Wojciech Ciemski, Autor w serwisie Security Bez Tabu - Strona 341 z 525

Warlock wzmacnia łańcuch ataku ransomware po kompromitacji środowiska

Cybersecurity news

Wprowadzenie do problemu / definicja

Grupa ransomware Warlock rozwija swoje operacje po uzyskaniu wstępnego dostępu do środowiska ofiary, koncentrując się na utrzymaniu trwałości, ruchu bocznym oraz ograniczaniu widoczności aktywności dla mechanizmów obronnych. To wyraźny sygnał, że współczesne kampanie ransomware coraz częściej wykraczają poza prosty model szybkiego wejścia i szyfrowania danych.

Z perspektywy obrońców oznacza to konieczność analizowania całego łańcucha ataku, a nie jedynie fazy końcowej. Jeżeli napastnik buduje kilka kanałów dostępu, maskuje komunikację i nadużywa legalnych narzędzi administracyjnych, wykrycie incydentu staje się znacznie trudniejsze.

W skrócie

Warlock nadal wykorzystuje niezałatane, publicznie dostępne serwery Microsoft SharePoint jako punkt wejścia do sieci. W najnowszych obserwacjach szczególną uwagę zwraca rozbudowa działań post-exploitation, w tym użycie modelu BYOVD, wdrożenie TightVNC jako trwałego dostępu zdalnego oraz zastosowanie narzędzia Yuze do tunelowania ruchu i ukrywania komunikacji.

  • punktem wejścia pozostają podatne instancje Microsoft SharePoint,
  • atakujący wdrażają trwałe mechanizmy zdalnego dostępu,
  • ruch C2 i komunikacja boczna są maskowane przez popularne porty,
  • technika BYOVD zwiększa skuteczność obchodzenia zabezpieczeń endpointowych,
  • cała operacja wskazuje na wzrost dojrzałości technicznej grupy.

Kontekst / historia

Warlock jest stosunkowo młodą grupą na scenie ransomware, ale tempo jej rozwoju operacyjnego jest wysokie. W drugiej połowie 2025 roku aktywność tej grupy była obserwowana między innymi wobec sektora technologicznego, produkcyjnego oraz instytucji rządowych, a publiczny debiut przypisano jej w czerwcu 2025 roku.

Jednym z najważniejszych elementów kampanii pozostaje konsekwentne wykorzystywanie podatności w lokalnych wdrożeniach Microsoft SharePoint. Wśród wskazywanych luk pojawiają się CVE-2025-49704, CVE-2025-49706 oraz CVE-2025-53770, co pokazuje, że podstawowy wektor wejścia nie zmienia się nawet wtedy, gdy grupa rozwija swoje techniki działania po kompromitacji.

Analiza techniczna

W analizowanym incydencie operatorzy Warlock mieli utrzymywać się w środowisku ofiary przez około 15 dni przed uruchomieniem ransomware. Najwcześniejsze ślady aktywności powiązano z procesem roboczym SharePoint, co wzmacnia ocenę, że to właśnie podatny serwer aplikacyjny był punktem startowym całej operacji.

Po uzyskaniu dostępu napastnicy wdrożyli TightVNC jako usługę systemową Windows z wykorzystaniem PsExec. Takie podejście zapewnia stabilny, graficzny dostęp zdalny, który może służyć zarówno do eksploracji środowiska, jak i do ręcznego wykonywania kolejnych etapów ataku.

Drugim istotnym elementem było użycie Yuze, lekkiego narzędzia reverse proxy napisanego w języku C. Umożliwia ono zestawianie połączeń SOCKS5 przez porty 80, 443 i 53, dzięki czemu komunikacja może wyglądać jak legalny ruch sieciowy. W praktyce ułatwia to ukrywanie kanałów C2 oraz wspiera ruch boczny przy niższym ryzyku wzbudzenia alertów opartych wyłącznie na analizie niestandardowych portów.

Szczególnie groźnym komponentem operacji jest technika BYOVD. Polega ona na dostarczeniu do środowiska legalnego, ale podatnego sterownika, który następnie jest wykorzystywany do działań na poziomie jądra systemu. W opisywanym przypadku wskazano sterownik NSecKrnl.sys używany do wyłączania lub zakłócania działania produktów bezpieczeństwa, co może ograniczać skuteczność EDR i AV.

Nowe techniki nie zastępują wcześniejszego arsenału Warlock, lecz go rozszerzają. W poprzednich obserwacjach wskazywano między innymi użycie Velociraptor jako frameworka C2, tuneli Cloudflare do zdalnego dostępu oraz Rclone maskowanego jako legalnie wyglądający plik wykonywalny do eksfiltracji danych. Taki warstwowy model operacyjny zwiększa redundancję i utrudnia pełne odcięcie intruza od środowiska.

Konsekwencje / ryzyko

Największe zagrożenie nie wynika wyłącznie z samego szyfrowania danych, ale z czasu, jaki napastnik spędza w sieci ofiary przed uruchomieniem finalnej fazy ataku. Dłuższy dwell time zwiększa prawdopodobieństwo eskalacji uprawnień, przejęcia kont uprzywilejowanych, rekonesansu domeny, eksfiltracji danych oraz sabotażu mechanizmów odtworzeniowych.

Dodatkowym problemem jest nadużywanie legalnych narzędzi administracyjnych oraz ukrywanie ruchu w kanałach wykorzystujących popularne porty. Takie działania obniżają skuteczność detekcji bazującej wyłącznie na sygnaturach lub prostym monitoringu sieciowym. Z kolei BYOVD podnosi ryzyko neutralizacji zabezpieczeń endpointowych jeszcze przed uruchomieniem szyfrowania.

Dla organizacji oznacza to, że pojedyncza luka w publicznie dostępnym SharePoint może stać się początkiem pełnoskalowego incydentu obejmującego kradzież danych, przejęcie infrastruktury oraz paraliż systemów krytycznych. Ryzyko rośnie dodatkowo wtedy, gdy podatności wykorzystywane przez napastników znajdują się w katalogach aktywnie eksploatowanych luk.

Rekomendacje

Priorytetem powinno być pilne ograniczenie ekspozycji publicznie dostępnych serwerów SharePoint oraz szybkie wdrożenie wszystkich dostępnych poprawek i działań zaradczych. Szczególną uwagę należy poświęcić środowiskom lokalnym, starszym wdrożeniom oraz systemom funkcjonującym poza standardowym cyklem aktualizacji.

  • ograniczyć bezpośrednią ekspozycję usług administracyjnych i zdalnych do Internetu,
  • wymusić MFA dla wszystkich punktów dostępu zewnętrznego,
  • monitorować użycie PsExec, TightVNC, Rclone oraz nietypowych tuneli i reverse proxy,
  • wdrożyć detekcje dla podejrzanych sterowników i prób ładowania nowych driverów,
  • zwiększyć widoczność ruchu bocznego oraz połączeń SOCKS,
  • prowadzić segmentację sieci i ograniczać uprawnienia administracyjne,
  • regularnie testować kopie zapasowe oraz procedury odtwarzania po incydencie.

Warto również przeprowadzić retrospektywną analizę logów pod kątem aktywności procesu SharePoint, nietypowych usług Windows, uruchamiania narzędzi administracyjnych oraz zmian związanych z instalacją sterowników. W środowiskach podwyższonego ryzyka uzasadnione może być czasowe zaostrzenie polityk AppLocker lub WDAC.

Podsumowanie

Warlock pokazuje, że nowoczesne operacje ransomware coraz częściej opierają się na dojrzałych technikach post-exploitation, a nie tylko na skutecznym wejściu do organizacji. Połączenie podatnych serwerów SharePoint, techniki BYOVD, tunelowania ruchu i nadużywania legalnych narzędzi administracyjnych tworzy trudniejszy do wykrycia i bardziej odporny łańcuch ataku.

Dla zespołów bezpieczeństwa oznacza to konieczność jednoczesnego wzmacniania patch management, monitoringu lateral movement, ochrony endpointów oraz kontroli nad zdalnym dostępem. W praktyce opóźnianie aktualizacji systemów publicznych nadal pozostaje jednym z najprostszych sposobów otwarcia drogi do poważnego incydentu ransomware.

