Archiwa: Security News - Strona 233 z 297 - Security Bez Tabu

Kategoria: Security News

FBI rozbija domniemany serwis do prania pieniędzy dla grup ransomware (E-Note)

Wprowadzenie do problemu / definicja luki

Departament Sprawiedliwości USA poinformował o zakłóceniu działalności i przejęciu infrastruktury E-Note — internetowej usługi wymiany/kantoru kryptowalut, która miała umożliwiać pranie środków dla transnarodowych grup cyberprzestępczych, w tym operatorów ransomware. W sprawie oskarżono 39-letniego obywatela Rosji, Mykhailo (Mykhalio) Petrovicha Chudnovetsa, a amerykańskie i europejskie służby przejęły m.in. domeny i aplikacje mobilne powiązane z serwisem.

W skrócie

  • Skala: FBI zidentyfikowało ponad 70 mln USD przepływów związanych z atakami ransomware i przejęciami kont, obsłużonych przez E-Note od 2017 r.
  • Infrastruktura: zajęto serwery, aplikacje oraz domeny e-note.com, e-note.ws i jabb.mn.
  • Zarzuty: Chudnovets — konspiracja w celu prania pieniędzy (do 20 lat więzienia).
  • Partnerzy: działania koordynowane z BKA (Niemcy), NBI (Finlandia) i policją stanu Michigan.

Kontekst / historia / powiązania

Uderzenie w E-Note wpisuje się w szerszą kampanię przeciwko no-KYC/no-AML kryptousługom, które od lat służą do „cashoutu” zysków z cyberprzestępczości. Przypomnijmy: w 2024 r. BKA zamknęła 47 rosyjskojęzycznych serwisów wymiany bez KYC, a analizy pokazały ich centralną rolę w ekosystemie prania środków. Również FBI ostrzegało wcześniej przed korzystaniem z nierejestrowanych w USA „money services businesses” (MSB).

Analiza techniczna / szczegóły luki

  • Model działania: E-Note miało łączyć procesor płatności z siecią „money mules” (słupów) oraz konwersją krypto-fiat, oferując szybkie transfery transgraniczne i wypłaty gotówkowe — krytyczny krok do „wybielenia” okupów.
  • Artefakty infrastrukturalne: przejęto serwery, bazy klientów i rejestry transakcyjne, co może umożliwić wsteczne śledzenie przepływów i identyfikację klientów/pośredników.
  • Powiązania z ransomware: wg FBI przez usługę przepływały środki z ataków na ochronę zdrowia i infrastrukturę krytyczną (wskazuje to na użycie przez aktorów „big-game hunting”).
  • Brak KYC/AML: operacyjny charakter usługi wskazuje na obchodzenie reżimów KYC/AML, co czyniło ją atrakcyjną dla operatorów APT-crime i brokerów dostępu. FBI od 2024 r. podkreśla, że usługi MSB bez rejestracji/AML są sygnałem alarmowym.

Praktyczne konsekwencje / ryzyko

  • Ryzyko wtórne (exposure): firmy, które nieświadomie opłaciły odzysk lub współpracowały z zewnętrznymi „cashout” brokerami, mogą pojawić się w przejętych rejestrach klienta/operacji. To może skutkować pytaniami organów nadzoru i wymogiem audytu AML.
  • Retorsje cyberprzestępców: krótkoterminowo możliwa jest relokacja do innych no-KYC oraz wzrost opłat „cashout”. W przeszłości podobne takedowny prowadziły do migracji na mniejsze, bardziej rozproszone platformy.
  • Okazja śledcza: pełne bazy transakcyjne to szansa na atrybucję i recoup (odzysk środków) przy współpracy organów i podmiotów prywatnych analityki on-chain.

Rekomendacje operacyjne / co zrobić teraz

  1. Blokady i detekcje
    • Dodaj do blokad DNS/URL i EDR: e-note.com, e-note.ws, jabb.mn; przejrzyj proxy/DNS pod kątem historycznych wywołań.
    • Uzupełnij reguły UEBA/SIEM o wykrywanie wzorców „cashout”: nietypowe przelewy na giełdy P2P/no-KYC, nagłe mikropłatności, rozbijanie kwot (structuring).
  2. AML/KYC i zgodność
    • Zweryfikuj dostawców „OTC/wykup okupu” pod kątem rejestracji MSB i programu AML — to wymóg regulacyjny w USA i dobry standard globalnie.
    • Odśwież procedury zgodności z no-KYC exchange exposure; wykorzystaj listy ryzyka (np. zewnętrzne feedy analityki łańcuchów).
  3. IR/Threat Intel
    • Jeśli Twoja organizacja miała incydent z płatnością w krypto, przeprowadź retrospekcję transakcyjną (on-chain tracing) i kontakt z organami — FBI udostępniło dedykowany kanał dla potencjalnych ofiar E-Note.
    • Zmapuj zależności z kampaniami ransomware celującymi w ochronę zdrowia i ICS; zaktualizuj playbooki DDoS-i-negocjacje na scenariusz „brak kanału cashout”.
  4. Polityka płatności okupu
    • Weryfikuj ryzyko sankcyjne/AML przed jakimikolwiek transferami — nierejestrowane MSB to czerwone światło i potencjalne naruszenie prawa.

Różnice / porównania z innymi przypadkami

  • W porównaniu z szerokimi operacjami (np. niemieckie zamknięcie 47 serwisów no-KYC w 2024 r.), sprawa E-Note to precyzyjny takedown pojedynczego węzła cashout, ale z wartością śledczą (pełne bazy klientów i transakcji).
  • Wspólny mianownik: brak KYC, szybkie swapy i „mosty” krypto-fiat — dokładnie te cechy, które analitycy uznają za „kręgosłup” prania środków z cyberprzestępczości.

Podsumowanie / kluczowe wnioski

Takedown E-Note to kolejny cios w ekosystem wyprowadzania okupów. Najważniejsze dla obrony: blokady znanych artefaktów, przegląd ekspozycji AML/KYC, oraz współpraca z organami w zakresie ewentualnych przepływów przez E-Note. Na poziomie rynku można oczekiwać dyspersji na mniejsze, bardziej ukryte usługi — warto więc budować detekcje behawioralne, a nie tylko listy domen.

Źródła / bibliografia

  • U.S. DOJ (Eastern District of Michigan): „FBI disrupts virtual money laundering service used to facilitate criminal activity” — komunikat, 17 grudnia 2025. (Department of Justice)
  • The Record / Recorded Future News: „FBI takes down alleged money laundering service for ransomware groups”, 17 grudnia 2025. (The Record from Recorded Future)
  • FBI IC3 PSA: „Alert on Cryptocurrency Money Services Businesses (MSB)”, 25 kwietnia 2024 — ostrzeżenia dot. nierejestrowanych usług. (ic3.gov)
  • Chainalysis: „German authorities seize Russian-centric no-KYC exchanges”, 25 września 2024 — tło nt. roli no-KYC w cyberpraniu. (Chainalysis)
  • The Record: „Germany shuts down 47 cryptocurrency exchange services used by cybercriminals”, 20 września 2024 — kontekst operacji BKA. (The Record from Recorded Future)

JumpCloud Remote Assist: luka CVE-2025-34352 umożliwia przejęcie systemu (Windows). Co muszą zrobić zespoły IT?

