanym profilu lub sandboxie.
Monitoruj wydawnictwa MFSA/DSA i bazę OVAL Debiana, aby automatyzować zgodność (np. skanery zgodne z DSA/OVAL).
Różnice / porównania z innymi przypadkami
To nie jest pojedyncza „krytyczna” luka 0-day jak wtyczki multimedialne; to pakiet poprawek zgodny z rutynowym cyklem ESR.
W porównaniu z biuletynami dla Firefox 144, klasy memory-safety są wspólne i mają podobny profil ryzyka – Debian przenosi te poprawki do gałęzi ESR Thunderbirda.
Podsumowanie / kluczowe wnioski
Zainstaluj aktualizację z DSA-6040-1 natychmiast – redukuje ryzyko RCE i wycieków pamięci.
Najbardziej ryzykowne elementy to use-after-free oraz błędy WebGL/IPC; nawet jeśli nie aktywują się przy zwykłym czytaniu maili, mogą zostać wykorzystane w scenariuszach przeglądarkowych.
Źródła / bibliografia
Debian Security Advisory DSA-6040-1: thunderbird security update, 26 października 2025 r. (lists.debian.org)
MFSA 2025-85: Security Vulnerabilities fixed in Thunderbird 140.4, 14 października 2025 r. (Mozilla)
Kaspersky opisał dziś kulisy kampanii Operation ForumTroll (marzec 2025), w której kliknięcie spersonalizowanego linku phishingowego prowadziło do cichej infekcji przez przeglądarkę Chrome. Badacze wykryli i zgłosili nową podatność CVE-2025-2783 (sandbox escape w komponencie Mojo), którą Google załatał w stabilnym wydaniu 134.0.6998.177/.178 z 25 marca 2025 r.
W toku dalszej analizy Kaspersky powiązał tę kampanię i pokrewny arsenał z komercyjnym spyware “Dante” rozwijanym przez Memento Labs — firmę, którą świat znał wcześniej jako Hacking Team.
W skrócie
Wejście: e-mail phishingowy ze spersonalizowanym, krótkotrwałym URL-em; sama wizyta w witrynie uruchamiała exploit 0-day na Chrome (Windows).
Eksploit: CVE-2025-2783 — eskalacja z sandboksa (Mojo/IPC), potwierdzona przez Google i NVD; poprawka 25.03.2025.
Atrybucja: zbieżności kodu, TTP, ścieżek FS, mechanizmów trwałości oraz jawne ciągi “Dante” w binariach; kontynuacja linii RCS (Da Vinci/Galileo) po rebrandingu Hacking Team → Memento Labs.
Kontekst / historia / powiązania
Hacking Team to jedna z najbardziej rozpoznawalnych marek rynku spyware (RCS: Da Vinci/Galileo). Po wycieku ~400 GB danych w 2015 r. firma została w 2019 r. przejęta przez InTheCyber i przemianowana na Memento Labs. W 2023 r. na konferencji ISS World MEA firma ujawniła nazwę nowego produktu: DANTE. Według Kaspersky’ego kod RCS ewoluował do 2022 r., gdy został zastąpiony przez Dante.
Szersze mapowanie rynku komercyjnego spyware (NSO/Intellexa/Candiru/Paragon/Quadream/RCS Labs/Memento Labs itd.) potwierdza ciągłość działalności dostawców po rebrandingu.
Błąd klasy incorrect handle w Mojo IPC na Windows umożliwiający sandbox escape przy udziale złośliwego pliku/strony.
Status: wykryty in-the-wild, załatany 25.03.2025; zgłaszający: Boris Larin, Igor Kuznetsov (Kaspersky); wektor CVSS3.1 wg CISA-ADP: AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H (8.3).
Artefakty i IOCs (wybrane wzorce)
Folder modułów: w %LocalAppData%, nazwy katalogu i plików bez rozszerzeń to 8-bajtowe Base64; jeden z plików ma nazwę równą katalogowi — to pomocny wzorzec detekcyjny aktywnej infekcji.
Próbki: Kaspersky publikuje skróty (loader/LeetAgent/Dante) w sekcji IOCs.