Źródła

Cyberbezpieczeństwo igrzysk olimpijskich: wnioski z Paryża 2024 i wyzwania przed Mediolanem-Cortiną 2026

Cybersecurity news

Wprowadzenie do problemu / definicja

Cyberbezpieczeństwo igrzysk olimpijskich obejmuje ochronę jednej z najbardziej złożonych operacji cyfrowych realizowanych na świecie. Dotyczy nie tylko klasycznych systemów IT, ale także infrastruktury obiektów sportowych, systemów wyników i pomiaru czasu, platform biletowych, komunikacji operacyjnej, środowisk audio-wideo oraz współpracy z partnerami publicznymi i prywatnymi.

W przypadku tak dużego wydarzenia celem nie jest wyłącznie blokowanie incydentów, lecz zapewnienie ciągłości działania, bezpieczeństwa uczestników oraz ochrony reputacji organizatora. Każde zakłócenie może mieć natychmiastowy wpływ operacyjny i medialny.

W skrócie

Igrzyska olimpijskie są wyjątkowo atrakcyjnym celem dla cyberprzestępców, grup sabotażowych i aktorów prowadzących operacje wpływu. Skala przygotowań do Paryża 2024 pokazała, że skuteczna obrona wymaga podejścia ekosystemowego, obejmującego aplikacje, stacje robocze, infrastrukturę tymczasową, obiekty sportowe oraz partnerów zewnętrznych.

  • Ochrona obejmuje setki systemów i rozproszoną infrastrukturę wielu podmiotów.
  • Najbardziej krytycznym momentem pozostaje ceremonia otwarcia, będąca atrakcyjnym celem z perspektywy zakłócenia działania i efektu medialnego.
  • Kluczowe znaczenie ma szybka wymiana informacji o zagrożeniach pomiędzy organizacjami.

Kontekst / historia

Model cyberobrony igrzysk nie opiera się na jednym uniwersalnym schemacie. Każda edycja odbywa się w innym środowisku technologicznym, organizacyjnym i prawnym, dlatego zespół odpowiedzialny za bezpieczeństwo musi budować własny model działania, korzystając z doświadczeń poprzednich imprez oraz analizy wcześniejszych incydentów.

Przygotowania do Paryża 2024 pokazały skalę tego wyzwania. Ochroną objęto ponad 200 aplikacji oraz ponad 10 tysięcy stacji roboczych, a także infrastrukturę wspierającą zawody, logistykę, obsługę widzów i partnerów. Dodatkową trudność stanowiła dynamicznie rosnąca struktura organizacyjna, w której procesy bezpieczeństwa musiały powstawać równolegle z rozbudową całego zaplecza IT.

Wnioski z Paryża są istotne dla kolejnych dużych imprez, w tym zimowych igrzysk Mediolan-Cortina 2026. Obronę należy bowiem planować nie tylko dla samego komitetu organizacyjnego, ale dla szerokiego ekosystemu obejmującego transport, operatorów obiektów, dostawców, sponsorów i administrację publiczną.

Analiza techniczna

Z technicznego punktu widzenia zabezpieczenie igrzysk wymaga równoległej ochrony kilku warstw. Pierwsza to środowisko korporacyjne, obejmujące tożsamość, katalogi, sieć, stacje robocze, aplikacje biznesowe i dane. Druga to warstwa operacyjna związana bezpośrednio z przebiegiem zawodów, w tym systemy pomiaru czasu, prezentacji wyników, transmisji informacji i obsługi obiektów. Trzecia obejmuje zasoby tymczasowe oraz środowiska współdzielone z partnerami zewnętrznymi.

Szczególnie wrażliwym obszarem są obiekty sportowe. To silnie zinformatyzowane środowiska, w których cyberatak może oznaczać nie tylko utratę dostępności usług, lecz także chaos organizacyjny. Zakłócenie działania systemów wyświetlania, nagłośnienia lub elementów sterowania mogłoby przełożyć się na realne problemy operacyjne i zagrożenia dla bezpieczeństwa fizycznego.

Istotnym elementem obrony jest również współdzielenie telemetryki i informacji o zagrożeniach. W przygotowaniach do Paryża połączono około 25 organizacji zdolnych do wymiany danych niemal w czasie rzeczywistym, co pozwalało szybciej reagować na kampanie phishingowe, nowe wskaźniki kompromitacji i zmieniające się taktyki przeciwników.

Ważna pozostaje także ochrona marki i kanałów komunikacji. Duże wydarzenia sportowe przyciągają fałszywe serwisy biletowe, oszustwa wymierzone w kibiców, nadużycia wykorzystujące rozpoznawalność wydarzenia oraz działania dezinformacyjne w mediach społecznościowych. Oznacza to konieczność monitorowania nie tylko własnej infrastruktury, ale także otwartego Internetu pod kątem nadużyć brandu, podobnych domen i kampanii podszywających się pod organizatora.

Najbardziej newralgicznym momentem pozostaje ceremonia otwarcia. To wtedy potencjalni atakujący mogą osiągnąć największy efekt reputacyjny i operacyjny w krótkim czasie, dlatego najwyższy poziom gotowości SOC, zespołów reagowania oraz partnerów przypada zwykle właśnie na ten etap wydarzenia.

Konsekwencje / ryzyko

Ryzyko dla igrzysk olimpijskich ma charakter wielowymiarowy. Po pierwsze, chodzi o ryzyko operacyjne związane z niedostępnością systemów krytycznych, takich jak usługi tożsamości, sieć, systemy wyników, komunikacja i obsługa widzów. Po drugie, istnieje ryzyko wpływu na bezpieczeństwo fizyczne, gdy incydent cybernetyczny oddziałuje na funkcjonowanie obiektu lub przepływ ludzi.

Bardzo wysokie jest również ryzyko reputacyjne. Zakłócenie ceremonii otwarcia, awaria systemu biletowego, wyciek danych sportowców czy masowe oszustwa podszywające się pod organizatora mogą podważyć zaufanie do całego wydarzenia. W przypadku igrzysk skutki takiego incydentu są natychmiast wzmacniane przez globalną widownię i intensywne relacje medialne.

Nie można też pomijać ryzyka systemowego. Tak duża impreza zależy od infrastruktury zewnętrznej, w tym transportu, telekomunikacji, energii i usług partnerów. Atak na podmiot formalnie spoza komitetu organizacyjnego może w praktyce silnie wpłynąć na przebieg zawodów, dlatego cyberbezpieczeństwo igrzysk należy traktować jako problem całego ekosystemu kraju-gospodarza.

Rekomendacje

Organizatorzy dużych wydarzeń sportowych powinni przyjąć podejście security-by-design już na etapie projektowania środowisk IT i OT. Każdy nowy system, obiekt tymczasowy oraz integracja z partnerem powinny przechodzić ocenę ryzyka i walidację architektoniczną.

  • Wdrożenie segmentacji sieci oraz ścisłej separacji środowisk krytycznych.
  • Silne zarządzanie tożsamością, wieloskładnikowe uwierzytelnianie i kontrola dostępu uprzywilejowanego.
  • Objęcie stacji roboczych i serwerów mechanizmami EDR/XDR.
  • Monitoring środowisk obiektowych, systemów wyświetlania, nagłośnienia i infrastruktury używanej bezpośrednio podczas zawodów.
  • Zbudowanie wspólnego modelu wymiany threat intelligence pomiędzy organizatorem, operatorami infrastruktury krytycznej, dostawcami i służbami publicznymi.

Kluczowe są także ćwiczenia operacyjne. Scenariusze powinny obejmować ransomware, zakłócenie usług katalogowych, kompromitację kont uprzywilejowanych, phishing wymierzony w personel i partnerów, ataki na systemy biletowe, przejęcie treści na ekranach oraz kampanie dezinformacyjne i oszustwa wykorzystujące markę wydarzenia.

Równie ważny pozostaje czynnik ludzki. W szybko rosnących strukturach organizacyjnych należy inwestować w kulturę bezpieczeństwa, szkolenia, jasny podział odpowiedzialności oraz budowanie zaufania między zespołami. W środowisku o wysokiej presji czasu i ogromnej widoczności to współpraca ludzi często decyduje o skuteczności obrony.