Wprowadzenie do problemu / definicja luki

W module JumpCloud Remote Assist dla Windows wykryto podatność CVE-2025-34352 (CVSS v4.0: 8.5 – High), która pozwala lokalnemu użytkownikowi o niskich uprawnieniach na eskalację uprawnień do SYSTEM oraz potencjalne przejęcie hosta podczas deinstalacji lub aktualizacji agenta. Błąd wynika z wykonywania uprzywilejowanych operacji na przewidywalnych plikach w katalogu %TEMP% bez odpowiedniej walidacji/ustawienia ACL. Problem dotyczy wersji Remote Assist < 0.317.0.

W skrócie

  • CVE-2025-34352 to lokalna eskalacja uprawnień (LPE) w JumpCloud Remote Assist (Windows), aktywowana przy uninstall/update agenta.
  • Atakujący może wymusić arbitrary file write/delete poprzez symbole dowiązań / punkty montowania, prowadząc do SYSTEM shell lub BSOD (np. zapis w System32\cng.sys).
  • Luka została załatana w Remote Assist 0.317.0; JumpCloud informuje, że klientów automatycznie podniesiono do 0.319.0 pod koniec października. Admini powinni zweryfikować wersję i polityki EDR/SIEM.

Kontekst / historia / powiązania

  • 15 grudnia 2025: XM Cyber publikuje szczegóły techniczne i PoC-owe prymitywy ataku.
  • 2 grudnia 2025: NVD publikuje rekord CVE; CNA: VulnCheck, z metryką CVSS 8.5.
  • 16–17 grudnia 2025: SecurityWeek opisuje wpływ i otrzymuje komentarz JumpCloud (o masowej aktualizacji do 0.319.0 wykonanej „pod koniec października”).

Analiza techniczna / szczegóły luki

Źródło problemu. Podczas odinstalowania/aktualizacji JumpCloud Agent (działającego jako NT AUTHORITY\SYSTEM) wywoływany jest deinstalator Remote Assist, który wykonuje tworzenie, zapis, kasowanie i uruchamianie plików o przewidywalnych nazwach w podkatalogu %TEMP% (np. ~nsuA.tmp\Un_A.exe, ~nsu.tmpA\Un_*.exe) bez resetu ACL i bez walidacji zaufania ścieżki. To klasyczne błędy CWE-59 (link following) i CWE-378 (insecure temp).

Prymitywy eksploatacji.

  1. Arbitrary file write: montowanie/namespace Object Manager + linki symboliczne → przekierowanie zapisu SYSTEM do plików chronionych (np. sterownik cng.sys) → BSOD/DoS.
  2. Arbitrary delete → LPE: wyścig TOCTOU na DeleteFileW() do usunięcia/ podmiany zawartości Config.Msi, a następnie znane techniki Windows Installer LPE do uzyskania SYSTEM shell.

Zakres wersji i komponent. Podatność dotyczy Remote Assist < 0.317.0 w środowiskach, w których komponent jest instalowany i zarządzany w cyklu życia Agenta.

Praktyczne konsekwencje / ryzyko

  • Przejęcie endpointu: lokalny user (lub malware już obecne na stacji) może podnieść uprawnienia do SYSTEM i utrwalić się.
  • Zakłócenie usług: możliwe BSOD poprzez nadpisanie krytycznych plików systemowych.
  • Wpływ łańcuchowy: komponent jest powszechny w środowiskach JumpCloud; atak na jedno stanowisko ułatwia ruch boczny i eskalację domenową.
  • Okno ataku przy maintenance: trigger następuje w trakcie uninstall/update, więc okna serwisowe lub masowe aktualizacje to momenty szczególnie wrażliwe.

Rekomendacje operacyjne / co zrobić teraz

  1. Zweryfikuj wersję Remote Assist na wszystkich Windowsach:
    • Wymagane: ≥ 0.317.0 (XM Cyber/NVD) — JumpCloud podaje, że klientów zaktualizowano do 0.319.0 pod koniec października 2025; sprawdź, czy to faktycznie nastąpiło w Twojej flocie.
  2. Wymuś aktualizację agenta/komponentów JumpCloud w MDM/patch management i raportuj niezgodności (compliance).
  3. Twarde zasady dla ścieżek tymczasowych:
    • Monitoruj tworzenie/wykonywanie plików w %TEMP%\~nsuA.tmp i %TEMP%\~nsu.tmpA.
    • W EDR utwórz reguły dla podejrzanych sekwencji CreateFile/WriteFile/CreateProcess przez procesy powiązane z deinstalatorem Remote Assist. (IOC/behavioural).
  4. Kontrola czasu aktualizacji: ogranicz uprawnienia lokalnych użytkowników i zablokuj interaktywne logowanie w oknach maintenance, aby utrudnić wyścigi/TOCTOU.
  5. Higiena uprawnień: egzekwuj least privilege, audytuj członkostwa lokalnych grup, włącz WDAC/Credential Guard gdzie to możliwe.
  6. Myśl o klasie błędu: w ocenie dostawców wymagaj, by uprzywilejowane procesy nie operowały na katalogach użytkownika (np. %TEMP%) bez jawnego ustawienia ACL oraz walidacji ścieżek.

Różnice / porównania z innymi przypadkami

Ta luka jest kolejnym przykładem LPE przez niebezpieczne operacje w katalogu tymczasowym z udziałem deinstalatorów/aktualizatorów. W odróżnieniu od niektórych wcześniejszych przypadków (np. typowe DLL hijacking), tutaj kluczowe są linki symboliczne/mount pointy i wyścig DeleteFileW(), co umożliwia zarówno DoS przez arbitralny zapis, jak i LPE przez arbitralne kasowanie + MSI. To zwiększa prawdopodobieństwo sukcesu w realnych warunkach utrzymaniowych.

Podsumowanie / kluczowe wnioski

  • Zaktualizuj Remote Assist do ≥ 0.317.0 (docelowo 0.319.0, jeśli dostępne w Twojej flocie) i potwierdź zgodność na wszystkich hostach.
  • Dodaj detekcje EDR dla sekwencji tworzenia/wykonywania plików w %TEMP%\~nsu* przez procesy instalatorów/deinstalatorów JumpCloud.
  • Zabezpiecz okna serwisowe i minimalizuj powierzchnię ataku lokalnego użytkownika.
  • Traktuj tę podatność jako sygnał kontrolny dla wszystkich narzędzi z uprawnieniami SYSTEM — żadnych uprzywilejowanych operacji w katalogach użytkownika.