Atrybucja do Dante / Memento Labs
Po zdjęciu VMProtect odkryto ciągi “Dante” oraz odniesienie do wersji “2.0” zgodne z nazwą prelekcji ISS World MEA 2023; wykryto liczne podobieństwa kodowe między późnymi próbkami RCS a Dante. Wniosek: nowy produkt zastąpił dotychczasową bazę w 2022 r.
Praktyczne konsekwencje / ryzyko
Ataki bezklikalne po kliknięciu linku: samo otwarcie strony w Chrome wystarczało do naruszenia (brak dodatkowej interakcji).
Ryzyko pełnego przejęcia hosta: sandbox escape w Chrome połączony z loaderem i modułami daje zdolności pełnego szpiegostwa (zrzuty ekranu, exfiltracja, keylogging, audio/wideo — typowe dla linii RCS/Dante).
Cele wysokoprofilowe: charakter kampanii (APT, spear-phishing, krótkotrwała infrastruktura) wskazuje na ukierunkowaną cyber-szpiegowską operację.
Rekomendacje operacyjne / co zrobić teraz
1) Natychmiastowe działania IT/SecOps
Zaktualizuj Chrome do ≥ 134.0.6998.177/.178 (Windows); sprawdź kanał Extended Stable.
Hunting po artefaktach: przeszukaj %LocalAppData% pod kątem katalogów/plików nazwanych 8-bajtowym Base64 (bez rozszerzeń) oraz zbieżnych mechanizmów trwałości. Zweryfikuj hosty z podejrzanymi folderami.
Weryfikacja IOCs: porównaj próbki z hashami opublikowanymi przez Kaspersky (loader/LeetAgent/Dante).
2) Detekcja i twardnienie
EDR/XDR: reguły pod CVE-2025-2783 (Mojo/handle dup), ładowanie niezaufanych DLL, nietypowe child-procesy Chrome → LOLBins, tworzenie trwałości przez rzadko używane ścieżki użytkownika. (Wzorce zgodne z opisem łańcucha Kaspersky).
Gateway/Proxy: czasowo-ograniczone, spersonalizowane URL-e — wzmacniać detekcję na krótko żyjące domeny, TLS fingerprinting, anomalię HTTP.
Kontrola przeglądarki: polityki blokujące ładowanie Mojo IPC z nieznanych źródeł, ograniczanie rozszerzeń, izolacja profili uprzywilejowanych.
3) Zarządzanie podatnościami
CVE-2025-2783 znajduje się w CISA KEV — egzekwuj priorytetową poprawkę zgodnie z terminem BOD 22-01 (organizacje publiczne/regulated).
4) Świadomość i procedury
Trenuj rozpoznawanie spear-phishingu i politykę bezpiecznego otwierania linków (otwieranie w przeglądarce izolowanej/VDI dla wrażliwych ról).
Różnice / porównania z innymi przypadkami
Pegasus/Intellexa/Candiru vs. Dante: ekosystemy różnią się łańcuchami eksploatacji (mobilne vs. desktopowe), ale model biznesowy (ofensywne zdolności dla rządów) i ukrywanie tożsamości w kodzie są wspólne. W przypadku Dante rzadki jest wprost odnaleziony znacznik nazwy w binariach, co ułatwiło atrybucję.
RCS (Da Vinci/Galileo) → Dante: ciągłość kodowa i TTP sugeruje ewolucję produktu po rebrandingu Hacking Team → Memento Labs (2022: przejście na Dante).
Podsumowanie / kluczowe wnioski
Operation ForumTroll to przykład APT-grade browser exploit chain: phishing → Chrome 0-day (CVE-2025-2783) → staged spyware. Google załatał błąd 25.03.2025.
Atrybucja do Dante/Memento Labs została potwierdzona kombinacją cech kodu, TTP i artefaktów — to “powrót” Hacking Team w nowej odsłonie.
Organizacje powinny patchować, huntować wg wzorców FS/IOC, wzmacniać EDR/XDR i segmentować ryzyko przeglądarki.