Podsumowanie

Doświadczenia z Paryża 2024 pokazują, że cyberbezpieczeństwo igrzysk olimpijskich wykracza daleko poza standardową ochronę środowiska korporacyjnego. To operacja wymagająca odporności technicznej, ścisłej koordynacji międzyorganizacyjnej, ciągłej analizy zagrożeń oraz gotowości do działania w najbardziej krytycznych momentach wydarzenia.

Najważniejszy wniosek jest jasny: przy tak złożonej imprezie nie wystarczy zabezpieczyć własnej sieci. Konieczna jest ochrona całego ekosystemu usług, partnerów, obiektów i kanałów komunikacji. To właśnie takie podejście będzie kluczowe dla bezpieczeństwa kolejnych globalnych wydarzeń sportowych, w tym zimowych igrzysk Mediolan-Cortina 2026.

Źródła

  1. Inside Olympic Cybersecurity: Lessons From Paris 2024 to Milan Cortina 2026

Atak phishingowy na Outpost24: wieloetapowa kampania wykorzystała zaufane domeny i legalną infrastrukturę

Cybersecurity news

Wprowadzenie do problemu / definicja

Phishing ukierunkowany pozostaje jednym z najgroźniejszych wektorów ataku na organizacje, zwłaszcza gdy celem są osoby z kadry zarządzającej. Incydent wymierzony w firmę Outpost24 pokazuje, że współczesne kampanie nie opierają się już wyłącznie na prostym podszywaniu się pod markę, ale coraz częściej wykorzystują legalne usługi, zaufane domeny i wieloetapowe przekierowania, aby ominąć klasyczne mechanizmy ochrony.

Celem operacji było przejęcie poświadczeń Microsoft 365 należących do osoby na poziomie kierowniczym. Choć atak został wykryty i powstrzymany przed kompromitacją, jego konstrukcja stanowi ważny sygnał ostrzegawczy dla zespołów bezpieczeństwa oraz administratorów tożsamości.

W skrócie

  • Atak był wymierzony w przedstawiciela kadry kierowniczej firmy Outpost24.
  • Kampania wykorzystywała siedmiostopniowy łańcuch przekierowań.
  • W operacji użyto legalnej infrastruktury pocztowej, zaufanych usług i domen o dobrej reputacji.
  • Wiadomość przeszła kontrole uwierzytelniania poczty, co zwiększyło jej wiarygodność.
  • Końcowym celem była fałszywa strona logowania Microsoft 365 służąca do kradzieży poświadczeń.

Kontekst / historia

Dostawcy bezpieczeństwa od lat znajdują się na liście celów o wysokiej wartości. Skuteczna kompromitacja takiej organizacji może potencjalnie dać atakującym pośredni dostęp do klientów, partnerów biznesowych oraz zaufanych kanałów komunikacji. Z tego powodu kampanie wymierzone w firmy z branży cyberbezpieczeństwa są zwykle starannie przygotowane i dopasowane do profilu ofiary.

W tym przypadku przynęta została przygotowana jako pozornie wiarygodna korespondencja finansowa. Wiadomość wyglądała jak element istniejącego wątku e-mailowego, co zwiększało szansę na interakcję. Dodatkowo zastosowano poprawne podpisanie wiadomości z użyciem DKIM, dzięki czemu przekaz nie wzbudzał podejrzeń na etapie podstawowej weryfikacji poczty.

Analiza techniczna

Łańcuch ataku został zaprojektowany tak, aby każdy kolejny etap zwiększał wiarygodność i utrudniał analizę automatyczną. Pierwszym elementem była wiadomość phishingowa stylizowana na komunikację finansową, zawierająca odwołanie do dokumentu wymagającego pilnego przeglądu i podpisu. Mimo braków po stronie SPF, wiadomość przeszła kontrole DMARC dzięki podpisowi DKIM oraz powiązaniu z legalną infrastrukturą pocztową.

Kolejne przekierowanie prowadziło przez domenę powiązaną z infrastrukturą Cisco Secure Web. Taki zabieg miał znaczenie psychologiczne i techniczne: zarówno użytkownik, jak i część systemów ochronnych mogli potraktować adres jako bardziej wiarygodny niż bezpośredni link do nieznanej domeny.

Następnie wykorzystano usługę Nylas, normalnie stosowaną do synchronizacji i automatyzacji poczty. Atakujący nadużyli mechanizmów redirectu i śledzenia linków, aby włączyć do łańcucha kolejną warstwę legalnej infrastruktury. Dzięki temu ruch nie wyglądał jednoznacznie podejrzanie, a ocena reputacyjna poszczególnych etapów stawała się trudniejsza.

W dalszej części ofiara była przekierowywana przez przejętą lub nadużytą infrastrukturę legalnie wyglądającej firmy deweloperskiej. Użytkownik miał oczekiwać pliku PDF, lecz zamiast dokumentu otrzymywał następne przekierowanie. Taka technika skutecznie maskuje rzeczywisty cel operacji i utrudnia prostą analizę wskaźników kompromitacji.

Istotnym elementem była również domena, która wcześniej funkcjonowała legalnie, wygasła, a następnie została ponownie zarejestrowana. To podejście pozwala odziedziczyć część historycznej reputacji i zmniejszyć ryzyko natychmiastowego zablokowania przez filtry bazujące na wieku domeny lub reputacji.

Przed ujawnieniem końcowego ładunku zastosowano warstwę antybotową oraz mechanizm walidacji użytkownika osadzony za usługą reverse proxy. Celem było zablokowanie dostępu automatycznym skanerom, sandboxom i narzędziom analizy dynamicznej. Ostatecznie użytkownik trafiał na dopracowaną stronę phishingową podszywającą się pod logowanie Microsoft 365, wyposażoną w elementy imitujące legalny proces uwierzytelniania, w tym animacje i walidację wpisanego adresu e-mail.

Według analizy kampania wykazywała cechy charakterystyczne dla modelu phishing-as-a-service, a użyty zestaw narzędzi był powiązany z frameworkiem określanym jako Kratos. Oznacza to wysoki poziom gotowości operacyjnej oraz możliwość łatwego skalowania podobnych operacji przeciwko kolejnym organizacjom.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem takiego ataku byłoby przejęcie poświadczeń do Microsoft 365, a w konsekwencji uzyskanie dostępu do poczty, dokumentów, kalendarzy i komunikacji wewnętrznej. W zależności od zakresu uprawnień ofiary mogłoby to umożliwić dalszy ruch boczny, przejęcie sesji, nadużycie zaufanych relacji i eskalację ataku wewnątrz organizacji.

W przypadku firmy działającej w sektorze cyberbezpieczeństwa ryzyko jest szczególnie wysokie. Ewentualna kompromitacja mogłaby mieć wpływ nie tylko na samą organizację, ale także na jej klientów, partnerów i procesy operacyjne oparte na zaufanych integracjach. Incydent podkreśla również ograniczenia ochrony opartej wyłącznie na reputacji domen i podstawowej analizie nagłówków poczty.

Dodatkowym wyzwaniem są techniki antyanalityczne. Jeśli pełna zawartość złośliwej strony jest ujawniana dopiero po interakcji człowieka, wiele systemów detekcyjnych może nie zobaczyć właściwego ładunku. To oznacza, że tradycyjne filtrowanie URL-i i wiadomości e-mail nie zawsze wystarczy do zatrzymania nowoczesnej kampanii phishingowej.

Rekomendacje

Organizacje powinny przyjąć, że legalna infrastruktura i znane usługi mogą zostać nadużyte przez cyberprzestępców. Ochrona nie może więc opierać się wyłącznie na reputacji domen, lecz powinna uwzględniać analizę zachowania, kontekst komunikacji i korelację zdarzeń w wielu warstwach środowiska.

  • Wdrożyć MFA odporne na phishing, najlepiej oparte na FIDO2 lub passkeys.
  • Stosować polityki dostępu warunkowego dla logowań z nowych lokalizacji, urządzeń i nietypowych sesji.
  • Monitorować wiadomości, które przechodzą DKIM i DMARC, ale zawierają nietypowe cechy kontekstowe.
  • Rozwijać detekcję łańcuchów wieloetapowych przekierowań przez usługi pośredniczące.
  • Analizować ruch HTTP na końcowych etapach interakcji użytkownika, a nie tylko pierwszy adres URL.
  • Objąć kadrę kierowniczą dodatkowymi szkoleniami, symulacjami spear phishingu i podwyższonym monitoringiem.

