Archiwa: APT - Strona 5 z 44 - Security Bez Tabu

Tag: APT

GREYVIBE: rosyjskojęzyczna grupa wykorzystuje AI do cyberataków wymierzonych w Ukrainę

Cybersecurity news

Wprowadzenie do problemu / definicja

GREYVIBE to nowo opisana grupa zagrożeń prowadząca operacje wymierzone w Ukrainę oraz podmioty powiązane z sektorem wojskowym, publicznym, cywilnym i biznesowym. Jej działalność wyróżnia łączenie klasycznych technik cyberwywiadowczych z wykorzystaniem narzędzi opartych na generatywnej sztucznej inteligencji, co pozwala szybciej przygotowywać infrastrukturę, przynęty socjotechniczne i komponenty złośliwego oprogramowania.

Z perspektywy obrońców jest to istotny sygnał zmiany w krajobrazie zagrożeń. Automatyzacja części procesu operacyjnego przez modele AI skraca czas potrzebny na tworzenie nowych wariantów malware i utrudnia wykrywanie kampanii wyłącznie na podstawie znanych sygnatur.

W skrócie

  • GREYVIBE prowadzi aktywne operacje co najmniej od sierpnia 2025 roku.
  • Grupa wykorzystuje spear phishing, fałszywe strony CAPTCHA, strony podszywające się pod ukraińskie podmioty oraz malware na Windows i Androida.
  • W arsenale aktora znalazły się m.in. PhantomRelay, LegionRelay i FallSpy.
  • Badacze wskazują, że modele AI i LLM wspierają rozwój elementów operacyjnych, obfuskację i przygotowanie infrastruktury.
  • Celem działań wydaje się przede wszystkim pozyskiwanie informacji wywiadowczych oraz utrzymywanie dostępu do środowisk ofiar.

Kontekst / historia

GREYVIBE wpisuje się w szerszy krajobraz operacji prowadzonych w interesie Federacji Rosyjskiej w kontekście wojny rosyjsko-ukraińskiej. Profil ofiar sugeruje ukierunkowanie na długotrwałe rozpoznanie i pozyskiwanie danych, a nie wyłącznie na destrukcję systemów czy szybki zysk finansowy.

Jednocześnie grupa nie sprawia wrażenia w pełni dojrzałego, jednolitego zespołu państwowego. Analitycy zwracają uwagę na błędy operacyjne, ślady testowych wersji malware oraz relacje z szerszym ekosystemem cyberprzestępczym. Taki model hybrydowy utrudnia jednoznaczną atrybucję i pokazuje, że granica między klasycznym APT a grupą przestępczą staje się coraz mniej wyraźna.

Analiza techniczna

GREYVIBE korzysta z kilku łańcuchów infekcji dostosowanych do rodzaju ofiary i wykorzystywanej platformy. W kampanii określanej jako PhantomMail stosowano wiadomości spear phishingowe zawierające odnośniki do archiwów ZIP lub RAR. Wewnątrz znajdował się loader JavaScript, który uruchamiał dokument-wabik i wdrażał komponent PhantomRelay. Ten pełnił rolę zdalnego trojana dostępowego opartego na PowerShell, umożliwiającego profilowanie hosta oraz wykonywanie poleceń systemowych.

Wariant PhantomClick bazował na stronach podszywających się pod legalne usługi i wykorzystywał mechanikę fałszywego CAPTCHA w stylu ClickFix. Ofiara była nakłaniana do samodzielnego uruchomienia poleceń, co prowadziło do wdrożenia kolejnego etapu infekcji. To przykład skutecznego połączenia socjotechniki z techniką living-off-the-land, ponieważ część działań wykonywano przy użyciu natywnych mechanizmów Windows.

Kampania PrincessClub wykorzystywała fałszywe strony ukraińskich klubów dla dorosłych. W zależności od urządzenia ofiara otrzymywała spyware FallSpy dla Androida albo malware PhantomRelayV1 i LegionRelay dla Windows. Późniejsze wersje stron zawierały też funkcję połączenia na żywo opartą na WebRTC, co mogło zwiększać wiarygodność przynęty i wspierać przechwytywanie audio lub wideo.

FallSpy został opisany jako spyware dla Androida nastawiony na pozyskiwanie wrażliwych danych z urządzenia. LegionRelay to z kolei lekki RAT oparty na PowerShell, obsługujący enumerację plików, eksfiltrację danych, wykonywanie zrzutów ekranu, kradzież danych z przeglądarek, pozyskiwanie informacji z komunikatorów oraz konfigurację dostępu RDP. PhantomRelayV1 rozwija te możliwości o mechanizmy trwałości, w tym niestandardowy watchdog.

W łańcuchu DroneLink atakujący wykorzystywali strony podszywające się pod fundacje charytatywne wspierające ukraińskie siły zbrojne. Celem było dostarczenie komponentów takich jak WireGuard i LegionRelay, co może wskazywać na próbę zestawienia trwałego kanału komunikacyjnego lub tunelowania ruchu po skutecznej kompromitacji.

Opisano również kampanię Nebo, w której próbka FallSpy imitowała rosyjskojęzyczny ekran logowania. Taki zabieg mógł służyć dezorientacji ofiar i budowaniu wrażenia pracy w wiarygodnym środowisku.

Najciekawszym aspektem technicznym pozostaje wykorzystanie AI do wspierania rozwoju operacji. Badacze wskazali, że generatywna sztuczna inteligencja mogła być używana do tworzenia grafik, rozwijania komponentów LegionRelay, przygotowywania loaderów i skryptów obfuskacyjnych, budowy zaplecza infrastrukturalnego oraz opracowywania komend wykorzystywanych po uzyskaniu dostępu. Jednocześnie analiza próbek ujawniła błędy projektowe i ślady niedojrzałości, co pokazuje, że przyspieszenie developmentu nie zawsze oznacza wysoką jakość operacyjną.

Konsekwencje / ryzyko

Działania GREYVIBE zwiększają presję na organizacje funkcjonujące w regionach objętych konfliktem oraz na podmioty współpracujące z administracją, wojskiem i sektorem pomocowym. Zagrożenie nie ogranicza się do utraty poufności danych. Obejmuje także długotrwałe rozpoznanie środowiska, kradzież danych uwierzytelniających, przejęcie komunikacji oraz wykorzystanie legalnych kanałów zdalnego dostępu do dalszej penetracji infrastruktury.

Szczególnie niebezpieczne jest łączenie wielu wektorów dostępu: phishingu, stron-wabików, infekcji mobilnych oraz komponentów PowerShell wdrażanych na stacjach roboczych. Taka wielowarstwowość zwiększa odporność kampanii na punktowe działania obronne i utrudnia pełne odtworzenie przebiegu incydentu.

Dodatkowym wyzwaniem jest rozwój malware wspomagany przez AI. Jeżeli aktor potrafi szybko przebudowywać loadery, skrypty i infrastrukturę, tradycyjne metody detekcji oparte na stałych sygnaturach mogą okazać się niewystarczające. Dla zespołów SOC oznacza to konieczność większego oparcia się na analizie zachowań, korelacji telemetrii i wykrywaniu anomalii.

Rekomendacje

Organizacje narażone na podobne kampanie powinny w pierwszej kolejności wzmocnić ochronę poczty i komunikacji użytkowników. W praktyce oznacza to rygorystyczne filtrowanie załączników i archiwów, sandboxing wiadomości oraz wdrożenie mechanizmów wykrywania phishingu ukierunkowanego.

W środowiskach Windows warto ograniczyć wykonywanie nieautoryzowanych skryptów PowerShell, monitorować uruchamianie interpreterów skryptowych oraz wykrywać nietypowe sekwencje poleceń kopiowanych przez użytkownika do okien dialogowych i terminali. Szkolenia z zakresu awareness powinny obejmować nie tylko klasyczne wiadomości phishingowe, ale także scenariusze fałszywych stron CAPTCHA i technik ClickFix.