Źródła / bibliografia
Kaspersky Securelist – “Mem3nt0 mori – The Hacking Team is back! / How we linked ForumTroll APT to Dante spyware” (analiza łańcucha, IOCs, atrybucja do Dante/Memento Labs), 27.10.2025. (Securelist)
Google – Chrome Releases: Stable Channel Update for Desktop 134.0.6998.177/.178 (potwierdzenie CVE-2025-2783; “exploited in the wild”), 25.03.2025. (Chrome Releases)
NVD (NIST) – CVE-2025-2783 (opis, odwołanie do CISA KEV, wektor CVSS), aktual. 24.10.2025. (NVD)
Kaspersky Blog – Operation ForumTroll: APT attack with Google Chrome zero-day exploit chain, 25.03.2025. (Securelist)
Atlantic Council – “Mythical Beasts and where to find them: Mapping the global spyware market…” (kontekst rynku, Memento Labs/Hacking Team), 04.09.2024. (Atlantic Council)
Cisco Talos opisał szereg incydentów z 2025 r., które ujawniają aktualny łańcuch ataku Qilin (dawniej Agenda) – jednego z najbardziej „produktywnych” gangów ransomware. Zespół IR Talosa obserwuje ponad 40 publikacji ofiar miesięcznie na stronie wycieków Qilin, ze szczytami aktywności sięgającymi ~100 przypadków (czerwiec i sierpień 2025). Najmocniej cierpi produkcja, a dalej usługi profesjonalne i handel hurtowy.
W skrócie
Model RaaS: Qilin działa jako usługa, rozwijając platformę i udostępniając ją afilantom; podwójny szantaż (szyfrowanie + wyciek).
Początkowy dostęp: w badanych sprawach częste są nadużycia ważnych kont/VPN bez MFA, czasem zmiany GPO w AD w celu włączenia RDP; obserwowano także spear-phishing i wykorzystanie wycieków haseł.
Eksfiltracja: paczkowanie WinRAR, przesył przez legalne narzędzia (np. Cyberduck do Backblaze), „ręczne” przeglądanie danych nawet notatnikiem/mspaint.
Ruch boczny i utrzymanie: PsExec, modyfikacje zapory i RDP, instalacje wielu RMM (AnyDesk, ScreenConnect, Chrome Remote Desktop itd.).
Szyfrowanie: wariant Qilin.B (Rust) używa AES-256-CTR lub ChaCha20 + RSA-4096 (OAEP), terminacja usług backup/DB/AV, czyszczenie logów i niszczenie VSS.
Skala zagrożenia: w II kw. 2025 Qilin był najaktywniejszym ransomware wobec podmiotów SLTT w USA (MS-ISAC).
Kontekst / historia / powiązania
Qilin (wcześniej Agenda) działa od lipca 2022 r., oferując RaaS i prowadząc wycieki danych na własnym portalu. Z czasem ewoluował technicznie (m.in. przepisany na Rust; utrzymano też wersje Linux/ESXi) i organizacyjnie (aktywny rekrut na forach). W 2024 r. HHS/HC3 publikował profil zagrożenia wskazujący na spear-phishing i warianty Windows/Linux; w 2024/2025 Halcyon śledził wariant Qilin.B z usprawnioną kryptografią i ewakuacją kluczowych artefaktów.
W 2025 r. incydenty przypisywane Qilin odnotowano w różnych sektorach i krajach; przykładem jest głośny atak na japoński Asahi Group (zakłócenia produkcji i publikacja danych).
Analiza techniczna / szczegóły luki
Wejście / inicjalny dostęp
Nadużycie ważnych kont i brak MFA na VPN; wzmożone próby NTLM po pojawieniu się haseł w darknecie; możliwe zmiany GPO w celu ułatwienia RDP.
(Historycznie) spear-phishing, w tym złośliwe załączniki i kradzież poświadczeń.
Rozpoznanie i zbieranie
nltest, net user, whoami /priv, tasklist; narzędzia skanowania sieci; dedykowany pakiet do zrzutu haseł (NirSoft, Mimikatz). Modyfikacja WDigest (UseLogonCredential=1) ułatwiająca pozyskanie plaintextów. Dane agregowane skryptami i eksportowane (SMTP, pliki wynikowe z kodowaniem Windows-1251).