Z perspektywy SOC i threat intelligence warto również obserwować wzorce związane z ponownie rejestrowanymi domenami historycznymi, nadużyciami usług śledzenia linków oraz infrastrukturą ukrytą za CDN-ami i reverse proxy. To właśnie takie elementy coraz częściej decydują o skuteczności współczesnych kampanii phishingowych.

Podsumowanie

Atak na Outpost24 potwierdza, że nowoczesny phishing stał się modularny, wielowarstwowy i profesjonalnie przygotowany. Atakujący coraz rzadziej polegają na prostych domenach i prymitywnych stronach podszywających się pod znane marki, a zamiast tego łączą legalne usługi, przejętą infrastrukturę, domeny z historią i mechanizmy antybotowe.

Dla zespołów bezpieczeństwa oznacza to konieczność odejścia od prostego blokowania pojedynczych wskaźników na rzecz analizy całego łańcucha ataku, ochrony tożsamości i dokładniejszej obserwacji zachowań użytkowników. Nawet jeśli kampania nie doprowadziła do kompromitacji, stanowi wyraźne ostrzeżenie, że granica między legalnym ruchem a złośliwą operacją jest coraz trudniejsza do rozpoznania.

Źródła

  1. Dark Reading – Hackers Target Cybersecurity Firm Outpost24 in 7-Stage Phish – https://www.darkreading.com/threat-intelligence/hackers-target-cybersecurity-firm-outpost24-phish
  2. Specops Software – [New Threat Intelligence] European Security Vendor Targeted by Hackers Fronting as Cisco Domain – https://specopssoft.com/blog/phishing-campaign-cisco/

Android i płatności zbliżeniowe: nowa fala ataków NFC omija klasyczne zabezpieczenia

Cybersecurity news

Wprowadzenie do problemu / definicja

Ekosystem Androida ponownie znalazł się w centrum zainteresowania badaczy bezpieczeństwa za sprawą kampanii wymierzonych w płatności mobilne i zbliżeniowe. W najnowszych scenariuszach cyberprzestępcy nie ograniczają się do kradzieży loginów i haseł do bankowości elektronicznej, lecz wykorzystują funkcje NFC oraz komunikację między urządzeniami do obchodzenia zabezpieczeń procesu płatniczego.

Największe zagrożenie stanowią złośliwe aplikacje na Androida, które po instalacji mogą przechwytywać lub zdalnie przekazywać dane związane z kartą płatniczą albo sesją płatniczą. W praktyce oszustwo może wyglądać jak legalna transakcja zbliżeniowa wykonana przy terminalu, mimo że ofiara i przestępca znajdują się w zupełnie innych miejscach.

W skrócie

Nowa fala ataków na Androida rozwija model nadużyć NFC relay, często określanych jako „ghost tap”. Celem takich operacji jest wykonanie nieautoryzowanych transakcji zbliżeniowych bez fizycznego przejęcia karty ofiary.

  • atak rozpoczyna się zwykle od socjotechniki, np. fałszywego alertu o incydencie bezpieczeństwa,
  • ofiara jest nakłaniana do instalacji aplikacji APK spoza oficjalnego sklepu,
  • następnie użytkownik proszony jest o przyłożenie karty płatniczej do telefonu,
  • złośliwe oprogramowanie odczytuje dane NFC i przekazuje je do infrastruktury atakującego,
  • przestępca wykorzystuje te dane do realizacji oszustw przy terminalach POS lub bankomatach obsługujących transakcje zbliżeniowe.

Z perspektywy bezpieczeństwa nie jest to już wyłącznie klasyczne malware bankowe. To połączenie złośliwej aplikacji, inżynierii społecznej, nadużycia funkcji Androida i słabości części istniejących mechanizmów antyfraudowych.

Kontekst / historia

Zagrożenia związane z NFC nie są nowością, jednak przez długi czas postrzegano je głównie jako scenariusze badawcze lub niszowe operacje wymagające zaawansowanego zaplecza technicznego. W ostatnim czasie wyraźnie widać jednak komercjalizację tego modelu ataku, w tym sprzedaż gotowych narzędzi i usług ułatwiających przeprowadzanie oszustw z użyciem relayingu NFC.

Wcześniejsze kampanie, takie jak NGate, udowodniły, że możliwe jest zdalne przenoszenie danych odczytanych z karty ofiary do urządzenia wykorzystywanego przez przestępcę. Nowsze warianty rozwijają ten model, oferując lepszą automatyzację, szybszy cash-out oraz szersze wykorzystanie aplikacji podszywających się pod narzędzia bankowe, bezpieczeństwa lub weryfikacji tożsamości.

Istotnym czynnikiem jest także zmiana zachowań użytkowników. Rosnąca popularność płatności mobilnych sprawia, że wiele osób chętniej ufa instrukcjom związanym z NFC, zwłaszcza gdy komunikat pozornie pochodzi od banku lub operatora płatności. To zwiększa skuteczność kampanii łączących malware z vishingiem, phishingiem i fałszywymi aplikacjami.

Analiza techniczna

Techniczny rdzeń ataku opiera się na przechwyceniu lub przekazaniu danych NFC odczytanych przez urządzenie z Androidem. Po stronie ofiary złośliwa aplikacja działa jak lokalny czytnik karty: instruuje użytkownika, aby zbliżył kartę płatniczą do telefonu, a następnie przesyła odczytane dane przez sieć do systemu kontrolowanego przez przestępców.

Po stronie atakującego drugie urządzenie emuluje lub odtwarza sesję zbliżeniową w taki sposób, aby terminal płatniczy zinterpretował operację jako zwykłą transakcję typu tap-to-pay. Dla części infrastruktury akceptanta i części systemów antyfraudowych taka operacja może wyglądać poprawnie, ponieważ zachowuje cechy typowej płatności bezstykowej, a opóźnienie transmisji bywa bardzo niewielkie.

W bardziej zaawansowanych wariantach malware zawiera moduły odpowiedzialne za komunikację z serwerem C2 lub brokerem sesji, obsługę APDU i relay danych NFC w czasie rzeczywistym, ukrywanie aplikacji przed użytkownikiem, wymuszanie ustawień niezbędnych do działania oraz wspieranie kampanii phishingowych i głosowych.

Kluczowe znaczenie ma jednak nie tylko sam kod złośliwego oprogramowania, ale cały łańcuch operacyjny. Ofiara najpierw otrzymuje wiadomość SMS, komunikat w komunikatorze albo telefon o rzekomej podejrzanej aktywności. Następnie jest przekonywana do instalacji aplikacji spoza oficjalnego sklepu i wykonania pozornie ochronnej czynności, czyli przyłożenia karty do smartfona, a czasem również podania PIN-u lub innych danych. To przesuwa atak z obszaru czysto technicznego w stronę fraudu wspieranego malware.

Na poziomie systemów płatniczych problem polega na tym, że relay NFC osłabia część tradycyjnych założeń detekcyjnych. Jeżeli transakcja wygląda jak fizyczne użycie karty lub urządzenia zbliżeniowego, mechanizmy monitorujące muszą opierać się na dodatkowych sygnałach, takich jak geolokalizacja, profil urządzenia, wzorce zachowania klienta czy korelacja zdarzeń między kanałem mobilnym i kartowym.

Konsekwencje / ryzyko

Dla użytkownika indywidualnego najważniejszym skutkiem jest ryzyko nieautoryzowanych transakcji kartowych, często wykonywanych bardzo szybko po kompromitacji. W części przypadków oszuści realizują kilka operacji o niższej wartości, aby zmniejszyć prawdopodobieństwo natychmiastowego wykrycia.

Dla banków, operatorów płatności i akceptantów zagrożenie ma szerszy wymiar. Oznacza wzrost liczby sporów transakcyjnych, większe koszty chargebacków oraz trudności w odróżnieniu legalnej płatności zbliżeniowej od sesji pochodzącej z relaya. Dodatkowo kampanie tego typu mogą podważać zaufanie do usług mobilnych, nawet jeśli źródłem incydentu była instalacja nieautoryzowanego APK i skuteczna socjotechnika.