Niezbędne jest również monitorowanie anomalii związanych z RDP, tworzeniem tuneli sieciowych, wykorzystaniem narzędzi zdalnego dostępu oraz próbami eksfiltracji danych z przeglądarek i komunikatorów. W przypadku urządzeń mobilnych należy egzekwować polityki MDM, ograniczać instalację aplikacji spoza zaufanych źródeł i analizować uprawnienia aplikacji pod kątem dostępu do wiadomości, mikrofonu, aparatu i pamięci urządzenia.

  • Budować reguły behawioralne dla uruchomień JavaScript z archiwów pobranych z internetu.
  • Monitorować nietypową aktywność PowerShell po otwarciu dokumentów lub stron phishingowych.
  • Wykrywać połączenia WebRTC inicjowane przez mało znane domeny.
  • Analizować nagłe tworzenie zdalnych kanałów administracyjnych i tuneli.
  • Łączyć telemetrię z hostów, poczty, proxy, EDR i urządzeń mobilnych.

Podsumowanie

GREYVIBE pokazuje, że współczesne operacje cyberwywiadowcze coraz częściej łączą klasyczne techniki infekcji z szybkim rozwojem komponentów wspomaganym przez sztuczną inteligencję. Grupa atakuje cele związane z Ukrainą, wykorzystuje zróżnicowane łańcuchy dostępu i działa na styku cyberprzestępczości oraz aktywności powiązanej z interesami państwowymi.

Dla obrońców najważniejszy wniosek jest praktyczny: sama znajomość nazw malware nie wystarcza. Skuteczna obrona wymaga monitorowania zachowań, ograniczania możliwości wykonywania skryptów, wzmacniania bezpieczeństwa urządzeń mobilnych oraz ciągłego dostosowywania detekcji do kampanii, które mogą dynamicznie zmieniać swoje artefakty techniczne dzięki użyciu AI.

Źródła

Krytyczna luka RCE w Microsoft SharePoint (CVE-2026-45659). Dlaczego tej aktualizacji nie wolno odkładać

Cybersecurity news

Wprowadzenie do problemu / definicja

Microsoft opublikował poprawki dla krytycznej podatności w SharePoint oznaczonej jako CVE-2026-45659. Luka dotyczy zdalnego wykonywania kodu i wynika z niebezpiecznej deserializacji niezaufanych danych. W praktyce oznacza to, że atakujący dysponujący ważnym, niskoprzywilejowanym kontem w środowisku SharePoint może doprowadzić do uruchomienia własnego kodu na serwerze.

To szczególnie istotne dla organizacji korzystających z SharePoint jako centralnej platformy współpracy i przechowywania dokumentów. Skuteczny atak może otworzyć drogę do dalszej kompromitacji infrastruktury, zwłaszcza jeśli serwer ma szerokie uprawnienia lub liczne integracje z innymi usługami.

W skrócie

Nowa podatność SharePoint umożliwia zdalne wykonanie kodu w scenariuszu sieciowym i otrzymała ocenę CVSS 8.8. Problem obejmuje SharePoint Server Subscription Edition, SharePoint Server 2019 oraz SharePoint Enterprise Server 2016.

  • Atak wymaga uwierzytelnienia, ale nie pełnych uprawnień administracyjnych.
  • Wystarczające może być konto o relatywnie niskim poziomie dostępu.
  • Źródłem błędu jest deserializacja niezaufanych danych.
  • Priorytetem powinno być szybkie wdrożenie poprawek bezpieczeństwa.

Kontekst / historia

SharePoint od lat pozostaje atrakcyjnym celem dla cyberprzestępców oraz grup APT, ponieważ często pełni rolę repozytorium dokumentów, platformy współpracy i punktu integracji z usługami katalogowymi. Z tego powodu każda luka pozwalająca na wykonanie kodu na serwerze ma znaczenie wykraczające poza pojedynczy system.

Podatność CVE-2026-45659 została ujawniona 27 maja 2026 roku. Microsoft udostępnił aktualizacje zabezpieczeń, a jako osobę zgłaszającą problem wskazano badacza działającego pod pseudonimem MEOW. Dla zespołów bezpieczeństwa to kolejny sygnał, że SharePoint pozostaje systemem wymagającym szczególnej uwagi w procesie patch managementu i monitorowania zagrożeń.

Analiza techniczna

Źródłem podatności jest deserializacja niezaufanych danych. Tego typu błędy pojawiają się wtedy, gdy aplikacja odtwarza obiekty dostarczone z zewnątrz bez odpowiedniej walidacji, ograniczenia typów lub bezpiecznych mechanizmów kontroli. Jeśli atakujący może wpłynąć na zawartość takiego ładunku, otwiera się możliwość wykonania nieautoryzowanej logiki po stronie serwera.

W analizowanym przypadku atak ma charakter sieciowy i wymaga uwierzytelnienia. Kluczowe jest jednak to, że nie wymaga on pełnej administracji. Oznacza to, że powierzchnia ataku obejmuje nie tylko administratorów, lecz także zwykłych użytkowników, konta partnerów lub konta techniczne mające dostęp do zasobów SharePoint.

Potencjalny przebieg incydentu może wyglądać następująco:

  • uzyskanie dostępu do platformy z użyciem prawidłowego konta,
  • dostarczenie spreparowanego ładunku wejściowego,
  • wywołanie podatnego mechanizmu deserializacji,
  • wykonanie kodu w kontekście procesu aplikacyjnego,
  • dalsza eskalacja działań, w tym ruch lateralny, kradzież danych lub instalacja narzędzi post-exploitation.

Choć publicznie dostępne informacje nie opisują pełnego łańcucha exploitacji krok po kroku, sama natura błędu wskazuje na wysokie ryzyko w środowiskach, gdzie SharePoint działa z szerokimi uprawnieniami do zasobów domenowych, bibliotek dokumentów i systemów zintegrowanych.

Konsekwencje / ryzyko

Najważniejszym skutkiem podatności jest możliwość przejęcia kontroli nad serwerem SharePoint w zakresie wynikającym z uprawnień procesu oraz konfiguracji środowiska. Nawet jeśli atak wymaga logowania, ryzyko pozostaje wysokie, ponieważ zdobycie konta o niskich uprawnieniach jest zwykle łatwiejsze niż przejęcie konta administracyjnego.

  • SharePoint często przechowuje dokumenty poufne i dane operacyjne.
  • Kompromitacja serwera aplikacyjnego może ułatwić dalszą penetrację sieci.
  • Atak może zostać wykorzystany po kradzieży poświadczeń lub przez insidera.
  • Skutkiem może być wdrożenie web shelli, trwały dostęp i rozpoznanie środowiska.

W praktyce organizacje powinny brać pod uwagę scenariusze obejmujące kradzież dokumentów, naruszenie integralności danych, ruch lateralny w infrastrukturze oraz wykorzystanie SharePoint jako punktu wejścia do kolejnych segmentów sieci. Ocena CVSS 8.8 dobrze odzwierciedla powagę problemu, szczególnie w środowiskach on-premises z opóźnionym cyklem aktualizacji.

Rekomendacje

Najważniejszym działaniem pozostaje niezwłoczne wdrożenie poprawek bezpieczeństwa dla wszystkich wspieranych wersji SharePoint objętych podatnością. Organizacje, które nie mogą przeprowadzić aktualizacji natychmiast, powinny równolegle wdrożyć środki ograniczające ryzyko i zwiększyć poziom monitoringu.