Źródła / bibliografia

  • SecurityWeek — „JumpCloud Remote Assist Vulnerability Can Expose Systems to Takeover” (16–17 grudnia 2025, z oświadczeniem JumpCloud o auto-aktualizacji do 0.319.0). (SecurityWeek)
  • NVD — wpis CVE-2025-34352 (opis, CVSS 8.5, zakres wersji < 0.317.0, CWE-59/378). (NVD)
  • XM Cyber — „JUMPSHOT: … LPE (CVE-2025-34352) in JumpCloud Agent” (analiza techniczna, prymitywy, ścieżki %TEMP%). (XM Cyber)
  • VulnCheck Advisory — „JumpCloud Remote Assist < 0.317.0 Arbitrary File Write/Delete…” (daty, CVSS 8.5, zakres wersji). (VulnCheck)
  • JumpCloud — strona produktu Remote Assist (kontekst funkcjonalny). (JumpCloud)

Uwaga redakcyjna: w źródłach pojawiają się dwie wartości „naprawczych” wersji: 0.317.0 (NVD, XM Cyber, VulnCheck) oraz informacja JumpCloud o automatycznej aktualizacji do 0.319.0 (oświadczenie dla SecurityWeek). W materiałach operacyjnych zalecamy minimalny próg zgodności: 0.317.0, z preferencją 0.319.0, jeśli jest dostępna w Twojej flocie.

Cyberatak zakłócił operacje PDVSA – co wiemy o incydencie w wenezuelskim gigancie naftowym

Wprowadzenie do problemu / definicja incydentu

W weekend 13–14 grudnia 2025 r. wenezuelski koncern naftowy Petróleos de Venezuela (PDVSA) padł ofiarą cyberataku. Spółka publicznie utrzymywała, że operacje nie zostały dotknięte, jednak liczne doniesienia agencyjne i branżowe wskazują na zakłócenia w systemach administracyjnych, które przełożyły się na opóźnienia i wstrzymania w eksporcie. PDVSA przypisała atak „zagranicznym interesom”, nie podając technicznych szczegółów.

W skrócie

  • Atak uderzył w systemy IT/Back-Office (administracyjne), z efektami ubocznymi dla logistyki i eksportu ropy.
  • Według doniesień wewnętrznych nakazano wyłączenie komputerów, odłączenie Wi-Fi/Starlink i nośników zewnętrznych; spółka pracowała nad przywróceniem kluczowych systemów.
  • Sprzeczne komunikaty: oficjalnie „bez wpływu”, nieoficjalnie — opóźnienia i zawieszone dostawy.
  • Incydent zbiegł się z eskalacją napięć geopolitycznych i presją rynkową na eksport PDVSA.

Kontekst / historia / powiązania

Atak nastąpił w okresie rosnącej presji gospodarczej i sankcyjnej na Wenezuelę. Równolegle rynek informował o zatrzymanych ładunkach, poszerzających się dyskontach cenowych na ropę Merey oraz sporach kontraktowych z klientami. W tym samym czasie media donosiły o zatrzymaniu tankowca i zmianach tras części jednostek, co dodatkowo komplikowało sytuację eksportową kraju. W tle PDVSA opublikowała oświadczenie, że incydent to „sabotaż” wymierzony w suwerenność energetyczną.

Analiza techniczna / szczegóły luki

Oficjalne komunikaty nie ujawniły rodzaju zagrożenia (ransomware, wiper, atak na Active Directory, itp.). Jednak znane fakty pozwalają wnioskować o celowaniu w warstwę IT:

  • Procedury awaryjne IT: Bloomberg informował o wewnętrznej dyspozycji, by wyłączyć komputery, odłączyć sieci bezprzewodowe/Starlink i nośniki zewnętrzne, co sugeruje ryzyko lateral movement lub propagacji malware (np. ransomware/wiper) i próbę segmentacji „na żywo”.
  • Skutki w łańcuchu eksportowym: Choć nie ma potwierdzenia ataku na OT/SCADA, zakłócenia w systemach administracyjnych (planowanie, dokumentacja, nominacje ładunków, fakturowanie) mogły pośrednio wstrzymać lub opóźnić załadunki (brak zgodności dokumentów, ubezpieczeń, okien załadunkowych).
  • Atrybucja: PDVSA oskarżyła USA, lecz nie przedstawiono dowodów technicznych; niezależni eksperci cytowani w mediach branżowych podkreślają brak potwierdzonego powiązania. To typowe dla wczesnej fazy reagowania, gdy IR i forensyka trwają.

Praktyczne konsekwencje / ryzyko

  • Ryzyko operacyjne: Przerwy w systemach planistyczno-logistycznych przekładają się na opóźnienia w dostawach i kary umowne; „wąskie gardła” w eksporcie potęgują straty przy wysokiej zmienności frachtów i stawek ubezpieczeniowych.
  • Ryzyko finansowe: Wymuszone rabaty, „war clauses” i przestoje tankowców zjadają marżę; informowano o utkniętych ładunkach i presji na zmianę warunków kontraktów.
  • Ryzyko reputacyjne i regulacyjne: Sprzeczne przekazy („bez wpływu” vs. „opóźnienia”) obniżają zaufanie kontrahentów i mogą zwiększać audytowe oraz compliance’owe wymogi partnerów.

Rekomendacje operacyjne / co zrobić teraz

Dla operatorów energetycznych (IT/OT) i traderów surowcowych:

  1. Segmentacja sieci i „air-gap” dla OT, z kontrolą styków IT↔OT; egzekwowanie deny-by-default na punktach styku i VLAN-ach logistyczno-finansowych.
  2. „Kill switch” dla łączności bezprzewodowej i łączy satelitarnych w runbookach IR, tak jak wskazują doniesienia o odłączaniu Wi-Fi/Starlink w PDVSA — praktyka ogranicza propagację.
  3. Zapasowe procedury dokumentacyjne offline (e-B/L, nominacje, faktury, certyfikaty jakości) + manualne fallbacki dla odpraw i ubezpieczeń, aby nie blokować załadunków przy braku systemów ERP/Doc-flow.
  4. Monitoring tożsamości i uprzywilejowań: konteneryzacja serwisów domenowych, PAW/JIT/JEA, klucze FIDO2 dla administratorów, tiering AD.
  5. IR i forensyka: szybkie zrzuty pamięci, izolacja segmentów, blokada TTP charakterystycznych dla ransomware/wiperów (PSExec, RDP/RPC, SMB, shadow copy deletion).
  6. Komunikacja kryzysowa: spójne, techniczne update’y (RTO/RPO, zakres, IOC), aby ograniczyć ryzyko kontraktowe i reputacyjne.

Różnice / porównania z innymi przypadkami

  • Saudi Aramco (Shamoon, 2012/2016) – klasyczny wiper na stacje robocze, szerokie skutki w IT, ograniczony wpływ na OT dzięki segmentacji; PDVSA (2025) na razie przypomina atak na IT z efektem logistycznym, bez dowodów na ingerencję w sterowanie procesem.
  • Colonial Pipeline (2021) – atak w IT (billing), lecz spółka prewencyjnie zatrzymała OT, powodując realny niedobór paliw; w PDVSA raportowane są zakłócenia eksportu, ale brak potwierdzenia zatrzymania instalacji procesowych.