Ryzyko dotyczy również organizacji korzystających z Androida jako platformy korporacyjnej. Jeżeli pracownik używa służbowego lub hybrydowego urządzenia do płatności, bankowości albo przechowywania danych uwierzytelniających, infekcja może stać się punktem wyjścia do dalszych nadużyć finansowych i przejęcia wrażliwych informacji.

Rekomendacje

Najważniejszą zasadą po stronie użytkownika jest bezwzględne unikanie instalacji plików APK spoza zaufanych źródeł. Bank, operator płatności ani dział bezpieczeństwa nie powinny wymagać instalowania aplikacji przesłanej przez SMS, e-mail lub komunikator w celu rzekomego zabezpieczenia konta.

  • wyłączaj NFC, gdy nie jest potrzebne,
  • regularnie aktualizuj Androida i poprawki bezpieczeństwa,
  • korzystaj wyłącznie z oficjalnych sklepów z aplikacjami,
  • nie przykładaj karty płatniczej do telefonu na polecenie osoby dzwoniącej lub piszącej,
  • włącz powiadomienia o transakcjach oraz limity dla płatności zbliżeniowych,
  • regularnie sprawdzaj historię operacji kartowych,
  • zgłaszaj bankowi każdą nietypową prośbę dotyczącą weryfikacji karty lub urządzenia.

Po stronie instytucji finansowych i zespołów bezpieczeństwa kluczowe znaczenie mają analiza anomalii charakterystycznych dla relay NFC, korelacja geograficzna i czasowa aktywności klienta z transakcją, wykrywanie nietypowych zmian na urządzeniach mobilnych oraz rozwój mechanizmów device intelligence i behavioral analytics. Równie ważne są intensywne kampanie edukacyjne dotyczące fałszywych aplikacji, phishingu i vishingu.

W środowiskach korporacyjnych warto dodatkowo wdrażać polityki MDM lub MAM blokujące instalację aplikacji z nieautoryzowanych źródeł, monitorować ryzykowne uprawnienia oraz rozdzielać funkcje płatnicze i biznesowe na urządzeniach mobilnych.

Podsumowanie

Nowa generacja ataków na Androida pokazuje, że bezpieczeństwo płatności mobilnych nie zależy wyłącznie od kryptografii i ochrony samej aplikacji bankowej. Coraz większe znaczenie ma bezpieczeństwo całego łańcucha, od zachowania użytkownika, przez architekturę Androida, po systemy antyfraudowe instytucji finansowych.

Scenariusze wykorzystujące relay NFC i złośliwe aplikacje podszywające się pod legalne narzędzia są szczególnie niebezpieczne, ponieważ łączą wiarygodną socjotechnikę z technikami utrudniającymi wykrycie oszustwa. Dla rynku oznacza to konieczność traktowania mobilnego fraudu jako złożonego problemu obejmującego malware, oszustwa płatnicze oraz luki operacyjne w procesie autoryzacji.

Źródła

  1. https://www.infosecurity-magazine.com/news/ghost-tap-malware-remote-nfc-fraud/
  2. https://www.group-ib.com/blog/ghost-tapped-chinese-malware/
  3. https://www.welivesecurity.com/en/eset-research/ngate-android-malware-relays-nfc-traffic-to-steal-cash/
  4. https://assets.recordedfuture.com/insikt-report-pdfs/2025/cta-2025-0814.pdf
  5. https://www.infosecurity-magazine.com/news/supercard-x-contactless-atm-fraud/

CL-STA-1087: długotrwała kampania cyberwywiadowcza przeciwko zdolnościom wojskowym Azji Południowo-Wschodniej

Cybersecurity news

Wprowadzenie do problemu / definicja

CL-STA-1087 to oznaczenie klastra aktywności powiązanego z długotrwałymi operacjami cyberwywiadowczymi wymierzonymi w organizacje wojskowe w Azji Południowo-Wschodniej. Kampania wyróżnia się cierpliwością operacyjną, selektywnym pozyskiwaniem danych oraz wykorzystaniem niestandardowych narzędzi malware zaprojektowanych z myślą o utrzymaniu dostępu i ograniczeniu wykrywalności.

W centrum zainteresowania napastników znalazły się informacje o znaczeniu strategicznym, w tym dokumenty dotyczące zdolności operacyjnych, struktur organizacyjnych, systemów dowodzenia oraz współpracy z zachodnimi siłami zbrojnymi. To wskazuje, że celem działań nie był sabotaż, lecz długofalowe rozpoznanie i pozyskiwanie danych o wysokiej wartości wywiadowczej.

W skrócie

Kampania CL-STA-1087 była obserwowana co najmniej od 2020 roku i została powiązana z ukierunkowanym cyberszpiegostwem przeciwko podmiotom wojskowym. Atakujący utrzymywali długoterminową obecność w środowisku ofiar, wykorzystywali ruch boczny, mechanizmy trwałości oraz ukrytą komunikację z infrastrukturą dowodzenia.

  • celem były organizacje wojskowe i zasoby o znaczeniu strategicznym,
  • napastnicy korzystali z backdoorów AppleChris i MemFun oraz modułu kradzieży poświadczeń Getpass,
  • do rozprzestrzeniania stosowano m.in. PowerShell, WMI i natywne mechanizmy .NET,
  • istotną rolę odegrały techniki stealth, w tym działanie w pamięci i maskowanie komunikacji C2,
  • kampania wskazuje na wysoką dojrzałość operacyjną i konsekwentne nastawienie na wywiad.

Kontekst / historia

Według ustaleń analityków aktywność klastra sięga przynajmniej 2020 roku. Dochodzenie rozpoczęto po wdrożeniu narzędzi EDR, które wykryły podejrzane działania PowerShell sugerujące, że naruszenie trwało już wcześniej i nie było incydentem jednorazowym.

Analiza wykazała, że napastnicy mieli wcześniej uzyskany punkt zaczepienia na niezarządzanym hoście, gdzie przez długi czas utrzymywali dostęp w stanie uśpienia. Taki model działania jest charakterystyczny dla operacji APT, które koncentrują się na dyskretnej obecności w środowisku i uruchamiają kolejne fazy ataku dopiero wtedy, gdy pojawia się możliwość dotarcia do najbardziej wartościowych zasobów.

Wśród celów znalazły się serwery, kontrolery domeny, stacje robocze zespołów IT oraz urządzenia używane przez kadrę kierowniczą. Taki dobór ofiar sugeruje, że operatorzy kampanii starali się uzyskać zarówno szeroki wgląd w architekturę środowiska, jak i dostęp do dokumentów wspierających analizę zdolności wojskowych oraz procesów decyzyjnych.

Analiza techniczna

Łańcuch ataku obejmował kilka etapów i był zaprojektowany tak, aby minimalizować ślady na dysku. W początkowej fazie napastnicy utrzymywali trwałość na niezarządzanym urządzeniu, a następnie uruchamiali zdalnie skrypty PowerShell tworzące reverse shell do wielu serwerów C2. Po okresie bezczynności wznowili aktywność i rozpoczęli rozprzestrzenianie złośliwego oprogramowania w sieci ofiary.

Do propagacji wykorzystano m.in. WMI oraz natywne polecenia .NET, co ograniczało potrzebę używania dodatkowych narzędzi i utrudniało detekcję. Mechanizmy persistence obejmowały tworzenie nowych usług oraz DLL hijacking, dzięki czemu złośliwe biblioteki mogły być ładowane przez legalne komponenty systemowe.

Jednym z głównych backdoorów użytych w kampanii był AppleChris. Malware występował w kilku wariantach, w tym w starszej wersji częściowo opartej o Dropbox oraz w nowszym wariancie określanym jako Tunneler. Narzędzie korzystało z techniki dead drop resolver, pobierając zaszyfrowane dane o infrastrukturze C2 z publicznie dostępnych zasobów, co umożliwiało zmianę serwerów sterujących bez ponownego wdrażania próbki.