  • zidentyfikować wszystkie instancje SharePoint Server Subscription Edition, SharePoint Server 2019 i SharePoint Enterprise Server 2016,
  • bezzwłocznie zastosować odpowiednie aktualizacje bezpieczeństwa,
  • przeprowadzić przegląd kont o uprawnieniach członka witryny i usunąć nadmiarowe dostępy,
  • wymusić reset haseł dla kont podejrzanych o kompromitację i rozszerzyć użycie MFA,
  • monitorować logi aplikacyjne, systemowe i sieciowe pod kątem anomalii,
  • zweryfikować integralność serwerów pod kątem web shelli, nieautoryzowanych bibliotek i zmian konfiguracyjnych,
  • ograniczyć komunikację wychodzącą oraz lateralną z serwerów SharePoint,
  • przygotować procedurę incident response obejmującą izolację hosta i analizę artefaktów.

Warto także potraktować ten przypadek jako impuls do szerszego przeglądu architektury bezpieczeństwa wokół platform współpracy. Segmentacja sieci, separacja ról administracyjnych, regularny threat hunting i ścisła kontrola dostępu mogą znacząco ograniczyć skutki podobnych błędów w przyszłości.

Podsumowanie

CVE-2026-45659 to poważna podatność RCE w Microsoft SharePoint wynikająca z deserializacji niezaufanych danych. Jej znaczenie wynika nie tylko z wysokiej oceny technicznej, ale również z relatywnie niskiego progu wymagań po stronie atakującego, który potrzebuje jedynie uwierzytelnionego konta o ograniczonych uprawnieniach.

Dla organizacji korzystających z SharePoint oznacza to realne ryzyko kompromitacji jednej z kluczowych platform biznesowych. Najbardziej racjonalną odpowiedzią jest szybkie wdrożenie poprawek, przegląd ekspozycji środowiska oraz aktywne monitorowanie oznak nadużyć i działań post-exploitation.

Źródła

  1. Security Affairs — Microsoft SharePoint Has a New RCE Flaw. If You Haven’t Patched Yet, Go Do That — https://securityaffairs.com/192730/security/microsoft-sharepoint-has-a-new-rce-flaw-if-you-havent-patched-yet-go-do-that.html
  2. Microsoft Security Response Center — CVE-2026-45659 — https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45659
  3. CVE Program — CVE-2026-45659 — https://www.cve.org/CVERecord?id=CVE-2026-45659
  4. Microsoft Security Response Center — Microsoft SharePoint Server Security Updates — https://msrc.microsoft.com/update-guide
  5. CISA Known Exploited Vulnerabilities Catalog — https://www.cisa.gov/known-exploited-vulnerabilities-catalog

Lazarus rozwija bezplikowego RAT-a RemotePE, by skuteczniej omijać detekcję

Cybersecurity news

Wprowadzenie do problemu / definicja

Bezplikowe złośliwe oprogramowanie to jedna z najbardziej wymagających kategorii zagrożeń dla zespołów bezpieczeństwa. W odróżnieniu od klasycznego malware, które zapisuje swoje komponenty na dysku, narzędzia tego typu działają głównie lub wyłącznie w pamięci operacyjnej. Taki model znacząco utrudnia wykrywanie, analizę incydentów oraz odtwarzanie pełnego przebiegu ataku.

Najświeższe ustalenia dotyczące grupy Lazarus wskazują, że operatorzy rozwinęli nowy pamięciowy trojan zdalnego dostępu o nazwie RemotePE. Narzędzie zostało zaprojektowane z myślą o skrytym utrzymaniu dostępu do środowiska ofiary, ograniczeniu śladów na dysku oraz omijaniu mechanizmów bezpieczeństwa stosowanych na stacjach roboczych i serwerach.

W skrócie

Badacze opisują trzyetapowy łańcuch infekcji obejmujący komponenty DPAPILoader, RemotePELoader oraz finalny moduł RemotePE. Pierwszy etap odszyfrowuje kolejny komponent przy użyciu mechanizmów DPAPI, drugi odpowiada za komunikację z infrastrukturą C2 i przygotowanie środowiska, a trzeci realizuje właściwe funkcje trojana zdalnego dostępu wykonywanego wyłącznie w pamięci.

Cały zestaw został przygotowany tak, aby ograniczyć skuteczność klasycznych metod detekcji. W praktyce oznacza to mniejszą liczbę artefaktów plikowych, utrudnioną analizę statyczną oraz zastosowanie technik unikania rozwiązań EDR, w tym usuwania hooków w przestrzeni użytkownika i ograniczania widoczności zdarzeń telemetrycznych.

Kontekst / historia

Grupa Lazarus od lat pozostaje jednym z najlepiej rozpoznanych aktorów APT, kojarzonych z operacjami wymierzonymi w instytucje finansowe, firmy związane z kryptowalutami oraz organizacje o wysokiej wartości operacyjnej. Nowe ustalenia wskazują, że RemotePE wpisuje się w długofalowy rozwój narzędzi tej grupy, zwłaszcza w obszarze ataków prowadzonych w sposób selektywny i ukierunkowany.

Analizowane kampanie mają wykorzystywać dobrze znany schemat wejścia do środowiska ofiary, oparty na socjotechnice, fałszywych procesach rekrutacyjnych oraz komunikacji biznesowej prowadzonej przez komunikatory. Po uzyskaniu wstępnego dostępu starsze komponenty miały zostać zastąpione bardziej zaawansowanym, modułowym zestawem działającym w pamięci, rozwijanym co najmniej od połowy 2023 do połowy 2024 roku.

Analiza techniczna

Łańcuch rozpoczyna się od komponentu DPAPILoader, czyli biblioteki DLL odpowiedzialnej za odszyfrowanie kolejnego etapu przy użyciu Windows Data Protection API. Takie podejście wiąże materiał kryptograficzny z konkretnym systemem ofiary, przez co przechwycone próbki są znacznie mniej użyteczne poza zainfekowanym hostem. Dodatkowo utrudnia to tworzenie skutecznych detekcji opartych wyłącznie na hashach i prostych sygnaturach.

DPAPILoader był maskowany jako legalny komponent systemowy i uruchamiany z wykorzystaniem usługi Windows. Następnie wyszukiwał dane w określonych lokalizacjach systemowych, odszyfrowywał kolejny moduł i ładował go refleksyjnie do pamięci. W części przypadków po odszyfrowaniu stosowano dodatkową warstwę XOR, pełniącą funkcję lekkiej obfuskacji.

Drugim etapem jest RemotePELoader. To właśnie on odpowiada za komunikację z serwerem C2, pobranie finalnego ładunku oraz przygotowanie procesu do dalszych działań. Loader dynamicznie rozwiązuje numery wywołań systemowych i remapuje biblioteki z KnownDlls, co ma pomóc w usunięciu hooków nakładanych przez oprogramowanie ochronne w przestrzeni użytkownika. Równolegle modyfikuje funkcje związane z ETW, ograniczając widoczność aktywności procesu dla narzędzi telemetrycznych.

Konfiguracja C2 jest przechowywana lokalnie i również chroniona za pomocą DPAPI. Zawiera m.in. parametry opóźnień, adresy serwerów sterujących, ustawienia proxy i identyfikatory niezbędne do komunikacji. Wymiana danych odbywa się przez HTTP POST, a część informacji o hoście trafia do nagłówków Cookie. Po zestawieniu sesji loader cyklicznie odpytuje serwer i oczekuje na finalny ładunek szyfrowany z użyciem AES-GCM oraz kodowany w Base64.

Sam RemotePE to wielowątkowy RAT napisany w C++, wykonywany całkowicie w pamięci. Oferuje zestaw funkcji typowych dla dojrzałego narzędzia post-exploitation, w tym wykonywanie poleceń systemowych, zarządzanie plikami, uruchamianie procesów, ładowanie dodatkowych bibliotek DLL oraz obsługę konfiguracji. Może również przygotowywać dane do eksfiltracji i rozszerzać możliwości poprzez dynamicznie rejestrowane moduły.