Podsumowanie / kluczowe wnioski

  • Najbardziej prawdopodobny scenariusz to atak na IT/administrację, który pośrednio uderzył w eksport poprzez przerwanie procesów dokumentacyjno-logistycznych.
  • Brak twardej atrybucji – oskarżenia polityczne nie są poparte artefaktami technicznymi.
  • Incydent wpisuje się w szerszą presję rynkowo-geopolityczną na PDVSA, zwiększając ryzyko operacyjne i finansowe.

Źródła / bibliografia

  • BleepingComputer: „Cyberattack disrupts Venezuelan oil giant PDVSA’s operations” (16.12.2025). (BleepingComputer)
  • Reuters: „Venezuela’s PDVSA says it is a victim of cyber attack…” / relacje o wpływie na dostawy (15–16.12.2025). (Reuters)
  • Bloomberg: „Venezuela Says Oil Export System Down After Weekend Cyberattack” (15.12.2025). (Bloomberg)
  • Argus Media: „PdV says cyber attacks contained” (15.12.2025). (Argus Media)
  • The Record: „Venezuela state oil company blames cyberattack on US” (16.12.2025). (The Record from Recorded Future)

CelliK: nowy Android RAT/MaaS z „integracją Play Store”, który potrafi tworzyć trojanizowane wersje legalnych aplikacji

Wprowadzenie do problemu / definicja luki

Na forach cyberprzestępczych pojawił się CelliK – sprzedawany w modelu malware-as-a-service (MaaS) zdalny trojan na Androida (RAT). Unikalną cechą zestawu jest „Play Store integration” w generatorze APK, która pozwala operatorowi wybrać dowolną legalną aplikację z Google Play i zbudować jej trojanizowaną wersję zachowującą funkcjonalność oryginału. Sprzedawca oferuje subskrypcję 150 USD/mies. lub dostęp „lifetime” za 900 USD.

W skrócie

  • CelliK zapewnia pełne przejęcie urządzenia: streaming ekranu w czasie rzeczywistym, zdalne sterowanie UI, keylogging, przeglądanie systemu plików, kradzież danych, ukryty przeglądarkowy tryb „hidden browser” oraz system iniekcji do innych aplikacji (np. overlaye logowania).
  • Funkcja „Play Store integration” umożliwia jednoklikowe wygenerowanie zainfekowanej wersji popularnej aplikacji – co utrudnia wykrycie i może pomóc obejść Play Protect (deklaracja sprzedawcy, brak niezależnego potwierdzenia).
  • Pojawienie się CelliK wpisuje się w trend commoditization mobilnego malware i wzrost ataków na Androida (m.in. 42 mln pobrań złośliwych aplikacji z Google Play w ciągu roku wg Zscaler).

Kontekst / historia / powiązania

Rynek Android MaaS dojrzewa: gotowe panele, chmura C2, buildery APK i „sklepowe” maskowanie obniżają próg wejścia dla afiliantów. W 2024–2025 r. raporty branżowe pokazały silny wzrost mobilnego malware i kampanii bankowych/spyware, a vendorzy (ThreatFabric, Zscaler) opisali kolejne RAT-y z funkcjami DTO/ATS. CelliK naturalnie wpisuje się w tę falę.

Analiza techniczna / szczegóły luki

Moduły CelliK (wg iVerify/BleepingComputer):

  • Screen live-stream + zdalne sterowanie (quasi-VNC) dla przejęcia sesji użytkownika.
  • Hidden browser: ukryta instancja przeglądarki na urządzeniu ofiary, wykorzystująca zapisane cookies; operator może wykonywać transakcje „jak ofiara”.
  • Notification interception: podgląd/eksport powiadomień (w tym OTP z SMS/aplikacji).
  • File manager: pełny dostęp do systemu plików, exfiltracja z szyfrowaniem kanału.
  • Injection/overlay system: wstrzykiwanie/overlaye nad aplikacjami (np. banki), kradzież poświadczeń, możliwość payload injection w już zainstalowane aplikacje.
  • APK builder z integracją Play: przeglądanie katalogu Google Play z poziomu panelu i budowa trojanizowanego APK na bazie wybranej aplikacji.

Model biznesowy: reklama na podziemnych forach, subskrypcja $150/mies. lub $900 „lifetime”. Taki cennik i UX panelu wskazuje na celowanie w afiliantów o niskim/średnim poziomie technicznym, co zwiększa potencjalną skalę dystrybucji.

Wektor dystrybucji: choć funkcja „Play integration” jest szczególnie niebezpieczna dla sideloadingu (pobieranie „zmodyfikowanych” APK poza sklepem), ryzyko dotyczy też repozytoriów i portali z mirrorami APK oraz kampanii smishing/SEO poisoning. (Wnioski z opisu funkcji buildera i trendów dystrybucyjnych na Androidzie).

Praktyczne konsekwencje / ryzyko

  • Bypass zaufania do marek/aplikacji: trojanizowana „znana” apka minimalizuje podejrzenia i wydłuża dwell time.
  • Ryzyko DTO/ATS: przy zdalnym sterowaniu i overlayach możliwe jest przejęcie kont bankowych, portfeli krypto, kont w serwisach e-commerce i MFS, z ominięciem części mechanizmów MFA (przechwytywanie OTP/„push”).
  • Ryzyko dla firm (BYOD/COPE): złożone ataki na mobilne kanały płatnicze i aplikacje korporacyjne; możliwość eksfiltracji danych wrażliwych i nadużyć sesyjnych via „hidden browser”.
  • Skala zjawiska: rosnąca liczba złośliwych aplikacji w otoczeniu Google Play (raport Zscaler: 239 aplikacji, 42 mln pobrań w 06.2024–05.2025) zwiększa powierzchnię ataku i „szum” wokół infekcji mobilnych.

Rekomendacje operacyjne / co zrobić teraz

Dla SOC/IRT i zespołów bezpieczeństwa:

  1. Mobile EDR/MTD (np. integracja z MDM/UEM): wymuś polityki blokujące nadanie uprawnień Accessibility dla aplikacji spoza zaufanej listy; monitoruj anomalie (nagłe żądania Accessibility, overlay permission, „draw over other apps”). (Wniosek operacyjny bazujący na taktykach RAT/ATS opisanych w źródłach).
  2. Kontrola sideloadingu: blokuj instalacje z nieznanych źródeł, egzekwuj Play Protect i skan md5/sha256 przy onboardingu urządzeń.
  3. Hunting/Detekcja:
    • Wskaźniki zachowań: długotrwałe sesje Accessibility, foreground service z ciągłym usage-stat/screen-capture, „ukryta” aktywność przeglądarkowa bez interakcji użytkownika, nietypowe notification listeners.
    • Telemetria aplikacyjna: wykrywanie overlayów nad aplikacjami finansowymi, wzorce ATS (auto-tap/auto-fill). (Wnioski techniczne na bazie taktyk Crocodilus/RatOn i modułów CelliK).
  4. App shielding / RASP w aplikacjach mobilnych (bankowość/fintech): detekcja hooków, overlayów, emulatorów, accessibility abuse, root/jailbreak; dynamiczne polityki ryzyka (wstrzymuj transakcje przy wykryciu RAT). (Kontekst branżowy i praktyki anty-DTO).
  5. Play Integrity API/SafetyNet: egzekwuj na backendzie wymogi atestacji urządzenia i aplikacji; oznaczaj ryzykowne sesje (np. brak atestu, „debuggable build”). (Praktyka branżowa powiązana z obroną przed RAT/ATS).