Po uzyskaniu adresu serwera C2 AppleChris rejestrował sesję z identyfikatorem powiązanym z informacjami o hoście i obsługiwał szeroki zestaw poleceń administracyjnych. Obejmowały one enumerację dysków, listowanie katalogów, przesyłanie i usuwanie plików, uruchamianie zdalnej powłoki, tworzenie procesów oraz tunelowanie ruchu. Część wariantów stosowała także opóźnione wykonanie i techniki unikania środowisk sandbox.

Drugim istotnym komponentem był MemFun, wieloetapowy malware działający niemal całkowicie w pamięci. Łańcuch infekcji obejmował loader podszywający się pod legalny proces, downloader in-memory oraz końcowy ładunek DLL pobierany z serwera C2. W analizie wskazano użycie process hollowing, reflective DLL loading, timestompingu oraz czyszczenia nagłówków PE w pamięci, co znacząco utrudnia analizę śledczą i wykrywanie artefaktów.

Komunikacja MemFun odbiegała od standardowych wzorców sieciowych. Moduł wykorzystywał niestandardowe schematy HTTP oraz sesyjne szyfrowanie oparte na dynamicznie generowanym kluczu Blowfish. Takie podejście zwiększało elastyczność operatora i ograniczało skuteczność prostych mechanizmów detekcyjnych opartych wyłącznie na sygnaturach.

Trzecim elementem zestawu narzędzi był Getpass, zmodyfikowany wariant Mimikatz uruchamiany jako biblioteka DLL. Narzędzie podnosiło uprawnienia, uzyskiwało dostęp do pamięci procesu LSASS i automatycznie wyciągało poświadczenia z wielu pakietów uwierzytelniania Windows. Pozyskane dane były zapisywane w pliku podszywającym się pod legalną bazę systemową, co miało zmniejszyć ryzyko wzbudzenia podejrzeń administratorów.

Konsekwencje / ryzyko

Najważniejszym zagrożeniem w tej kampanii nie było głośne zakłócenie działania systemów, ale długotrwała i ukryta utrata poufności informacji o znaczeniu strategicznym. Atakujący koncentrowali się na danych dotyczących struktur dowodzenia, działań wojskowych, ocen zdolności operacyjnych oraz systemów C4I, co mogło przełożyć się na realne osłabienie bezpieczeństwa operacyjnego ofiar.

Z perspektywy obrońcy szczególnie niebezpieczne były trzy cechy operacji. Po pierwsze, długi czas przebywania w środowisku bez intensywnej aktywności utrudniał korelację zdarzeń i szybkie przypisanie incydentu do konkretnej kampanii. Po drugie, modularność malware i wykonywanie zadań w pamięci ograniczały liczbę artefaktów na dysku. Po trzecie, wykorzystanie legalnych mechanizmów systemowych oraz publicznie dostępnych zasobów do obsługi komunikacji C2 zacierało granicę między ruchem prawidłowym a złośliwym.

Rekomendacje

Organizacje o podwyższonym profilu ryzyka powinny wdrożyć wielowarstwowe monitorowanie telemetryczne obejmujące PowerShell, WMI, tworzenie usług, zmiany w katalogach systemowych oraz nietypowe operacje na procesie LSASS. Szczególną uwagę warto zwrócić na uruchamianie binariów podszywających się pod legalne procesy aktualizacyjne oraz na anomalie w ruchu HTTP wykorzystującym niestandardowe metody lub nagłówki.

Kluczowe jest także objęcie ochroną systemów niezarządzanych i zasobów peryferyjnych, ponieważ to właśnie one często stają się punktem wejścia lub trwałości. W środowiskach krytycznych należy ograniczać możliwość zdalnego wykonywania poleceń administracyjnych, segmentować sieć, monitorować ruch lateralny i konsekwentnie stosować zasadę najmniejszych uprawnień.

  • rozwijać detekcję behawioralną zamiast polegać wyłącznie na wskaźnikach kompromitacji,
  • traktować DLL hijacking, process hollowing, reflective loading, timestomping i dead drop resolver jako odrębne scenariusze detekcyjne,
  • wdrażać ochronę poświadczeń i blokować nieautoryzowany dostęp do LSASS,
  • regularnie przeglądać konta uprzywilejowane oraz ścieżki administracyjne,
  • w reagowaniu na incydenty prowadzić analizę pamięci, historii zadań administracyjnych i ruchu bocznego.

Samo usunięcie plików z dysku może być niewystarczające, jeśli część ładunków była ładowana wyłącznie do pamięci lub jeśli operator utrzymuje alternatywne kanały dostępu. Dlatego proces reagowania powinien obejmować pełne odtworzenie ścieżki ataku oraz weryfikację wszystkich punktów trwałości.

Podsumowanie

CL-STA-1087 to przykład dojrzałej operacji APT prowadzonej z dużą dyscypliną operacyjną i wyraźnym nastawieniem na cele wywiadowcze. Kampania pokazuje, że współczesne zagrożenia dla sektora obronnego coraz częściej opierają się na cichym utrzymywaniu dostępu, precyzyjnym doborze ofiar oraz własnym, rozwijanym zestawie narzędzi malware.

Dla zespołów bezpieczeństwa najważniejszy wniosek jest jasny: skuteczne wykrywanie takich działań wymaga głębokiej telemetrii, analizy behawioralnej oraz gotowości do śledztw obejmujących pamięć operacyjną, tożsamości i ruch wewnątrz sieci. W przypadku kampanii o charakterze cyberwywiadowczym przewagę daje nie tylko szybka reakcja, ale przede wszystkim umiejętność dostrzeżenia subtelnych oznak długotrwałej obecności przeciwnika.

Źródła

  1. Security Affairs – CL-STA-1087 targets military capabilities since 2020 — https://securityaffairs.com/189553/apt/cl-sta-1087-targets-military-capabilities-since-2020.html
  2. Unit 42 – Suspected China-Based Espionage Operation Against Military Targets in Southeast Asia — https://unit42.paloaltonetworks.com/espionage-campaign-against-military-targets/
  3. MITRE ATT&CK – DLL Hijacking — https://attack.mitre.org/techniques/T1574/001/
  4. MITRE ATT&CK – Process Hollowing — https://attack.mitre.org/techniques/T1055/012/
  5. MITRE ATT&CK – Reflective Code Loading — https://attack.mitre.org/techniques/T1620/

DRILLAPP: nowy backdoor używany w cyberwywiadzie przeciwko ukraińskim organizacjom

Cybersecurity news

Wprowadzenie do problemu / definicja

DRILLAPP to nowo zaobserwowany backdoor wykorzystywany w operacjach cyberwywiadowczych wymierzonych w ukraińskie organizacje. Kampania zwraca uwagę nietypową techniką działania, ponieważ zamiast klasycznego loadera lub rozbudowanego trojana atakujący wykorzystują przeglądarkę Microsoft Edge uruchamianą w trybie headless, z parametrami debugowania oraz osłabionymi mechanizmami ochrony.

Taki model pozwala ukryć aktywność w procesie, który w wielu środowiskach firmowych wygląda na legalny. W praktyce legalna aplikacja zostaje przekształcona w narzędzie szpiegowskie zdolne do zbierania danych z systemu i otoczenia ofiary.

W skrócie

  • Kampania została zaobserwowana w lutym 2026 roku i była wymierzona w ukraińskie organizacje.
  • Aktywność powiązano z rosyjskojęzycznym klastrem przypisywanym z niską pewnością do Laundry Bear, znanego także jako UAC-0190 lub Void Blizzard.
  • Łańcuch infekcji rozpoczynał się od plików przynętowych w formacie LNK, a później również CPL.
  • Backdoor umożliwia dostęp do systemu plików, rejestrowanie obrazu z kamery, dźwięku z mikrofonu oraz przechwytywanie ekranu.
  • Nowszy wariant rozszerzono o funkcje pobierania i wysyłania plików oraz rekursywnego przeszukiwania dysków.

Kontekst / historia

Operacja wpisuje się w szerszy krajobraz cyberataków ukierunkowanych na ukraińskie instytucje, szczególnie w kontekście długotrwałych działań wywiadowczych prowadzonych przez podmioty powiązane z interesami państwowymi. Badacze wskazali podobieństwa do wcześniejszych kampanii przypisywanych Laundry Bear, zwłaszcza w obszarze doboru przynęt oraz sposobu profilowania ofiar.