Na uwagę zasługuje także mechanizm bezpiecznego usuwania plików. RemotePE wielokrotnie nadpisuje dane przed zmianą nazwy i usunięciem pliku, co utrudnia odzyskanie dowodów i wpisuje się w techniki obserwowane we wcześniejszych rodzinach malware przypisywanych Lazarusowi.

Istotnym elementem operacyjnym jest również sposób dostarczania finalnego payloadu. Badacze zaobserwowali, że serwer C2 nie zawsze przekazywał ładunek automatycznie po rejestracji klienta. Sugeruje to model operator-in-the-loop, w którym człowiek po stronie atakującego decyduje o momencie dalszej eskalacji działań.

Konsekwencje / ryzyko

RemotePE zwiększa skuteczność działań APT na kilku poziomach jednocześnie. Bezplikowy model wykonania ogranicza ślady dostępne dla klasycznej analizy dyskowej, wykorzystanie DPAPI utrudnia badanie próbek poza środowiskiem ofiary, a techniki unhookingu i osłabiania telemetryki zmniejszają szansę wykrycia przez standardowe mechanizmy ochronne.

Dla organizacji oznacza to podwyższone ryzyko długotrwałej, niezauważonej obecności napastnika. Taki implant może posłużyć do rekonesansu, eksfiltracji danych, kradzieży poświadczeń, wdrożenia kolejnych modułów lub przeprowadzenia finalnej operacji finansowej. Szczególnie narażone pozostają środowiska przetwarzające wrażliwe dane, systemy uprzywilejowane oraz infrastruktura związana z aktywami finansowymi i kryptowalutowymi.

Rekomendacje

W obliczu zagrożeń takich jak RemotePE organizacje powinny rozszerzyć monitoring poza tradycyjne wskaźniki plikowe. Kluczowe staje się obserwowanie zachowań procesów, działań w pamięci oraz nietypowego użycia mechanizmów DPAPI. Szczególną uwagę warto zwracać na biblioteki DLL podszywające się pod legalne usługi systemowe, anomalie w katalogach systemowych oraz nietypowe wzorce ładowania modułów.

Na poziomie endpointów zalecane jest monitorowanie prób modyfikacji ETW, remapowania bibliotek systemowych i zachowań sugerujących reflective loading. Warto również wdrożyć mechanizmy inspekcji pamięci, kontrolę aplikacyjną oraz analitykę umożliwiającą wykrywanie nadużyć związanych z bezpośrednimi syscallami.

Po stronie sieci istotne będzie profilowanie ruchu HTTP, identyfikacja długotrwałych sesji beaconingowych oraz analiza niestandardowego wykorzystania nagłówków Cookie. Sama komunikacja może przypominać legalny ruch korporacyjny, dlatego duże znaczenie ma korelacja danych sieciowych z kontekstem procesowym i hostowym.

  • wzmocnienie ochrony stacji uprzywilejowanych i systemów obsługujących aktywa finansowe,
  • ograniczenie uruchamiania nieautoryzowanych bibliotek DLL oraz wdrożenie kontroli aplikacyjnej,
  • pełne logowanie zdarzeń procesowych i sieciowych z centralną korelacją,
  • regularne polowania zagrożeń pod kątem pamięciowych RAT-ów i nadużyć DPAPI,
  • szkolenia przeciwko socjotechnice wykorzystującej fałszywe procesy rekrutacyjne i komunikację biznesową.

Podsumowanie

RemotePE pokazuje, że Lazarus konsekwentnie inwestuje w narzędzia zapewniające skrytość, odporność na analizę i długotrwałe utrzymanie dostępu. Połączenie szyfrowania z użyciem DPAPI, działania wyłącznie w pamięci, mechanizmów unikania EDR oraz ręcznie sterowanego dostarczania ładunku tworzy zagrożenie szczególnie istotne dla organizacji o wysokiej wartości biznesowej.

Dla obrońców najważniejszy wniosek jest jasny: skuteczna detekcja nowoczesnych kampanii APT wymaga odejścia od podejścia opartego wyłącznie na plikach i hashach. Coraz większe znaczenie mają monitoring pamięci, analiza zachowań procesów oraz identyfikowanie subtelnych wzorców komunikacji z infrastrukturą sterującą.

Źródła

  1. Security Affairs — https://securityaffairs.com/192666/apt/lazarus-apt-unveils-fileless-remote-access-trojan-designed-to-evade-detection.html
  2. Fox-IT — https://blog.fox-it.com/2026/05/22/remotepe-the-lazarus-rat-that-lives-in-memory/

Nimbus Manticore rozszerza kampanie APT: malware wspomagane przez AI, fałszywe instalatory Zoom i SEO poisoning

Cybersecurity news

Wprowadzenie do problemu / definicja

Nimbus Manticore to grupa APT powiązana z Iranem, znana z prowadzenia operacji ukierunkowanych na sektory o wysokiej wartości wywiadowczej, takie jak lotnictwo, telekomunikacja, technologie oraz obronność. Najnowsze ustalenia pokazują, że aktor ten rozbudował swój arsenał o nowe metody dostarczania malware, łącząc klasyczny spear phishing z fałszywymi instalatorami popularnych aplikacji, technikami SEO poisoning oraz narzędziami, które mogą nosić ślady rozwoju wspomaganego przez AI.

Ta ewolucja wskazuje na zmianę modelu operacyjnego: od precyzyjnych kampanii wymierzonych w wybrane osoby do bardziej skalowalnych ataków, w których ofiara sama trafia na złośliwą infrastrukturę podczas wyszukiwania legalnego oprogramowania.

W skrócie

  • Grupa nadal wykorzystuje przynęty rekrutacyjne i podszywa się pod organizacje z sektorów strategicznych.
  • W kampanii pojawił się spreparowany instalator Zoom, zaprojektowany tak, aby imitować legalny proces instalacji i ułatwiać utrzymanie persystencji.
  • Atakujący zastosowali SEO poisoning, aby kierować użytkowników na fałszywe strony pobierania oprogramowania.
  • Zaobserwowano nowy backdoor MiniFast, oceniany jako bardziej dojrzały i funkcjonalny niż wcześniejsze narzędzia grupy.
  • Badacze zwrócili uwagę na cechy kodu sugerujące możliwość wykorzystania narzędzi AI podczas tworzenia malware.

Kontekst / historia

Nimbus Manticore od dłuższego czasu funkcjonuje w krajobrazie cyberzagrożeń jako aktor prowadzący operacje szpiegowskie. Wcześniejsze kampanie tej grupy bazowały głównie na ukierunkowanym phishingu, często wykorzystującym fikcyjne procesy rekrutacyjne i fałszywe oferty pracy. Tego rodzaju przynęty były starannie dopasowywane do profilu ofiary, zwłaszcza w branżach lotniczej, technologicznej i telekomunikacyjnej.

Obecna kampania pokazuje jednak istotne rozszerzenie sposobu działania. Zamiast polegać wyłącznie na bezpośrednim kontakcie z ofiarą, operatorzy zaczęli wykorzystywać metody pozwalające zwiększyć zasięg i liczbę potencjalnych kompromitacji. Oznacza to przejście od modelu ściśle ukierunkowanego do modelu bardziej hybrydowego, łączącego precyzję działań APT z technikami powszechnie spotykanymi w cyberprzestępczości masowej.

Analiza techniczna

W pierwszej fazie kampanii wykorzystywano archiwa ZIP dostarczane pod pretekstem ofert zatrudnienia. W ich wnętrzu znajdował się legalnie podpisany plik wykonywalny Microsoftu oraz złośliwa konfiguracja służąca do nadużycia mechanizmu AppDomain hijacking w środowisku .NET. Taki scenariusz umożliwiał załadowanie nieautoryzowanej biblioteki DLL w kontekście zaufanego procesu, co istotnie utrudniało detekcję. Na tym etapie dostarczany był wariant wcześniejszego backdoora MiniJunk.