Dla użytkowników/HR/infosec awareness:

  • Instaluj aplikacje wyłącznie z Google Play i od sprawdzonych wydawców; nie pobieraj APK z linków SMS/komunikatorów. Włącz i nie wyłączaj Google Play Protect. Sprawdzaj żądane uprawnienia (szczególnie Accessibility/overlay).
  • Zwracaj uwagę na symptomy: nagłe prośby o nadanie uprawnień, dziwne „nakładki” logowania, samoistne ruchy UI, szybkie drenaże baterii/danych. (Wnioski operacyjne z modułów CelliK).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Crocodilus (ThreatFabric, 03.2025) – zaawansowany banker/RAT z hidden remote control i intensywnym nadużyciem Accessibility; kampanie m.in. w Hiszpanii i Turcji. Brak „Play Store integration” w builderze.
  • RatOn (ThreatFabric, 09.2025) – unikalne połączenie NFC relay + ATS + RAT; dystrybucja via dropper/strony 18+. CelliK akcentuje z kolei trojanizowanie legalnych aplikacji i ukryte przeglądanie.
  • Trend ogólny (Zscaler 2025) – wzrost transakcji malware mobilnego, w tym spyware i bankerów; rosnąca popularność modeli subskrypcyjnych MaaS. CelliK jest „produktem” tej komodytyzacji.

Podsumowanie / kluczowe wnioski

CelliK to kolejny krok w uprzemysłowieniu przestępczości mobilnej: tani, łatwy w użyciu, z panelem i builderem, który potrafi „ubrać” payload w popularną aplikację z Google Play. Połączenie zdalnego sterowania, hidden browser i iniekcji otwiera drogę do DTO/ATS i nadużyć finansowych na masową skalę – zwłaszcza, gdy ofiary pobierają „zaufane” aplikacje z linków poza oficjalnym sklepem. Dla zespołów bezpieczeństwa oznacza to konieczność włączenia urządzeń mobilnych w standardowe playbooki SOC, telemetryczne huntingi i kontrolę uprawnień na poziomie MDM/UEM.

Źródła / bibliografia

  • BleepingComputer: „Cellik Android malware builds malicious versions from Google Play apps”, 16 grudnia 2025. (BleepingComputer)
  • iVerify (Daniel Kelley): „Meet CelliK – A New Android RAT With Play Store Integration”, 16 grudnia 2025. (iVerify)
  • Risky.Biz (Risky Bulletin): wzmianka o CelliK i trendach w malware mobilnym, 17 grudnia 2025. (Risky.Biz)
  • BleepingComputer: „Malicious Android apps on Google Play downloaded 42 million times” (omówienie raportu Zscaler 2025), 4 listopada 2025. (BleepingComputer)
  • ThreatFabric: „Exposing Crocodilus…” (28 marca 2025) oraz „The Rise of RatOn…” (9 września 2025) – kontekst porównawczy. (ThreatFabric)

Fortinet: krytyczne obejścia uwierzytelniania już wykorzystywane. Co musisz zrobić teraz

Wprowadzenie do problemu / definicja luki

Atakujący rozpoczęli masowe nadużywanie dwóch krytycznych podatności obejścia uwierzytelniania w produktach Fortinet (FortiOS, FortiWeb, FortiProxy i FortiSwitchManager), które pozwalają ominąć FortiCloud SSO poprzez spreparowaną odpowiedź SAML. Pierwsze oznaki włamań odnotowano zaledwie kilka dni po wydaniu poprawek 9 grudnia 2025 r. (CVE-2025-59718, CVE-2025-59719).

W skrócie

  • Co się dzieje: aktywne logowania SSO do FortiGate’ów z adresów dostawców hostingu, a następnie eksport konfiguracji urządzeń.
  • Dotyczy: FortiOS, FortiWeb, FortiProxy, FortiSwitchManager – tylko gdy włączone jest FortiCloud SSO (domyślnie wyłączone; może zostać włączone podczas rejestracji FortiCare w GUI).
  • Wersje naprawione: m.in. FortiOS 7.6.4 / 7.4.9 / 7.2.12 / 7.0.18, FortiProxy 7.6.4 / 7.4.11 / 7.2.15 / 7.0.22, FortiSwitchManager 7.2.7 / 7.0.6, FortiWeb 8.0.1 / 7.6.5 / 7.4.10.
  • Status KEV: CVE-2025-59718 dodane do katalogu CISA KEV 16 grudnia 2025 r. z terminem remediacji do 23 grudnia (dla agencji FCEB w USA).

Kontekst / historia / powiązania

Fortinet regularnie znajduje się na linii ognia kampanii wymierzonych w interfejsy zarządzania firewallami/VPN. Tym razem czas między publikacją łat (9 grudnia) a wykryciem realnych ataków (12 grudnia) był wyjątkowo krótki — 3 dni, co potwierdza dojrzałość przeciwników w szybkim weaponizowaniu świeżych biuletynów.

Analiza techniczna / szczegóły luki

Obie podatności (CVSS do 9.8) wynikają z niewłaściwej weryfikacji podpisu kryptograficznego w przepływie SAML dla FortiCloud SSO:

  • CVE-2025-59718 (FortiOS / FortiProxy / FortiSwitchManager): atakujący bez uwierzytelnienia mogą odesłać spreparowaną odpowiedź SAML i uzyskać dostęp administracyjny przez SSO.
  • CVE-2025-59719 (FortiWeb): analogiczny błąd w FortiWeb (linie 7.4.x, 7.6.x, 8.0.0).

Warunek: FortiCloud SSO musi być włączone (nie jest domyślnie). Rejestracja urządzenia w FortiCare poprzez GUI może automatycznie aktywować opcję „Allow administrative login using FortiCloud SSO”, jeśli admin jej nie wyłączy.

Artefakty ataku (wg Arctic Wolf):

  • logowania SSO na konto admin z puli znanych dostawców hostingu,
  • po udanym logowaniu – eksport konfiguracji przez GUI (konfiguracje zawierają hashe haseł).

Praktyczne konsekwencje / ryzyko

  • Przejęcie panelu admina bez poświadczeń lokalnych (pełne uprawnienia).
  • Wykradzenie konfiguracji → łamanie hashy offline → wtórne kompromitacje (VPN, konta administratorów).
  • Szybka mobilizacja botnetów/aktorów skanujących internet pod kątem interfejsów zarządzania Fortinet.