Eksfiltracja
Archiwizacja WinRAR, inspekcja dokumentów nawet przez notepad.exe/mspaint.exe/iexplore.exe; nadużycie Cyberduck do chmury (Backblaze) z podziałem na części.
Eskalacja uprawnień i ruch boczny
Dodawanie napastniczych kont do Local Administrators, wymuszanie RDP, tworzenie udziałów typu net share c=c:\ /grant: everyone,full; rozproszenie przez PsExec. Obserwacje wielu RMM (AnyDesk, ScreenConnect, Distant Desktop, QuickAssist, Chrome Remote Desktop).
Unikanie obrony
Silnie zaciemniony PowerShell z wyłączeniem AMSI, obejściem walidacji TLS oraz włączeniem Restricted Admin dla RDP (hash-based auth).
Przygotowanie środowiska i trwałość
Wyłączanie/ubijanie procesów AV/backup/DB, czyszczenie logów, tworzenie Scheduled Task („TVInstallRestore”) i wpisów Run podszywających się pod TeamViewer.
Szyfrowanie (Qilin.B)
Kombinacja AES-256-CTR (jeśli dostępne AES-NI) / ChaCha20 (fallback) + RSA-4096/OAEP do ochrony kluczy; noty okupu README-RECOVER-[company_id].txt; rozszerzenia plików wg unikalnego ID ofiary. Wykrywana enumeracja udziałów i dysków, ukierunkowanie na ClusterStorage/CSV (Hyper-V/VM/VHDX) przy jednoczesnym unikaniu pętli po symlinkach. Usuwanie VSS i autodestrukcja binarium.
IOCs i detekcje
Talos publikuje wykazy IOC (GitHub), Snort SID oraz ClamAV (np. Win.Ransomware.Qilin, SystemBC, Cobalt Strike).
Praktyczne konsekwencje / ryzyko
Czas przestoju: ataki celują w środowiska wirtualizacji i plików współdzielonych (CSV/Hyper-V), co zwiększa wpływ na produkcję i usługi krytyczne.
Ryzyko reputacyjne i prawne przez systematyczną ekfiltrację (Backblaze/Cyberduck) oraz publikację na stronie wycieków.
Trend rynkowy: Qilin był w Q2 2025 najaktywniejszą rodziną wobec SLTT w USA, co potwierdza jego dojrzałość operacyjną i tempo działania.
Incydenty głośne medialnie (np. Asahi) pokazują realny wpływ na produkcję i łańcuch dostaw.
Rekomendacje operacyjne / co zrobić teraz
Kontrole prewencyjne
MFA bez wyjątków na VPN, RDP, poczcie i aplikacjach krytycznych; wymuś klient-based MFA dla kont uprzywilejowanych.
Higiena tożsamości: rotacja haseł po wyciekach, blokady na „password spraying” (T1110.003), monitorowanie NTLM.
Twardnienie RDP: wyłącz zdalne logowanie tam, gdzie zbędne; kontrola fDenyTSConnections, ograniczenia sieciowe/Jump Host; Restricted Admin tylko jeśli świadomie zarządzany.
Egress/Exfil kontrola: DLP/CTI-driven blokady dla Backblaze i nietypowych klientów S3/WebDAV; monitoruj użycie Cyberduck, WinRAR w trybie archiwizacji masowej.
Backup i odzyskiwanie: izolowane kopie, testy odtwarzania, ochrona VSS przed usuwaniem; segmentacja Hyper-V/CSV.
Detekcja i reagowanie (SOC/SIEM/EDR)
Reguły: Snort/ClamAV zgodnie z publikacją Talos; korelacje dla PsExec, net share c=, WDigest UseLogonCredential=1, zaciemnionego PowerShell wyłączającego AMSI, nietypowego schtasks /Create /SC ONLOGON.
Kryptonotatki/rozszerzenia: alarmy na README-RECOVER-[company_id].txt oraz nowe rozszerzenia „.[company_id]”.
Procedury IR
Izolacja i triage hostów z aktywnością WinRAR/Cyberduck, ścieżkami Backblaze, masową terminacją usług bezpieczeństwa/backup.