Druga faza kampanii przyniosła bardziej zaawansowane techniki. Szczególną uwagę zwrócił fałszywy instalator Zoom, który nie ograniczał się do prostego podszycia pod znaną aplikację. Został on zaprojektowany tak, aby możliwie wiernie odtwarzać logikę legalnej instalacji. Malware monitorowało utworzenie określonego zadania harmonogramu kojarzonego z prawidłową instalacją Zoom, a następnie wykorzystywało ten element do zapewnienia persystencji. Dzięki temu kompromitacja mogła przebiegać z mniejszą liczbą widocznych anomalii po stronie użytkownika.

W tej samej fali badacze odnotowali nowy backdoor MiniFast. To narzędzie oferuje zestaw funkcji typowych dla dojrzałego trojana zdalnego dostępu, w tym operacje na plikach, zarządzanie procesami, ładowanie bibliotek DLL i działania wspierające eskalację uprawnień. Analiza kodu wskazała także na wzorce, które mogą sugerować rozwój wspomagany przez AI, takie jak nadmiarowa obsługa błędów, rozbudowana logika defensywna wokół prostych wywołań API, przesadnie opisowe nazewnictwo funkcji oraz modułowa struktura nieproporcjonalna do rzeczywistej złożoności programu.

Trzecia faza była związana z zastosowaniem SEO poisoning. Atakujący zarejestrowali wiele domen i podjęli działania zwiększające ich widoczność w wyszukiwarkach, aby promować fałszywe strony pobierania oprogramowania. W jednym z przypadków celem imitacji była legalna dystrybucja narzędzia dla programistów baz danych. To ważna zmiana operacyjna, ponieważ infekcja nie wymagała już wcześniejszej wiadomości phishingowej. Wystarczyło, że użytkownik wyszukał potrzebny instalator i trafił na spreparowaną witrynę.

Konsekwencje / ryzyko

Największe zagrożenie wynika z połączenia wiarygodnej socjotechniki, nadużywania zaufanych procesów instalacyjnych oraz skalowalnej dystrybucji przez wyszukiwarki. Taki model zwiększa skuteczność ataków, a jednocześnie obniża koszt operacyjny po stronie napastnika.

Ryzyko jest szczególnie wysokie w środowiskach, w których pracownicy regularnie pobierają komunikatory, narzędzia administracyjne, klienty VPN, pakiety deweloperskie lub aktualizacje oprogramowania. Fałszywe instalatory wpisują się w codzienne procesy biznesowe, przez co łatwiej przechodzą niezauważone. Dodatkowo wykorzystywanie podpisanych lub zaufanych komponentów jako elementów łańcucha infekcji utrudnia wykrycie przez klasyczne rozwiązania bezpieczeństwa.

Jeśli komponenty malware są rzeczywiście rozwijane szybciej dzięki wsparciu AI, organizacje muszą liczyć się z krótszym cyklem życia wskaźników kompromitacji. Oznacza to, że warianty loaderów i backdoorów mogą być częściej modyfikowane, a reguły detekcyjne szybciej tracą skuteczność.

Rekomendacje

Podstawowym krokiem obronnym powinno być ograniczenie możliwości pobierania oprogramowania z nieautoryzowanych źródeł. Kontrola aplikacji, stosowanie list dopuszczonych repozytoriów oraz egzekwowanie pobrań wyłącznie z zatwierdzonych kanałów znacząco ograniczają skuteczność kampanii opartych na SEO poisoning.

W środowiskach Windows warto monitorować zdarzenia, które mogą wskazywać na taki łańcuch infekcji:

  • tworzenie i modyfikację zadań harmonogramu,
  • nietypowe ładowanie bibliotek DLL przez zaufane procesy,
  • uruchamianie podpisanych binariów z niestandardowymi plikami konfiguracyjnymi,
  • aktywność procesów instalacyjnych odbiegającą od znanego wzorca dla legalnych aplikacji,
  • anomalia związane z ładowaniem assembly i AppDomain w środowisku .NET.

Z perspektywy zespołów SOC i threat huntingu kluczowe jest korelowanie zdarzeń: pobrania archiwum z internetu, uruchomienia legalnego pliku wykonywalnego, załadowania nieznanej biblioteki, a następnie ustanowienia persystencji. Taki kontekst zdarzeń może ujawnić kompromitację, która pojedynczo nie wzbudziłaby alarmu.

Organizacje powinny również:

  • szkolić użytkowników w zakresie rozpoznawania fałszywych ofert pracy i stron pobierania,
  • wdrożyć ochronę DNS oraz filtrowanie kategorii domen,
  • weryfikować reputację nowych domen związanych z dystrybucją oprogramowania,
  • regularnie aktualizować reguły EDR, IOC i mechanizmy detekcji heurystycznej,
  • prowadzić hunting pod kątem artefaktów MiniJunk, MiniFast oraz nietypowych zachowań instalatorów.

Podsumowanie

Kampania Nimbus Manticore pokazuje, że współczesne grupy APT coraz częściej łączą klasyczne techniki szpiegowskie z bardziej skalowalnymi metodami dystrybucji malware. Fałszywe instalatory Zoom, nadużycie AppDomain hijacking oraz SEO poisoning tworzą wielowarstwowy łańcuch infekcji, który może być skuteczny zarówno wobec starannie wybranych celów, jak i wobec użytkowników poszukujących legalnego oprogramowania.

Pojawienie się backdoora MiniFast oraz oznak rozwoju wspomaganego przez AI sugeruje, że tempo ewolucji tego zagrożenia może rosnąć. W praktyce oznacza to konieczność łączenia twardych kontroli technicznych, bieżącej analizy telemetrii i stałego monitoringu operacyjnego.

Źródła

  1. Nimbus Manticore Expanded Attacks With AI-Assisted Malware and Fake Zoom Installers — https://securityaffairs.com/192689/apt/nimbus-manticore-expanded-attacks-with-ai-assisted-malware-and-fake-zoom-installers.html
  2. Check Point Research report on Nimbus Manticore — https://research.checkpoint.com/

Holandia przejęła 800 serwerów. Uderzenie w zaplecze cyberataków i obchodzenie sankcji

Cybersecurity news

Wprowadzenie do problemu / definicja

Holenderskie służby przeprowadziły szeroko zakrojoną operację przeciwko infrastrukturze hostingowej, która według ustaleń śledczych mogła wspierać cyberataki, działania dezinformacyjne oraz aktywność powiązaną z rosyjskim ekosystemem zagrożeń. Sprawa pokazuje, że współczesne operacje cybernetyczne opierają się nie tylko na złośliwym oprogramowaniu i grupach APT, ale również na komercyjnej infrastrukturze sieciowej dostarczanej przez operatorów hostingu, usług proxy i łączności.

To właśnie warstwa infrastrukturalna staje się dziś jednym z kluczowych pól walki z cyberprzestępczością i działaniami hybrydowymi. Przejęcie serwerów oraz zatrzymania osób podejrzanych o wspieranie takich operacji oznaczają, że organy ścigania coraz częściej celują nie tylko w bezpośrednich sprawców, ale także w podmioty zapewniające im techniczne zaplecze.

W skrócie

FIOD zatrzymała 18 maja 2026 r. dwóch mężczyzn w wieku 57 i 39 lat w ramach śledztwa dotyczącego możliwego naruszenia unijnych sankcji. W toku działań przeszukano kilka lokalizacji biznesowych i dwa centra danych oraz zabezpieczono ponad 800 serwerów.

  • zatrzymano dwie osoby podejrzane o wspieranie działalności objętej sankcjami,
  • przejęto ponad 800 serwerów,
  • śledztwo dotyczy infrastruktury wykorzystywanej m.in. do ataków DDoS i usług anonimizujących,
  • sprawa może mieć znaczenie dla walki z obchodzeniem sankcji i operacjami wpływu.