W analizowanej kampanii wykorzystywano tematy socjotechniczne odnoszące się do instalacji Starlinka, inicjatyw pomocowych, spraw wojskowych oraz dokumentów wyglądających na urzędowe. Taki dobór treści sugeruje precyzyjne rozpoznanie celów i koncentrację na podmiotach o wysokiej wartości wywiadowczej.

Dodatkowo wszystko wskazuje na to, że DRILLAPP jest narzędziem stosunkowo nowym i nadal rozwijanym. Wcześniejsze próbki wykazywały podobny schemat infekcji, ale nie zawierały jeszcze pełnego mechanizmu pobierania właściwego backdoora, co może oznaczać fazę intensywnego rozwoju narzędzia.

Analiza techniczna

Pierwszy znany wariant kampanii wykorzystywał pliki skrótów LNK. Po uruchomieniu tworzyły one pliki HTML w katalogu tymczasowym i ładowały zaciemnione skrypty z publicznych serwisów hostujących treści. Następnie uruchamiano Microsoft Edge w trybie headless z zestawem parametrów ograniczających część zabezpieczeń przeglądarki.

Kluczową rolę odgrywały przełączniki umożliwiające dostęp do lokalnych plików, osłabienie mechanizmów izolacji oraz automatyczne przyznawanie uprawnień do kamery, mikrofonu i funkcji przechwytywania ekranu. Dzięki temu przeglądarka działała jak pośrednik wykonujący zadania typowe dla oprogramowania szpiegującego, ale w ramach zaufanego procesu.

Backdoor generował uproszczony odcisk urządzenia, sprawdzał wybrane strefy czasowe i komunikował się z serwerem dowodzenia oraz kontroli przez WebSocket. Taki kanał umożliwiał zdalne wydawanie poleceń, odbieranie wyników działań oraz rozszerzanie zakresu operacji na zainfekowanym systemie.

Drugi wariant, wykryty pod koniec lutego 2026 roku, zastąpił pliki LNK modułami CPL, czyli bibliotekami DLL uruchamianymi przez mechanizmy Panelu sterowania. Zmiana nośnika utrudniała wykrywanie oparte na prostych sygnaturach, przy zachowaniu zbliżonej logiki działania. W tej wersji rozszerzono również możliwości dotyczące rekursywnego listowania plików, ich wysyłania partiami oraz pobierania zasobów na system ofiary.

Interesującym elementem kampanii było też wykorzystanie Chrome DevTools Protocol w przeglądarkach opartych na Chromium. Po aktywacji portu zdalnego debugowania atakujący mogli zmieniać ścieżkę pobierania i symulować interakcję użytkownika, obchodząc typowe ograniczenia JavaScript związane z pobieraniem plików.

Konsekwencje / ryzyko

DRILLAPP stanowi poważne zagrożenie, ponieważ nadużywa zaufanego procesu przeglądarki, przez co jego aktywność może nie zostać natychmiast zaklasyfikowana jako złośliwa. Uzyskanie dostępu do mikrofonu, kamery i ekranu oznacza możliwość prowadzenia zaawansowanej inwigilacji oraz pozyskiwania dokumentów, danych operacyjnych, informacji kontekstowych i potencjalnie także danych uwierzytelniających.

Najwyższe ryzyko dotyczy podmiotów rządowych, sektora obronnego i infrastruktury krytycznej. Nawet relatywnie lekki backdoor, jeśli pozostaje niewidoczny, może umożliwiać długotrwały rekonesans, kradzież dokumentów i przygotowanie kolejnych etapów kompromitacji.

Kampania pokazuje także rosnące znaczenie nadużyć legalnych komponentów systemu i aplikacji. Zamiast polegać wyłącznie na tradycyjnym malware, operatorzy coraz częściej wykorzystują wbudowane funkcje, mechanizmy debugowania oraz natywne interfejsy aplikacji do realizacji celów ofensywnych.

Rekomendacje

Organizacje powinny monitorować nietypowe uruchomienia Microsoft Edge i innych przeglądarek opartych na Chromium, zwłaszcza z parametrami wskazującymi na tryb headless, zdalne debugowanie, wyłączenie sandboxa lub osłabienie polityk bezpieczeństwa. Szczególne znaczenie ma analiza pełnej linii poleceń, a nie tylko samej nazwy procesu.

Warto również ograniczać wykonywanie plików LNK i CPL pochodzących z niezaufanych źródeł oraz wzmacniać kontrolę nad uruchamianiem bibliotek DLL w nietypowych kontekstach systemowych. W środowiskach wysokiego ryzyka istotne będzie wdrożenie zasad application control oraz monitoringu tworzenia plików HTML i skryptów w katalogach tymczasowych użytkowników.

Dodatkową warstwę ochrony powinno stanowić wykrywanie połączeń WebSocket inicjowanych przez przeglądarki w nietypowych scenariuszach oraz analiza anomalii związanych z nagłym dostępem do urządzeń audio-wideo i funkcji przechwytywania ekranu. Zespoły SOC powinny korelować uruchomienie przynęt socjotechnicznych z późniejszą aktywnością przeglądarki i zmianami w systemie plików.

Nie można też pomijać czynnika ludzkiego. Szkolenia świadomościowe powinny uwzględniać scenariusze oparte na tematach wojennych, humanitarnych, urzędowych i logistycznych, ponieważ właśnie takie przynęty okazują się szczególnie skuteczne w kampaniach ukierunkowanych.

Podsumowanie

DRILLAPP pokazuje, że współczesne operacje APT coraz częściej łączą prostotę implementacji z kreatywnym nadużyciem legalnych mechanizmów systemowych. W tym przypadku przeglądarka internetowa została zamieniona w narzędzie szpiegowskie zdolne do przejmowania plików oraz monitorowania otoczenia ofiary za pomocą kamery, mikrofonu i funkcji przechwytywania ekranu.

Choć narzędzie wydaje się nadal rozwijane, już teraz reprezentuje wysoki poziom ryzyka dla administracji publicznej, sektora obronnego i innych organizacji strategicznych. Dla obrońców to wyraźny sygnał, że skuteczna detekcja musi obejmować nie tylko klasyczne próbki malware, lecz także nadużycia legalnych aplikacji i ich funkcji diagnostycznych.

Źródła

  1. Security Affairs — Russia-linked APT uses DRILLAPP backdoor to spy on Ukrainian targets — https://securityaffairs.com/189519/malware/russia-linked-apt-uses-drillapp-backdoor-to-spy-on-ukrainian-targets.html
  2. CERT-UA — komunikaty i analizy dotyczące aktywności UAC-0190 — https://cert.gov.ua/
  3. Microsoft Learn — Chrome DevTools Protocol overview — https://learn.microsoft.com/en-us/microsoft-edge/devtools/protocol/

ClickFix na macOS: wabiki związane z ChatGPT zwiększają skuteczność kradzieży danych

Cybersecurity news

Wprowadzenie do problemu / definicja

ClickFix to technika socjotechniczna, w której ofiara zostaje nakłoniona do samodzielnego uruchomienia złośliwego polecenia, najczęściej w Terminalu lub innej powłoce systemowej. Taki model ataku pozwala ominąć część klasycznych zabezpieczeń, ponieważ kluczowy krok wykonuje sam użytkownik, często przekonany, że realizuje legalną procedurę instalacji, naprawy błędu lub konfiguracji narzędzia.

Najnowsze kampanie pokazują, że schemat dotychczas silnie kojarzony z Windows został skutecznie zaadaptowany do środowiska macOS. Atakujący wykorzystują przy tym wabiki związane z popularnymi usługami AI, w tym z ChatGPT, aby zwiększyć wiarygodność przekazu i skłonić ofiary do uruchomienia niebezpiecznych komend.

W skrócie

Badacze bezpieczeństwa opisali ewolucję kampanii ClickFix wymierzonych w użytkowników macOS. W ich ramach stosowano przynęty nawiązujące do ChatGPT i innych narzędzi AI, a celem operacji było dostarczenie infostealera MacSync oraz pokrewnych rodzin złośliwego oprogramowania.