Łańcuch dowodowy: zabezpieczenie logów przed czyszczeniem (wczesna centralizacja, forward-only, write-once).
Komunikacja kryzysowa i ocena ryzyka wycieku (PII, IP, dane produkcyjne).
Różnice / porównania z innymi przypadkami (jeśli dotyczy)
Qilin vs. „typowy” RaaS 2025: podobnie jak inne operacje, Qilin intensywnie eksfiltruje i używa RMM/LOLBINs; odróżnia go ukierunkowanie na CSV/Hyper-V i szerokie wykorzystanie legalnych narzędzi do eksfiltracji (Cyberduck).
Qilin.B (Rust) wyróżnia kombinowany wybór szyfru (AES-NI → AES-CTR, fallback → ChaCha20) i mocną ochronę kluczy RSA-4096/OAEP, co komplikuje odzysk bez kluczy.
Wieloplatformowość: raporty z 2025 r. pokazują nawet wdrażanie binarek Linux na systemach Windows przez RMM/BYOVD, co utrudnia detekcję.
Podsumowanie / kluczowe wnioski
Qilin utrzymuje wysokie tempo kampanii i dojrzały łańcuch ataku: kradzież poświadczeń (WDigest/Mimikatz/NirSoft), ruch boczny (PsExec/RDP/RMM), eksfiltracja przez chmurę (Cyberduck→Backblaze), a następnie szyfrowanie zoptymalizowane dla środowisk wirtualnych (CSV/Hyper-V) i agresywna ewakuacja artefaktów. Obrona wymaga dyscypliny IAM/MFA, twardnienia RDP/VPN, kontroli egress/exfil, oraz predefiniowanych detekcji TTP. Publikacje Cisco Talos i analizy branżowe (HHS/HC3, Halcyon, CIS, Trend Micro) dostarczają praktycznych wskaźników i reguł do natychmiastowego wdrożenia.
Źródła / bibliografia
Cisco Talos – Uncovering Qilin attack methods exposed through multiple cases, 26 października 2025 (TTP, IOCs, Snort/ClamAV). (Cisco Talos Blog)
Halcyon – New Qilin.B Ransomware Variant…, 24 października 2024 (kryptografia, mechanika szyfrowania). (Halcyon)
CIS (MS-ISAC) – Qilin: Top Ransomware Threat to SLTTs in Q2 2025, 11 września 2025 (trend aktywności). (CIS)
Trend Micro – Agenda Ransomware Deploys Linux Variant on Windows Systems…, 23 października 2025 (nietypowe wdrożenia Linux przez RMM/BYOVD). (www.trendmicro.com)
Atakujący zaczęli nadużywać otwartoźródłowego narzędzia RedTiger do budowy infostealera kradnącego konta Discord oraz dane płatnicze powiązane z aplikacją. Złośliwe ładunki, kompilowane najczęściej w PyInstaller, zbierają również hasła i cookies z przeglądarek, informacje o portfelach kryptowalut oraz kontach gamingowych. Najnowsza fala celuje przede wszystkim w użytkowników we Francji, ale mechanizm ataku jest uniwersalny i łatwo przenaszalny na inne rynki.
W skrócie
Wejście: pliki wykonywalne podszywające się pod narzędzia do gier/Discord („mods”, „boosters”, „cheaty”). Kompilacja kodu RedTiger w PyInstaller.
Kradzież: tokeny Discord (w tym status MFA/Nitro), e-maile, dane płatnicze (karty, PayPal), hasła/karty zapisane w przeglądarkach, cookies, portfele krypto, konta gier.
Triki: iniekcja JS do pliku index.js Discorda w celu przechwytywania logowań, zmian hasła i transakcji; anty-analiza; masowe uruchamianie procesów i tworzenie plików dla utrudnienia analizy.
Eksfiltracja: archiwum z danymi wysyłane do GoFile, link przekazywany przestępcy przez Discord webhook.
Zasięg: początkowo Francja (użytkownicy Discord), ale brak barier językowych/techniczych do globalizacji kampanii.