Kontekst / historia

Tło sprawy sięga co najmniej lat 2024–2025, kiedy coraz częściej wskazywano na rolę komercyjnych dostawców hostingu i usług sieciowych w umożliwianiu działań hybrydowych przypisywanych rosyjskiemu zapleczu operacyjnemu. W centrum zainteresowania znalazły się podmioty, które miały zapewniać infrastrukturę dla kampanii DDoS, maskowania źródeł ruchu i obsługi usług proxy.

Szczególne znaczenie miały unijne sankcje nałożone w maju 2025 r. na wybrane podmioty i osoby powiązane z ekosystemem wspierającym destabilizujące działania Rosji. Według opisu sprawy część aktywów infrastrukturalnych i obsługiwanych usług miała po wejściu sankcji zostać przeniesiona do nowych bytów organizacyjnych. Tego typu reorganizacja jest znanym mechanizmem utrudniającym egzekwowanie restrykcji, ponieważ zmienia formalnego operatora, ale niekoniecznie zmienia funkcję samej infrastruktury.

Dodatkowy ciężar sprawie nadają doniesienia o wykorzystywaniu podobnej infrastruktury w operacjach wymierzonych w instytucje publiczne i cele europejskie w okresach szczególnie wrażliwych politycznie. W efekcie mamy do czynienia nie tylko z zagadnieniem cyberprzestępczości, ale również z problemem odporności państw na działania hybrydowe.

Analiza techniczna

Technicznie sprawa nie dotyczy jednego incydentu, lecz całego modelu świadczenia usług infrastrukturalnych, które mogą być wykorzystywane przez aktorów prowadzących wrogie operacje. Chodzi o połączenie hostingu, anonimizacji, zasobów sieciowych i elastycznego zarządzania aktywami w taki sposób, aby utrudniać atrybucję i zapewniać ciągłość działań.

  • serwery dedykowane i VPS umożliwiające uruchamianie narzędzi ofensywnych,
  • usługi proxy oraz mechanizmy anonimizacji ruchu,
  • tranzyt i peering zapewniające stabilną obecność w sieci,
  • szybkie przenoszenie zasobów między formalnie niezależnymi podmiotami,
  • rozproszenie infrastruktury pomiędzy różnymi centrami danych.

Z perspektywy operacyjnej taka infrastruktura pełni rolę warstwy pośredniej. Atakujący nie muszą prowadzić działań bezpośrednio z systemów, które można łatwo przypisać konkretnej grupie lub państwu. Wystarczy, że korzystają z usług operatorów zapewniających hosting, connectivity i ukrywanie źródeł ruchu.

W tym przypadku istotne są trzy elementy. Po pierwsze, mowa o zapleczu dla ataków DDoS, a więc o infrastrukturze wymagającej dużej przepustowości i wysokiej dostępności. Po drugie, wskazywano na rolę usług proxy i anonimowości, które mogą być wykorzystywane do rekonesansu, nadużyć reklamowych, credential stuffingu, spamu czy ukrywania źródła połączeń. Po trzecie, pojawia się motyw transferu aktywów do nowych podmiotów po wprowadzeniu sankcji, co mogło obejmować zmianę operatora ASN, właściciela sprzętu, modelu rozliczeń lub routingu bez rzeczywistego przerwania świadczenia usług.

Przejęcie ponad 800 serwerów ma znaczenie zarówno dowodowe, jak i operacyjne. Tego typu działanie może jednocześnie przerwać aktywne kampanie, utrudnić obsługę klientów wysokiego ryzyka oraz dostarczyć śledczym logów, konfiguracji, danych bilingowych i artefaktów zarządzania infrastrukturą. To z kolei pomaga mapować łańcuch dostaw usług wspierających cyberprzestępczość oraz działania sponsorowane przez państwa.

Konsekwencje / ryzyko

Najważniejszym skutkiem tej operacji jest potwierdzenie, że dostawcy infrastruktury sieciowej stają się pełnoprawnym celem egzekwowania sankcji oraz działań policyjno-prokuratorskich. Dla branży hostingowej, operatorów łączności i pośredników infrastrukturalnych oznacza to wzrost ryzyka prawnego, operacyjnego i reputacyjnego.

  • świadczenie usług podmiotom objętym restrykcjami może prowadzić do odpowiedzialności prawnej,
  • ignorowanie wiarygodnych zgłoszeń nadużyć zwiększa ryzyko interwencji służb,
  • ukrywanie tożsamości klientów wysokiego ryzyka może zostać uznane za wspieranie działalności szkodliwej,
  • schematy szybkiej migracji zasobów mogą być postrzegane jako próba obchodzenia sankcji.

Z perspektywy obronnej rozbijanie infrastruktury pośredniej bywa skuteczniejsze niż neutralizowanie pojedynczych kampanii phishingowych czy botnetów. Uderza bowiem w zdolność przeciwnika do odbudowy zaplecza, ponownego uruchamiania usług i ukrywania ruchu. Dla przedsiębiorstw oznacza to także konieczność dokładniejszej oceny dostawców, ponieważ korzystanie z usług operatora powiązanego z ekosystemem wysokiego ryzyka może prowadzić do problemów compliance i zakłóceń operacyjnych.

Nie można też pominąć skutków ubocznych. W środowisku wielodzierżawnym obok podmiotów wysokiego ryzyka mogą działać również legalni klienci, którzy odczują skutki przejęcia infrastruktury. To zwiększa znaczenie planów ciągłości działania, kopii zapasowych i dywersyfikacji dostawców usług krytycznych.

Rekomendacje

Organizacje powinny potraktować sprawę z Holandii jako wyraźny sygnał ostrzegawczy i przeanalizować własne zależności infrastrukturalne. Bezpieczeństwo nie kończy się dziś na zabezpieczeniu aplikacji i stacji roboczych, ale obejmuje cały łańcuch dostaw usług sieciowych.

  • przeprowadzić due diligence dostawców hostingu, VPS, proxy, CDN i tranzytu IP,
  • sprawdzać strukturę właścicielską, historię nadużyć i zgodność z sankcjami,
  • identyfikować pośrednich dostawców infrastruktury, takich jak resellerzy, operatorzy ASN i centra danych,
  • wzmacniać monitoring ruchu pochodzącego z sieci proxy i VPS wysokiego ryzyka,
  • łączyć działania zespołów prawnych, zakupowych i bezpieczeństwa w ocenie dostawców,
  • utrzymywać kopie zapasowe poza środowiskiem dostawcy i testować scenariusze migracji awaryjnej,
  • rozszerzyć działania threat intelligence o analizę operatorów infrastruktury, zakresów IP i zaplecza korporacyjnego.

Podsumowanie

Operacja przeprowadzona w Holandii pokazuje rosnącą determinację europejskich organów w zwalczaniu zaplecza technicznego wykorzystywanego do cyberataków, operacji wpływu i obchodzenia sankcji. Przejęcie ponad 800 serwerów oraz zatrzymanie dwóch podejrzanych to wyraźny sygnał, że odpowiedzialność może obejmować nie tylko bezpośrednich sprawców kampanii, ale także podmioty dostarczające im kluczowe zasoby infrastrukturalne.

Dla rynku oznacza to nowy poziom presji na zgodność, przejrzystość i reakcję na nadużycia. Dla organizacji broniących swoich środowisk najważniejszy wniosek jest prosty: cyberbezpieczeństwo trzeba oceniać również na poziomie dostawców hostingu, tranzytu, proxy i całego zaplecza infrastrukturalnego.