Rekomendacje operacyjne / co zrobić teraz

  1. Zainstaluj poprawki bezzwłocznie do wersji:
    • FortiOS: 7.6.4 / 7.4.9 / 7.2.12 / 7.0.18 lub nowszych,
    • FortiProxy: 7.6.4 / 7.4.11 / 7.2.15 / 7.0.22 lub nowszych,
    • FortiSwitchManager: 7.2.7 / 7.0.6 lub nowszych,
    • FortiWeb: 8.0.1 / 7.6.5 / 7.4.10 lub nowszych.
  2. Jeśli patchowanie chwilowo niemożliwe – wyłącz FortiCloud SSO:
    • GUI: System → Settings → przełącz Allow administrative login using FortiCloud SSO na Off.CLI:config system global set admin-forticloud-sso-login disable end
    (i analogicznie w FortiWeb/FortiProxy, jeśli dotyczy).
  3. Ogranicz dostęp do interfejsów zarządzania wyłącznie z sieci zaufanych (ACL/VPN/jump host), wyłącz ekspozycję do internetu.
  4. Przeprowadź hunting/IR pod kątem nadużyć SSO:
    • Szukaj w logach zdarzeń udanych logowań SSO na konto admin z nietypowych IP; artefakty w stylu ui="sso(<IP>)" oraz wpisów o pobraniu konfiguracji przez GUI.
    • W przypadku wykrycia anomalii: reset haseł wszystkich kont na urządzeniu (i powiązanych usług), unieważnienie kluczy, przegląd zasad.
  5. Zweryfikuj zgodność z KEV (jeśli podlegasz wymogom): CVE-2025-59718 na liście KEV z deadline 2025-12-23.

Różnice / porównania z innymi przypadkami

  • W odróżnieniu od wielu wcześniejszych kampanii na Fortinet (RCE, path traversal), tutaj nie trzeba exploitować kodu wykonawczego – wystarcza bypass SAML/SSO. To zmienia wektor z „klasycznego RCE” na kradzież i nadużycie tożsamości usługowej w samym punkcie logowania.
  • Czas weaponizacji (3 dni) jest podobny do trendów obserwowanych przy głośnych kampaniach na interfejsy zarządzania (krótka półka życia poradnika → szybkie skanowanie → masowe logowania).

Podsumowanie / kluczowe wnioski

  • Dwie krytyczne luki SAML w FortiCloud SSO są aktywnie wykorzystywane – priorytetem jest aktualizacja i wyłączenie SSO tam, gdzie nie jest niezbędne.
  • Wykryto realne loginy admin i eksporty konfiguracji; traktuj wszelkie wycieki konfigów jak kompromitację poświadczeń.
  • Sprawdź zgodność z CISA KEV i terminy remediacji, nawet jeśli Twoja organizacja nie jest FCEB – to sensowny wskaźnik priorytetu ryzyka.

Źródła / bibliografia

  • SecurityWeek – In-the-Wild Exploitation of Fresh Fortinet Flaws Begins (16 grudnia 2025) – potwierdzenie exploitacji, wersje z poprawkami. (SecurityWeek)
  • SecurityWeek – Fortinet Patches Critical Authentication Bypass Vulnerabilities (10 grudnia 2025) – tło, stan domyślny SSO, wpływ produktów. (SecurityWeek)
  • Arctic Wolf – Observes Malicious SSO Logins… (15 grudnia 2025) – IoC, przykładowe logi, zalecenia, polecenia CLI. (Arctic Wolf)
  • NVD – CVE-2025-59718 – opis techniczny, zakres wersji, adnotacja o dodaniu do CISA KEV i terminie 2025-12-23. (NVD)
  • NVD – CVE-2025-59719 – opis techniczny dla FortiWeb, CVSS. (NVD)

GhostPoster: złośliwy JavaScript ukryty w logo dodatków Firefoksa. Analiza kampanii, ryzyko i zalecenia

Wprowadzenie do problemu / definicja luki

Nowa kampania „GhostPoster” wykorzystuje nieoczywistą technikę ukrywania złośliwego kodu wewnątrz pliku logo (PNG) rozszerzenia Firefoksa. Po instalacji z pozoru zwykły dodatek odczytuje własną ikonę, wyciąga z niej fragment JavaScriptu i uruchamia jako loader do pobrania właściwego payloadu z serwera C2. Według badaczy z Koi Security, kampania obejmuje 17 dodatków i >50 tys. instalacji, m.in. kategorie „free VPN”, tłumaczenia, pogoda, zrzuty ekranu czy „dark reader”. Mozilla potwierdziła usunięcie tych rozszerzeń z AMO i aktualizację detekcji.

W skrócie

  • Vektor: steganografia w logo.png rozszerzenia; kod ukryty po znaczniku ===.
  • Skala: 17 rozszerzeń, >50 000 instalacji łącznie. Przykłady: free-vpn-forever, google-translate-right-clicks, dark-reader-for-ff, ad-stop.
  • C2 & ładowanie: loader kontaktuje liveupdt[.]com (primary) i dealctr[.]com (backup); opóźnienie 48 h i pobranie tylko w 10% prób – utrudnienie detekcji.
  • Zdolności payloadu: przechwytywanie/ujednolicanie linków afiliacyjnych, wstrzykiwanie Google Analytics w każdą stronę, usuwanie nagłówków CSP/X-Frame-Options, omijanie CAPTCHA, niewidoczne iframy (ad/click fraud).
  • Status: Mozilla: „wszystkie rozszerzenia usunięte z AMO; systemy automatyczne zaktualizowane”. (aktualizacja z 17.12.2025).

Kontekst / historia / powiązania

Krajobraz zagrożeń wokół marketplace’ów rozszerzeń konsekwentnie się zaostrza: od kampanii ShadyPanda (miliony ofiar na Chrome/Edge) po wielokrotne przypadki nadużyć przez „free VPN” i narzędzia produktywne. Wspólnym mianownikiem jest wysokie zaufanie użytkowników do dodatków oraz ograniczona skuteczność statycznego przeglądu w sklepach. GhostPoster dorzuca do arsenału steganografię i opóźnienia behawioralne, co utrudnia tradycyjny monitoring.

Analiza techniczna / szczegóły luki

1) Faza „Logo” (steganografia):

  • Rozszerzenie pobiera własne logo.png, przeszukuje surowe bajty w poszukiwaniu znacznika ===.
  • Sekcja za znacznikiem zawiera zdeklarowany kod JS – loader uruchamiany w kontekście rozszerzenia.

2) Loader i C2:

  • Komunikacja do www.liveupdt[.]com, awaryjnie www.dealctr[.]com; parametry z podpisem/sygnaturą pozwalają śledzić instalacje.
  • Ewazja: odczekanie ~48 godzin oraz probabilistyczny fetch (10%), przez co analiza sieciowa bywa „pusta”.

3) Dekodowanie/cyfring:

  • Payload kodowany prostą sekwencją: swap małe/DUŻE litery → zamiana 8/9 → base64, następnie XOR z kluczem wyprowadzonym z runtime ID rozszerzenia; zapis do storage (trwałość).