Kontekst / historia / powiązania
RedTiger to pythonowe „multi-tool” do pentestów, OSINT i… budowania malware’u (m.in. stealer, Discord injection, a w wersji „premium” nawet ransomware builder). Choć repozytorium podkreśla „tylko do legalnych celów”, brak mechanizmów kontroli dystrybucji sprawia, że projekt jest łatwy do nadużycia przez aktorów zagrożeń. Zainteresowanie i dostępność potwierdzają setki forków i wydania utrzymywane w 2025 r.
Analiza techniczna / szczegóły luki
Łańcuch infekcji Kampanie dystrybucji nie są jednolite; badacze wskazują na typowe wektory dla sceny gamingowej: serwery/DM na Discord, witryny z „modami”, fałszywe poradniki/filmiki, malvertising. Binarne „dropy” mają nazwy sugerujące powiązanie z grami/Discordem.
Kradzież i walidacja tokenów Discord Stealer skanuje system pod kątem plików baz danych Discorda i przeglądarek, wydobywa tokeny (także szyfrowane) m.in. przez regexy, waliduje je i pobiera profil, e-mail, status MFA/Nitro oraz informacje o subskrypcji/płatnościach.
Iniekcja do klienta Discord Złośliwy kod modyfikuje index.js klienta, aby hakować wywołania API i przechwytywać zdarzenia (logowanie, zakup, zmiana hasła, dodanie karty/PayPal). To umożliwia kradzież na żywo, nawet po rotacji części artefaktów.
Zasięg kradzieży Poza Discordem RedTiger wykrada: hasła/cookies/historię/karty z przeglądarek, sesje portfeli krypto, pliki gier (Steam, Riot, Epic), pliki „interesujące” (.TXT, .SQL, .ZIP), a nawet zrzuty ekranu i ujęcia z kamery.
Eksfiltracja i C2 Zebrane artefakty są pakowane i uploadowane do GoFile; link jest zwracany atakującemu przez Discord webhook wraz z metadanymi ofiary.
Anty-forensics / anty-analiza Wykryto m.in. kontrolę środowisk sandbox/debug oraz taktykę spamowania setkami procesów i plików, by utrudnić analizę i zaszumieć telemetrykę.
Ryzyko reputacyjne i prawne (RODO) w razie wycieku danych z urządzeń firmowych.
Rekomendacje operacyjne / co zrobić teraz
Dla użytkownika/Helpdesku (IR – pierwsze 24–48 h):
Natychmiast zmień hasło do Discorda; to unieważnia tokeny. Następnie wyloguj wszystkie sesje i przeinstaluj klienta Discord (czysta instalacja z oficjalnej strony).
Włącz/egzekwuj MFA na Discordzie oraz wszędzie, gdzie to możliwe.
Na zainfekowanym hostcie: uruchom pełne skanowanie AV/EDR, usuń pliki z folderów Discorda, wyczyść LSA/DPAPI cache (jeśli dotyczy), zresetuj hasła do kont zapisanych w przeglądarce, usuń cookies i autouzupełnianie kart.
App Control: blokuj wykonywalne PyInstaller i niepodpisane EXE z katalogów użytkownika; egzekwuj allow-listę aplikacji.
EDR: reguły na modyfikacje Discord\*\resources\app\*.js oraz nietypowe „child processes” klienta Discord.
Network egress: monitoruj/blokuj wycieki do GoFile i nietypowe wywołania Discord webhooks z hostów końcowych.
Browser hardening: zabroń przechowywania kart płatniczych; egzekwuj dojrzalszy menedżer haseł i polityki „no cookies reuse” dla systemów wrażliwych.
Uświadamianie użytkowników: kampanie przeciwko „modom/cheatom/boosterom” z nieznanych źródeł.
Hunting: IOC-y z bieżących raportów vendorów (np. Netskope Threat Labs), korelacja z logami proxy/EDR.