Źródła

  1. Krebs on Security
  2. FIOD
  3. EUR-Lex / Official Journal of the European Union
  4. Official Journal of the European Union

Lazarus rozwija pamięciozny RAT RemotePE w atakach na sektor finansowy i kryptowalutowy

Cybersecurity news

Wprowadzenie do problemu / definicja

Grupa Lazarus ponownie zwróciła uwagę analityków bezpieczeństwa, wykorzystując w ukierunkowanych kampaniach złośliwe oprogramowanie RemotePE. To trojan zdalnego dostępu typu memory-only, który działa wyłącznie w pamięci operacyjnej i nie pozostawia klasycznych artefaktów na dysku. Taka charakterystyka znacząco utrudnia wykrywanie incydentu, analizę śledczą oraz szybką ocenę skali kompromitacji.

Nowa kampania koncentruje się na organizacjach z sektora finansowego oraz firmach związanych z rynkiem kryptowalut. To kolejny przykład ewolucji narzędzi wykorzystywanych przez zaawansowane grupy APT do prowadzenia długotrwałych, skrytych operacji przeciwko celom o wysokiej wartości biznesowej.

W skrócie

RemotePE to wieloetapowy zestaw narzędzi używany w kampaniach przypisywanych Lazarus. Łańcuch infekcji obejmuje komponenty DPAPILoader oraz RemotePELoader, które odpowiadają za odszyfrowanie ładunku, komunikację z infrastrukturą dowodzenia i kontroli oraz uruchomienie finalnego RAT-a bez zapisu na dysku.

  • atak rozpoczyna się od socjotechniki i podszywania się pod zaufane podmioty,
  • malware wykorzystuje etapowe ładowanie komponentów,
  • finalny ładunek uruchamiany jest wyłącznie w pamięci,
  • RemotePE obsługuje operacje na plikach, procesach i modułach DLL,
  • kampania zawiera mechanizmy utrudniające analizę i omijające część telemetrii.

Kontekst / historia

Lazarus od lat pozostaje jedną z najczęściej opisywanych grup APT powiązywanych z operacjami szpiegowskimi, sabotażowymi i finansowo motywowanymi. Jej aktywność regularnie obejmuje instytucje finansowe, giełdy aktywów cyfrowych, projekty DeFi oraz organizacje przetwarzające cenne dane transakcyjne.

Z opublikowanych analiz wynika, że RemotePE był wcześniej łączony z incydentami dotyczącymi środowisk zdecentralizowanych finansów. Najnowsze ustalenia sugerują, że narzędzie było rozwijane przez dłuższy czas, a dostępne próbki wskazują na aktywny rozwój co najmniej od połowy 2023 do połowy 2024 roku. To oznacza inwestowanie w dojrzały, wyspecjalizowany zestaw przeznaczony do długoterminowych operacji przeciwko wyselekcjonowanym ofiarom.

Analiza techniczna

Opisany łańcuch ataku ma charakter wieloetapowy i zaczyna się od socjotechniki. Operatorzy podszywają się pod pracowników firm handlowych lub partnerów biznesowych, wykorzystując fałszywe strony do umawiania spotkań i budowania wiarygodności. Taki model dostępu początkowego pozostaje zgodny z dobrze znanymi taktykami Lazarusa, który łączy precyzyjny rekonesans z ukierunkowanym phishingiem.

Po kompromitacji stacji roboczej uruchamiany jest komponent DPAPILoader, identyfikowany między innymi jako biblioteka DLL. Jego rolą jest odszyfrowanie kolejnego ładunku z użyciem mechanizmu Windows Data Protection API. W praktyce utrudnia to analizę poza środowiskiem ofiary, ponieważ odszyfrowanie danych może być powiązane z konkretnym kontekstem użytkownika lub systemu.

Kolejny etap stanowi RemotePELoader, odpowiedzialny za komunikację z serwerem C2 oraz pobranie właściwego modułu RemotePE. Finalny RAT nie jest klasycznie zapisywany na dysku, lecz wykonywany bezpośrednio w pamięci. To istotnie ogranicza liczbę śladów w systemie plików i zmniejsza skuteczność detekcji opierającej się głównie na artefaktach dyskowych.

Według analizy malware wykorzystuje również techniki utrudniające wykrycie. Wśród nich pojawiają się próby ingerencji w ścieżki związane z telemetrią systemową, w tym Event Tracing for Windows. Tego rodzaju działania mogą ograniczać widoczność aktywności procesu dla narzędzi bezpieczeństwa korzystających z natywnej telemetrii Windows.

Sam RemotePE został opisany jako RAT napisany w C++, który cyklicznie komunikuje się z infrastrukturą C2 i oczekuje na polecenia operatora. Zakres funkcji obejmuje zarówno zarządzanie konfiguracją połączenia, jak i operacje typowe dla pełnoprawnego narzędzia do zdalnej kontroli systemu.

  • pobieranie i modyfikacja konfiguracji C2,
  • zmiana katalogu roboczego,
  • rejestracja, listowanie i wyładowywanie modułów DLL,
  • operacje na plikach,
  • listowanie procesów oraz uruchamianie i kończenie procesów,
  • wstrzymywanie działania malware lub jego zakończenie,
  • komunikacja kontrolna typu ping z serwerem.

Na szczególną uwagę zasługuje mechanizm usuwania plików. Zamiast prostego skasowania obiektu malware wielokrotnie nadpisuje jego zawartość stałymi bajtami, następnie zmienia nazwę i dopiero usuwa plik. To wskazuje na świadome utrudnianie odzyskania danych i rekonstrukcji przebiegu incydentu w trakcie analizy powłamaniowej.

Konsekwencje / ryzyko

Największe zagrożenie wynika z połączenia kilku cech operacyjnych: socjotechnicznego wejścia, etapowego ładowania, wykonania wyłącznie w pamięci, niskiej widoczności śledczej oraz precyzyjnego doboru celów. W praktyce organizacja może pozostawać skompromitowana przez dłuższy czas bez jednoznacznych wskaźników w logach lub systemie plików.

Dla sektora finansowego i kryptowalutowego oznacza to ryzyko kradzieży danych, przejęcia dostępu do systemów transakcyjnych, manipulacji procesami operacyjnymi oraz przygotowania gruntu pod eksfiltrację informacji lub kradzież środków. W środowiskach z rozbudowanym dostępem uprzywilejowanym nawet pojedyncza skuteczna kompromitacja stacji roboczej może stać się początkiem znacznie szerszej operacji.

Dodatkowym problemem jest niski profil publiczny tego typu narzędzi. Malware o ograniczonej ekspozycji i niskim wskaźniku detekcji bywa wykorzystywany selektywnie, przeciwko organizacjom posiadającym szczególnie cenne aktywa, dane lub możliwości operacyjne.

Rekomendacje

Skuteczna obrona przed podobnymi kampaniami wymaga równoczesnego wzmacniania warstwy użytkownika, endpointów, sieci oraz mechanizmów detekcji behawioralnej. Same sygnatury plikowe nie są wystarczające wobec zagrożeń klasy memory-only.

  • prowadzić szkolenia ukierunkowane na phishing personalizowany i podszywanie się pod partnerów biznesowych,
  • weryfikować zaproszenia do spotkań, komunikację przez komunikatory oraz nowe domeny powiązane z organizacją,
  • egzekwować potwierdzanie nietypowych próśb drugim kanałem komunikacji,
  • monitorować nietypowe ładowanie bibliotek DLL i procesy z podejrzanymi zależnościami,
  • analizować zdarzenia wskazujące na deszyfrowanie i uruchamianie ładunków w pamięci,
  • wykrywać anomalie związane z użyciem natywnych API, iniekcją kodu i modyfikacją telemetrii,
  • rozszerzyć playbooki IR o memory forensics i zbieranie artefaktów z pamięci operacyjnej,
  • korelować ruch HTTP i HTTPS do rzadko obserwowanych domen oraz serwerów C2,
  • monitorować procesy utrzymujące okresową komunikację beaconingową,
  • stosować segmentację środowisk administracyjnych, transakcyjnych i użytkowych,
  • minimalizować uprawnienia lokalne i ograniczać dostęp do wrażliwych zasobów,
  • wdrożyć odporne na phishing mechanizmy MFA tam, gdzie to możliwe.