4) Końcowy payload – moduły:

  • Affiliate hijacking na dużych platformach e-commerce (kradzież prowizji).
  • Tracking injection: wstrzyknięcie Google Analytics (np. UA-60144933-8) na każdą stronę z własnymi atrybutami znaczników.
  • Twardsze obejścia zabezpieczeń: pasywne usuwanie CSP/X-Frame-Options, omijanie CAPTCHA kilkoma metodami (w tym ładownie solvera z refeuficn.github.io).
  • Fraud: krótkotrwałe niewidoczne iframy (samoczyszczenie po ~15 s) dla ad/click fraud i śledzenia.

5) Wskaźniki kompromitacji (IOCs – wybrane):

  • Domeny C2: liveupdt[.]com, dealctr[.]com, dodatkowo mitarchive[.]info.
  • Znacznik w pliku: === w logo.png.
  • ID GA: UA-60144933-8.
  • Nazwy dodatków (próbki): free-vpn-forever, crxmouse-gesture, dark-reader-for-ff, ad-stop, google-translate-pro-extension (pełna lista: 17 pozycji).

Praktyczne konsekwencje / ryzyko

  • Prywatność i profilowanie: globalny tracking (GA + własne atrybuty), fingerprinting i identyfikatory.
  • Ominięcie polityk bezpieczeństwa przeglądarki: usunięcie CSP i XFO zwiększa powierzchnię XSS/clickjacking.
  • Straty finansowe i reputacyjne: hijacking afiliacyjny, ad/click fraud (koszty i zafałszowane metryki).
  • Ryzyko eskalacji: mechanizm ładowania zdalnego kodu pozwala w każdej chwili dołożyć groźniejszy moduł (np. kradzież haseł, lateral movement przez sesje SSO).

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników i helpdesku

  1. Natychmiast odinstaluj wskazane rozszerzenia w Firefoksie (Menu → Dodatki i motywy → Rozszerzenia). Zweryfikuj też inne przeglądarki.
  2. Wyczyść dane przeglądania (cache/cookies), zaloguj się ponownie do krytycznych serwisów.
  3. Zmień hasła do usług krytycznych / kont finansowych (ostrożnie: jeśli BYŁO ryzyko kradzieży sesji).
  4. Przegląd zgód na powiadomienia push (usuń podejrzane domeny).

Dla SOC/IT/SecOps (enterprise)

  • Blokady sieciowe (proxy/DNS/EDR): liveupdt[.]com, dealctr[.]com, mitarchive[.]info, a także refeuficn.github.io (solver). Monitoruj niestandardowe żądania z kontekstu przeglądarki.
  • Hunting w logach:
    • Wywołania GA z ID UA-60144933-8 poza własną domeną.
    • Wzorce modyfikacji nagłówków CSP/XFO przez rozszerzenia.
    • Iniekcje ukrytych iframe z krótkim TTL.
  • Kontrola floty przeglądarek: polityki pozwalające na allow-listę rozszerzeń, blokadę niezatwierdzonych dodatków i telemetrię zachowania (co robi rozszerzenie po instalacji). (Por. wnioski o niedostatkach samej statycznej weryfikacji marketplace’ów.)
  • IR: jeśli wykryto komunikację z C2 – traktuj jako incident z potencjałem modyfikacji treści stron i kradzieży sesji; rozważ force logout/rotację tokenów w krytycznych aplikacjach.

Dla vendorów/marketplace’ów

  • Analiza behawioralna po publikacji (nie tylko przed).
  • Reguły heurystyczne: odczyt surowych bajtów ikon, poszukiwanie markerów, probabilistyczne fetch’e, długie opóźnienia (≥48 h).

Różnice / porównania z innymi przypadkami

  • VS Code / PNG-trojan w marketplace’ach – wcześniej raportowano nadużycia formatów/zasobów (np. fałszywe PNG w rozszerzeniach IDE), ale GhostPoster stosuje to w przeglądarkach i łączy z elegantną ewazją czasową (48 h + 10%).
  • Wobec kampanii ShadyPanda czy fal „free VPN spyware”, GhostPoster nie musi kraść haseł, by być groźny – obniża poziom zabezpieczeń i monetyzuje ruch, a jednocześnie utrzymuje zdalnie sterowalną infrastrukturę.

Podsumowanie / kluczowe wnioski

GhostPoster to nowoczesna kampania „marketplace malware”: prosta steganografia w ikonie + cierpliwość + modularyzacja. Efekt: trudna detekcja, duża skala i pełna kontrola nad zachowaniem przeglądarki. Obowiązkowe jest wdrożenie allow-listy dodatków, kontroli sieciowej C2, monitorowania anomalii w nagłówkach oraz higieny użytkowników (usuwanie niepotrzebnych rozszerzeń, ostrożność wobec „free VPN”). Mozilla potwierdziła reakcję i usunięcie dodatków, ale model zaufania do rozszerzeń musi się zmienić po stronie organizacji.

Źródła / bibliografia

  1. Koi Security – Inside GhostPoster: How a PNG Icon Infected 50,000 Firefox Users (pełna analiza techniczna, IOCs). (Koi)
  2. BleepingComputer – GhostPoster attacks hide malicious JavaScript in Firefox addon logos (przegląd kampanii + oświadczenie Mozilli z 17.12.2025). (BleepingComputer)
  3. Koi Security – 4.3 Million Browsers Infected: Inside ShadyPanda’s 7-Year Malware Campaign (kontekst ryzyka marketplace’ów). (Koi)

Amazon: rosyjscy hakerzy coraz częściej wykorzystują błędne konfiguracje urządzeń brzegowych w atakach na infrastrukturę krytyczną

Wprowadzenie do problemu / definicja luki

Amazon Threat Intelligence (ATI) opisał kampanię GRU (klaster powiązany z Sandworm/APT44), która w latach 2021–2025 ewoluowała od intensywnej eksploatacji 0-day/n-day do nadużywania błędnie skonfigurowanych urządzeń brzegowych (edge) — zwłaszcza takich z ujawnionymi interfejsami zarządzania. Z przejętych urządzeń atakujący przechwytywali ruch (pcap), pozyskiwali poświadczenia i odtwarzali je (credential replay) w usługach online ofiar w celu ruchu bocznego i utrzymania dostępu. Amazon podkreśla, że obserwowane przypadki dotyczyły urządzeń klientów hostowanych na AWS i wynikały z błędnych konfiguracji klientów, a nie słabości AWS.

W skrócie

  • Taktyczna zmiana: mniej exploitów, więcej polowania na „low-hanging fruit” — źle skonfigurowane routery, koncentratory VPN, bramki zdalnego dostępu, platformy kolaboracyjne i systemy zarządzania projektami.
  • Metoda: kompromitacja urządzenia → pasywny packet capture → kradzież poświadczeń → próby logowania (replay) do usług organizacji → lateral movement.
  • Sektory: nacisk na energetykę i infrastrukturę krytyczną w Ameryce Płn. i Europie; ofiary z infrastrukturą sieciową w chmurze.
  • Atrybucja: wysoka pewność powiązania z Sandworm/APT44 (znany klaster GRU).