Różnice / porównania z innymi przypadkami (jeśli dotyczy)
W porównaniu do klasycznych infostealerów (np. Vidar, RedLine, Lumma), wariant bazujący na RedTiger wyróżnia:
nastawienie na Discord (tokeny + iniekcja JS do klienta, przechwytywanie zdarzeń zakupowych i zmian bezpieczeństwa),
„builder” dostępny w repozytorium OSS, co obniża próg wejścia dla aktorów o niskich kompetencjach,
techniki anty-forensics (spam procesów/plików) nastawione na utrudnienie analizy po incydencie.
Podsumowanie / kluczowe wnioski
Otwartoźródłowe narzędzia red-teamowe, takie jak RedTiger, są coraz częściej weaponizowane w kampaniach masowych.
Discord pozostaje atrakcyjnym celem: token-stealing + JS-injection zapewniają atakującym długotrwały dostęp i możliwość monetyzacji.
Obrona wymaga połączenia higieny użytkownika (MFA, brak „cheatów”) z kontrolą aplikacji, telemetrią EDR i huntingiem pod konkretne artefakty (modyfikacje index.js, uploady do GoFile, webhooks).
Źródła / bibliografia
BleepingComputer — „Hackers steal Discord accounts with RedTiger-based infostealer”, 26 października 2025. (BleepingComputer)
Netskope Threat Labs — „RedTiger in the Wild: Targeting Gamers & Discord Accounts” (analiza kampanii, TTP, zasięg geograficzny). (Netskope)
Grupa ransomware SafePay dodała Xortec GmbH (niemiecki dystrybutor i integrator systemów profesjonalnego monitoringu wizyjnego oraz infrastruktury IP) na swoją stronę wyciekową i twierdzi, że wykradła dane spółki. Według pierwszych doniesień termin spełnienia żądań przypada na 27 października 2025 r. (dzisiaj), co ma zwiększyć presję negocjacyjną na ofierze. Na ten moment brak publicznych dowodów ujawnionych plików, lecz wpis na DLS (Data Leak Site) zwykle poprzedza publikację „dowodu życia” lub pakietów danych.
W skrócie
Kto? SafePay – jedna z najbardziej aktywnych grup ransomware 2025 r.
Co? Roszczenie ataku na Xortec; wpis na stronie wyciekowej (double extortion).
Kiedy? Wpis wykryto 24–27 października 2025 r.; deadline wyznaczony na 27.10.2025.
Dlaczego to ważne? Xortec obsługuje rozwiązania dla monitoringu i infrastruktury sieciowej – ewentualny wyciek może ujawnić dane projektowe, konfiguracje, schematy klientów i dostęp serwisowy.
Kontekst rynkowy: SafePay od końca 2024 r. konsekwentnie rośnie, celując w organizacje w DE/UK/US; raporty branżowe plasują ją w czołówce operacji ransomware 2025 r.
Kontekst / historia / powiązania
SafePay pojawił się jesienią 2024 r. i szybko stał się jedną z najaktywniejszych operacji, budując reputację dzięki agresywnemu double extortion (szyfrowanie + kradzież danych) i głośnym kampaniom przeciw dużym podmiotom. Analitycy zwracają uwagę na szybkie tempo publikacji ofiar oraz presję czasową w żądaniach okupu.
Analiza techniczna / szczegóły luki
TTPs SafePay (wybór, na podstawie raportów publicznych):
Wektory dostępu początkowego: częste wykorzystanie słabych/kompromitowanych poświadczeń i ekspozycji zdalnego dostępu (VPN/RDP), a także spear-phishing i „call-back” (vishing) do eskalacji uprawnień.
Ekfiltracja i przygotowanie wycieku: exfil danych przed szyfrowaniem; strukturyzacja listingów na DLS z twardymi deadline’ami; użycie wskaźników (mutexy) zapobiegających wielokrotnemu uruchomieniu ładunku.
Model operacyjny: niezależna operacja (nie klasyczny RaaS), szybkie „time-to-encrypt”, elementy kodu i praktyk znane z ekosystemu LockBit (modyfikacje narzędzi i taktyk).
Uwaga: w przypadku Xortec szczegóły wektora wejścia i zakres potencjalnie wykradzionych danych nie zostały publicznie potwierdzone w momencie publikacji; jedynym twardym artefaktem jest wpis na stronie wyciekowej przypisany SafePay.