  • atak bazuje na ręcznym uruchomieniu poleceń przez użytkownika,
  • przynęty związane z AI zwiększają skuteczność socjotechniki,
  • łańcuch infekcji stał się bardziej wieloetapowy i trudniejszy do wykrycia,
  • celem jest kradzież poświadczeń, danych przeglądarek, kluczy SSH, konfiguracji chmurowych i aktywów kryptowalutowych.

Kontekst / historia

We wcześniejszej fazie kampanii przestępcy stosowali dość prosty model działania. Użytkownik poszukujący narzędzi lub porad związanych ze sztuczną inteligencją trafiał z wyników sponsorowanych albo spreparowanych treści na strony imitujące legalne serwisy. Tam prezentowano instrukcję skopiowania i uruchomienia komendy w Terminalu.

Z czasem operacje stały się znacznie bardziej dojrzałe. Zamiast natychmiastowego przekierowania do podejrzanej witryny, ofiara mogła najpierw trafić na treści udające pomocne poradniki, współdzielone konwersacje lub materiały instalacyjne związane z ekosystemem AI. Dopiero potem następowało przejście do stron stylizowanych na repozytoria deweloperskie lub legalne procesy wdrożeniowe.

To ważna zmiana jakościowa. Atakujący nie polegają już wyłącznie na prostym oszustwie, lecz budują pełny kontekst zaufania. W efekcie użytkownik ma wrażenie, że wykonuje standardową czynność administracyjną albo deweloperską, a nie ryzykowne działanie prowadzące do infekcji.

Analiza techniczna

Rdzeniem ataku jest przeniesienie odpowiedzialności za uruchomienie złośliwego kodu na ofiarę. Użytkownik otrzymuje polecenie, które po uruchomieniu wykonuje zaciemniony skrypt powłoki. Taki skrypt może pobrać kolejne komponenty z infrastruktury kontrolowanej przez napastnika, zażądać hasła użytkownika, a następnie uruchomić właściwy ładunek.

W prostszych wariantach polecenie terminalowe pobierało i uruchamiało skrypt Bash, który następnie ściągał binarium Mach-O odpowiedzialne za eksfiltrację danych. W bardziej rozwiniętych wersjach wykorzystywano model wieloetapowy, obejmujący zaciemnione skrypty, dynamicznie pobierane komponenty, uruchamianie kodu w pamięci oraz dodatkową logikę sterowaną z serwera dowodzenia.

Operatorzy kampanii rozbudowali także warstwę operacyjną. W analizach wskazywano na użycie elementów telemetrycznych, takich jak logowanie adresów IP, geolokalizacja, skrypty JavaScript mierzące skuteczność kampanii czy powiadomienia w czasie rzeczywistym. Oznacza to, że atak nie ma charakteru przypadkowego, lecz jest stale optymalizowaną operacją nastawioną na skuteczne dostarczanie malware.

MacSync i podobne infostealery koncentrują się na danych o wysokiej wartości. Obejmują one informacje zapisane w przeglądarkach, loginy i hasła, pliki użytkownika, klucze SSH, konfiguracje usług chmurowych oraz zawartość portfeli kryptowalutowych. W bardziej zaawansowanych wariantach raportowano również mechanizmy trwałości, utrudnianie analizy oraz ingerencję w aplikacje powiązane z aktywami cyfrowymi.

Kluczowe jest to, że atak nie musi przełamywać wszystkich natywnych mechanizmów bezpieczeństwa macOS. W wielu scenariuszach wystarczy, że użytkownik sam wykona instrukcję pochodzącą z pozornie wiarygodnego źródła. To sprawia, że tradycyjne modele obrony oparte wyłącznie na blokowaniu nieznanych plików okazują się niewystarczające.

Konsekwencje / ryzyko

Dla użytkowników indywidualnych skutki mogą oznaczać utratę haseł, przejęcie kont pocztowych i komunikatorów, kradzież danych zapisanych w przeglądarce, a także bezpośrednią utratę środków powiązanych z portfelami kryptowalutowymi. Z punktu widzenia cyberprzestępców to szybki model monetyzacji, ponieważ skradzione dane można wykorzystać natychmiast lub sprzedać dalej.

W organizacjach ryzyko jest jeszcze większe. Kradzież kluczy SSH, tokenów sesyjnych, danych z menedżerów haseł czy konfiguracji chmurowych może otworzyć drogę do dalszego ruchu bocznego, dostępu do repozytoriów kodu, środowisk CI/CD oraz paneli administracyjnych. Infostealer bardzo często stanowi pierwszy etap większego incydentu, który później prowadzi do naruszenia danych lub wdrożenia ransomware.

Szczególnie niebezpieczne jest wykorzystanie motywów związanych z AI. Programiści, administratorzy i użytkownicy biznesowi regularnie testują nowe narzędzia zwiększające produktywność, dlatego przynęty związane z ChatGPT czy innymi popularnymi usługami wpisują się w ich codzienny kontekst pracy. To podnosi skuteczność kampanii i zmniejsza naturalną czujność ofiary.

Rekomendacje

Organizacje powinny traktować kopiowanie poleceń do Terminala z niezweryfikowanych źródeł jako zachowanie wysokiego ryzyka. Scenariusz ClickFix powinien zostać wyraźnie uwzględniony w szkoleniach awareness, zwłaszcza dla zespołów technicznych, które częściej pracują z dokumentacją, repozytoriami i instrukcjami instalacyjnymi.

  • monitorować uruchomienia Terminala, interpreterów powłoki i narzędzi automatyzacji w nietypowych kontekstach,
  • wdrożyć reguły EDR/XDR ukierunkowane na infostealery macOS,
  • ograniczyć możliwość uruchamiania niezatwierdzonych aplikacji i skryptów,
  • kontrolować lokalne przechowywanie kluczy, sekretów i konfiguracji chmurowych,
  • stosować MFA odporne na phishing tam, gdzie jest to możliwe,
  • egzekwować polityki bezpieczeństwa dla urządzeń macOS i ograniczać lokalne uprawnienia administracyjne,
  • analizować logi pod kątem nietypowych uruchomień skryptów oraz śladów eksfiltracji danych.

W przypadku podejrzenia kompromitacji należy natychmiast odizolować urządzenie, unieważnić zapisane poświadczenia, zresetować tokeny dostępu, sprawdzić integralność aplikacji kryptograficznych oraz przeprowadzić pełną analizę artefaktów użytkownika i procesów potomnych Terminala.

Podsumowanie

Kampanie ClickFix wymierzone w macOS pokazują, że cyberprzestępcy coraz skuteczniej łączą socjotechnikę z wieloetapowym malware. Wabiki związane z ChatGPT i szerzej z rynkiem AI podnoszą wiarygodność ataku, ponieważ odwołują się do realnych nawyków pracy współczesnych użytkowników.

Z perspektywy obrony nie jest to wyłącznie problem złośliwego oprogramowania, ale również problem zaufania do pozornie legalnych procesów instalacyjnych. Skuteczna ochrona wymaga połączenia edukacji, monitorowania zachowań użytkownika, kontroli uruchamiania skryptów oraz twardych polityk bezpieczeństwa dla macOS.

Źródła

  1. Security Affairs — From Windows to macOS: ClickFix attacks shift tactics with ChatGPT-based lures — https://securityaffairs.com/189542/cyber-crime/from-windows-to-macos-clickfix-attacks-shift-tactics-with-chatgpt-based-lures.html
  2. Sophos — Evil evolution: ClickFix and macOS infostealers — https://www.sophos.com/en-us/blog/evil-evolution-clickfix-and-macos-infostealers
  3. Microsoft Security Blog — Infostealers without borders: macOS, Python stealers, and platform abuse — https://www.microsoft.com/en-us/security/blog/2026/02/02/infostealers-without-borders-macos-python-stealers-and-platform-abuse/
  4. Apple Support — Mac app security enhancements — https://support.apple.com/guide/deployment/mac-app-security-enhancements-dep323ab8aa3/web
  5. Jamf Threat Labs — MacSync Stealer Evolves: From ClickFix to Code-Signed Swift Malware — https://www.jamf.com/blog/macsync-stealer-evolution-code-signed-swift-malware-analysis/