Kontekst / historia / powiązania

Do 2024 r. ten sam aktor chętnie wykorzystywał znane luki m.in. w WatchGuard (CVE-2022-26318), Atlassian Confluence (CVE-2021-26084, CVE-2023-22518) czy Veeam (CVE-2023-27532). W 2025 r. Amazon odnotował spadek wykorzystania podatności na rzecz systematycznego atakowania błędnych konfiguracji urządzeń brzegowych. Równolegle zidentyfikowano nakładanie się infrastruktury z grupą określaną przez Bitdefender jako „Curly COMrades” — znaną z post-eksploatacji i ukrywania się w maszynach wirtualnych Hyper-V (CurlyShell, CurlCat).

Niezależne redakcje (CyberScoop, CSO Online) potwierdzają wątki: przejęcie urządzenia brzegowego, przechwytywanie ruchu w celu kradzieży poświadczeń i credential replay do usług ofiary.

Analiza techniczna / szczegóły luki

Punkt startowy (Initial Access)

  • Urządzenia brzegowe klientów z odsłoniętymi interfejsami zarządzania (HTTP/HTTPS, SSH, Telnet, SNMP) lub z domyślnymi/ponownie użytymi hasłami.
  • Często dotyczy instancji w chmurze (np. obrazy/appliance’y na EC2), gdzie konfiguracja sieciowa lub reguły SG/NACL dopuszczają dostęp z Internetu.

Zbieranie poświadczeń (Collection)

  • Wskazania czasowe i wzorzec użycia haseł sugerują pasywną inspekcję ruchu (packet capture) na skompromitowanych urządzeniach; atakujący pozyskują poświadczenia domenowe ofiary, nie tylko konta urządzeń.

Użycie poświadczeń (Credential Replay) i ruch boczny

  • Próby uwierzytelnienia do usług SaaS/IDP, repozytoriów kodu, platform kolaboracyjnych, portali administracyjnych, często z nietypowych geolokalizacji i z opóźnieniem (charakterystycznym dla zbioru pcap).

Przykładowe CVE z wcześniejszych faz kampanii

  • WatchGuard CVE-2022-26318; Confluence CVE-2021-26084 i CVE-2023-22518; Veeam CVE-2023-27532.

IOCs i telemetry

  • Amazon udostępnił przykładowe adresy IP (kompromitowane legalne serwery wykorzystywane jako proxy/staging). Zaleca analizę kontekstową zamiast ślepego blokowania.

Praktyczne konsekwencje / ryzyko

  • Ataki bez głośnych exploitów: trudniejsze do detekcji, bo wyglądają jak „normalna” administracja urządzeniem lub legalny ruch.
  • Przenikalność IT–OT: poświadczenia wykradzione na brzegu mogą otwierać drogę do systemów OT/ICS (np. przez skojarzone konta domenowe lub jump-hosty). Analizy ENISA i innych ośrodków pokazują, że kradzież poświadczeń pozostaje kluczowym elementem łańcucha ataku.
  • Skala sektorowa: energetyka, telekomunikacja, dostawcy usług chmurowych i MSP obsługujące podmioty infrastruktury krytycznej — ryzyko efektu łańcuchowego.

Rekomendacje operacyjne / co zrobić teraz

1) Higiena urządzeń brzegowych (priorytet wysoki)

  • Audyt ekspozycji: zinwentaryzuj wszystkie interfejsy zarządzania; przenieś je do prywatnych podsieci i zabezpiecz dostępem przez bastion/VPN z MFA. Zablokuj Telnet/HTTP/niezaszyfrowane SNMP.
  • Twarde uwierzytelnianie: rotacja haseł, unikalne konta admin, MFA wszędzie tam, gdzie to możliwe.
  • Konfiguracja sieci: reguły SG/NACL o najmniejszej potrzebnej przepustowości, VPC Flow Logs do analizy anomalii.

2) Detekcja credential replay

  • Koreluj logi uwierzytelniania pod kątem ponownego użycia poświadczeń między panelami zarządzania urządzeń a usługami SaaS/IDP; alertuj na logowania z nietypowych geolokalizacji oraz na próby po opóźnieniu po incydencie na urządzeniu.

3) Telemetria i EDR/SIEM

  • Szukaj śladów packet capture na urządzeniach (pliki pcap, uruchomione narzędzia tcpdump/pcapd).
  • W środowiskach Windows monitoruj Hyper-V enable/VM import/start — to TTP łączone z „Curly COMrades” (ukryty VM z implantami).

4) Twardnienie w AWS

  • IAM przez federację + role, GuardDuty, CloudTrail, Amazon Inspector do wykrywania niezamierzonej ekspozycji i luk, segmentacja zarządzania w VPC.

5) Reagowanie na IOCs

  • Weryfikuj adresy IP z listy ATI kontekstowo; mogą to być przejęte legalne hosty. Zastosuj TLS-only dla paneli, wyłącz legacy-crypto, loguj całość administracji.

Różnice / porównania z innymi przypadkami

W odróżnieniu od fali kampanii 2021–2024 opartej o szybkie „n-day smash-and-grab”, obecne operacje preferują trwałość i niski profil: infiltracja przez misconfig, pasywny zbiór poświadczeń, a następnie replay do usług chmurowych/SaaS. To bardziej „kontrolowane” i mniej hałaśliwe niż masowe skanowanie pod CVE. Relacje AWS i niezależnych redakcji spójnie wskazują na taki pivot taktyczny.

Podsumowanie / kluczowe wnioski

  • Dla operatorów OT/ICS i dostawców usług to alarm na konfigurację edge: interfejsy zarządzania muszą zniknąć z Internetu.
  • Detekcja credential replay powinna być stałym use case’em w SIEM i systemach tożsamości.
  • Segmentacja, MFA, monitoring i twardnienie w chmurze minimalizują okno nadużyć nawet przy błędach konfiguracyjnych.
  • Zmiana taktyk Sandworm/APT44 nie zmniejsza ryzyka — przeciwnie, utrudnia wykrycie i skraca czas do celu.

Źródła / bibliografia

  1. AWS Security Blog: Amazon Threat Intelligence identifies Russian cyber threat group targeting Western critical infrastructure (15 grudnia 2025). (Amazon Web Services, Inc.)
  2. SecurityWeek: Amazon: Russian Hackers Now Favor Misconfigurations in Critical Infrastructure Attacks (16 grudnia 2025). (SecurityWeek)
  3. CyberScoop: Amazon warns that Russia’s Sandworm has shifted its tactics (16 grudnia 2025). (CyberScoop)
  4. CSO Online: Russian APT group pivots to network edge device misconfigurations (16 grudnia 2025). (CSO Online)
  5. Bitdefender Labs: Curly COMrades: Evasion & Persistence via Hidden Hyper-V Virtual Machines (4 listopada 2025). (Bitdefender)