Praktyczne konsekwencje / ryzyko
Ryzyko dla klientów i partnerów Xortec: możliwe ujawnienie dokumentacji projektowej, topologii sieci, konfiguracji kamer/NVR, kont serwisowych oraz danych kontaktowych partnerów i klientów. Taki wyciek ułatwia ransomware z wtórnej kompromitacji i atak łańcucha dostaw (pivotowanie do środowisk klientów). W branży bezpieczeństwa fizycznego ekspozycja konfiguracji bywa równoznaczna z ułatwieniem sabotażu systemów CCTV. (Wniosek analityczny na podstawie profilu biznesowego Xortec i modus operandi SafePay).
Ryzyko ciągłości działania: presja czasu (deadline 27.10.2025) zwiększa prawdopodobieństwo publikacji paczek „proof-pack” i eskalacji taktyk wymuszających kontakt.
Rekomendacje operacyjne / co zrobić teraz
Dla Xortec i podmiotów pokrewnych (dystrybutorzy/integratorzy security-tech):
Zarządzanie incydentem: izolacja segmentów, rotacja poświadczeń uprzywilejowanych, przegląd kont serwisowych i dostępów klientowskich; weryfikacja dzienników VPN/IdP pod kątem anomalii.
Redukcja ekspozycji zdalnej: wymusić MFA na wszystkich kanałach zdalnych (VPN/RDP/SSH), odciąć przestarzałe profile i nieużywane konta.
Kontrola danych klientów: poinformować partnerów o potencjalnym wycieku, udostępnić wskaźniki kompromitacji (IoC) i rekomendacje rotacji haseł/API.
Twarde zabezpieczenia endpointów/serwerów: blokady wykonywalnych w ścieżkach użytkownika, deny-by-default dla skryptów i makr, polityki application allow-listing/ring-fencing dla narzędzi administracyjnych.
Przygotowanie na publikację danych: plan PR/obsługi prawnej, monitoring DLS/paste-sites; gotowe playbooki de-tokenizacji/rotacji kluczy, natychmiastowe unieważnianie certyfikatów i kluczy dostępowych, jeśli pojawią się w wycieku.
Współpraca z organami i zespołami CSIRT: raport do właściwych służb i skorzystanie z publicznych wytycznych dot. reakcji na ransomware.
Dla klientów końcowych (używających rozwiązań dystrybuowanych/serwisowanych przez Xortec):
Zmień poświadczenia (lokalne i chmurowe) powiązane z usługami serwisowymi Xortec; przejrzyj listy zaufanych adresów IP i kluczy API.
Audyt konfiguracji CCTV/NVR/VMS: wyłącz domyślne konta, włącz logowanie i alertowanie o nieudanych logowaniach, wymuś TLS i segmentację sieci (oddziel CCTV od sieci biurowej).
W porównaniu z klasycznymi operacjami RaaS, SafePay działa bardziej „jednolicie” (mniej afiliantów, bardziej spójne TTPs), częściej stosuje agresywną presję czasową oraz dużą liczbę ofiar miesięcznie. Raporty z 2025 r. potwierdzają wysoką dynamikę (dziesiątki ofiar/miesiąc), co zbliża SafePay do topowych graczy ubiegłych lat pod względem skali, choć zestaw narzędzi i procedur wskazuje na adaptacje znanych technik (np. elementy z ekosystemu LockBit).
Podsumowanie / kluczowe wnioski
Incydent nie został jeszcze oficjalnie potwierdzony przez Xortec, ale wpis SafePay na DLS oraz monitoring niezależnych serwisów śledzących ransomware zwiększają wiarygodność roszczenia.
Ryzyko wtórne dotyczy partnerów i klientów – szczególnie jeśli w wycieku znajdą się konfiguracje systemów i dane dostępowe.
Organizacje w ekosystemie security-tech powinny od razu wykonać rotację sekretów i twarde utwardzenie zdalnych dostępów, bazując na sprawdzonych guideline’ach reagowania na ransomware.
Źródła / bibliografia
Security Affairs – „Safepay ransomware group claims the hack of Xortec (DE)” (27.10.2025). (Security Affairs)