Podsumowanie

Kampania wykorzystująca RemotePE potwierdza, że Lazarus nadal rozwija wyspecjalizowane narzędzia do skrytych, długotrwałych operacji przeciwko sektorowi finansowemu i kryptowalutowemu. Kluczowym elementem zagrożenia jest tu model działania wyłącznie w pamięci, który ogranicza liczbę artefaktów i utrudnia tradycyjne wykrywanie.

Połączenie socjotechniki, wieloetapowego ładowania, prób obchodzenia telemetrii oraz funkcjonalności pełnoprawnego RAT-a sprawia, że RemotePE stanowi poważne zagrożenie dla organizacji przetwarzających aktywa i dane o wysokiej wartości. Obrona wymaga nie tylko działań prewencyjnych, lecz także dojrzałej widoczności telemetrycznej, monitorowania pamięci oraz aktywnego threat huntingu.

Źródła

Project Glasswing wykrył ponad 10 tys. luk. AI przyspiesza identyfikację podatności szybciej niż firmy są w stanie łatać systemy

Cybersecurity news

Wprowadzenie do problemu / definicja

Rozwój modeli sztucznej inteligencji wykorzystywanych w cyberbezpieczeństwie radykalnie zmienia tempo identyfikacji podatności. Narzędzia oparte na AI potrafią analizować ogromne wolumeny kodu, wskazywać potencjalne błędy bezpieczeństwa i wspierać ekspertów w ocenie ryzyka szybciej niż tradycyjne metody ręczne lub klasyczne skanery. Jednocześnie pojawia się nowy problem operacyjny: organizacje często nie są w stanie nadążyć z usuwaniem wykrytych luk.

Project Glasswing jest przykładem tego trendu. Inicjatywa pokazała, że możliwości wykrywania słabości w popularnym oprogramowaniu open source rosną szybciej niż zdolność ekosystemu do remediacji, co zwiększa ryzyko wydłużenia okna ekspozycji na atak.

W skrócie

Według opisu projektu Glasswing w ciągu jednego miesiąca zidentyfikowano ponad 10 tys. poważnych podatności lub kandydatów na podatności w ponad tysiącu projektów open source. Po ręcznej walidacji potwierdzono 1726 realnych, możliwych do wykorzystania luk, z czego 1094 uznano za podatności wysokiego lub krytycznego ryzyka.

Najważniejszy wniosek nie dotyczy jednak wyłącznie skali wykryć. Kluczowe jest to, że tempo identyfikacji błędów dzięki AI zaczyna wyraźnie przewyższać tempo wdrażania poprawek, co tworzy nową asymetrię między obrońcami a potencjalnymi napastnikami.

Kontekst / historia

Przez lata wykrywanie podatności było ograniczane przez dostępność specjalistów, koszty analizy kodu oraz czas potrzebny na ocenę wpływu błędu. Narzędzia statycznej i dynamicznej analizy kodu wspierały zespoły bezpieczeństwa, ale generowały również dużą liczbę wyników wymagających ręcznej weryfikacji.

Nowoczesne modele AI zmieniają ten paradygmat. Zamiast wyłącznie wskazywać podejrzane wzorce, potrafią analizować zależności logiczne, ścieżki wykonania i możliwe scenariusze nadużycia. W efekcie poprawia się nie tylko liczba wykryć, ale również jakość wstępnej analizy, co jest szczególnie istotne w środowiskach opartych na złożonych łańcuchach zależności open source.

Glasswing został przedstawiony jako inicjatywa defensywna ukierunkowana na ochronę krytycznego oprogramowania. Sam projekt dobrze ilustruje szerszą zmianę w branży: bezpieczeństwo łańcucha dostaw staje się jednym z głównych obszarów ryzyka, ponieważ pojedyncza podatna biblioteka może wpływać na tysiące wdrożeń w różnych sektorach.

Analiza techniczna

Z technicznego punktu widzenia najważniejsza jest nie tylko liczba zgłoszeń, ale także proces selekcji i walidacji. AI wskazała 6202 kandydatów na luki wysokiego lub krytycznego ryzyka, jednak dopiero ręczna analiza pozwoliła potwierdzić 1726 rzeczywistych podatności. To pokazuje, że nawet zaawansowane modele nie eliminują potrzeby pracy ekspertów AppSec i DevSecOps.

W praktyce skuteczna obsługa takich wyników nadal wymaga oceny kilku kluczowych elementów:

  • czy błąd jest faktycznie osiągalny w realnym scenariuszu,
  • jakie są warunki jego wykorzystania,
  • jaki wpływ ma podatność na poufność, integralność i dostępność,
  • czy możliwe jest bezpieczne wdrożenie poprawki bez regresji,
  • jaki powinien być priorytet remediacji w kontekście biznesowym.

Szczególnie istotnym przykładem jest krytyczna luka w bibliotece WolfSSL oznaczona jako CVE-2026-5194, oceniona na 9.1 w skali CVSS. Problem miał umożliwiać fałszowanie certyfikatów i podszywanie się pod legalne usługi. To wyjątkowo niebezpieczny scenariusz, ponieważ biblioteki kryptograficzne są szeroko wykorzystywane w urządzeniach IoT, infrastrukturze sieciowej i systemach przemysłowych, a ich kompromitacja może podważyć zaufanie do szyfrowanej komunikacji.

Warto też zauważyć, że AI w opisywanym wdrożeniu nie ograniczała się do samej analizy kodu. Wskazano również zastosowanie modelu do wykrycia podejrzanej próby oszustwa finansowego związanego z przelewem wysokokwotowym, co pokazuje rozszerzenie wykorzystania tych technologii na obszary detekcji anomalii i fraudów.

Konsekwencje / ryzyko

Największe ryzyko wynika dziś z rosnącej asymetrii pomiędzy szybkością wykrywania a szybkością łatania. Jeżeli AI jest w stanie wskazać tysiące potencjalnych problemów w bardzo krótkim czasie, a proces aktualizacji pozostaje zależny od wieloetapowych procedur i ograniczonych zasobów, organizacje zaczynają gromadzić backlog podatności szybciej, niż są w stanie go redukować.

Dla firm i instytucji oznacza to kilka równoległych zagrożeń:

  • wzrost liczby nieobsłużonych zgłoszeń bezpieczeństwa,
  • przeciążenie zespołów odpowiedzialnych za triage i patch management,
  • wyższe ryzyko wykorzystania luk w komponentach open source,
  • pogorszenie bezpieczeństwa łańcucha dostaw oprogramowania,
  • możliwość upowszechnienia podobnych zdolności po stronie ofensywnej.

W dłuższej perspektywie może to oznaczać, że przewaga obrońców będzie jedynie czasowa. Gdy podobne narzędzia staną się szerzej dostępne, automatyczne wyszukiwanie i łączenie podatności w realistyczne łańcuchy ataku może zostać wykorzystane również przez cyberprzestępców i grupy APT.

Rekomendacje

Organizacje powinny traktować ten trend nie jako argument za wdrożeniem kolejnego skanera, ale jako sygnał do przebudowy procesów zarządzania podatnościami. Sama zdolność wykrywania nie wystarczy, jeśli nie towarzyszy jej szybka i dobrze priorytetyzowana remediacja.

  • Priorytetyzacja oparta na eksploatowalności: należy oceniać nie tylko wynik CVSS, ale też realną osiągalność błędu, ekspozycję systemu i znaczenie biznesowe zasobu.
  • Skrócenie czasu od wykrycia do poprawki: potrzebne są zautomatyzowane testy regresyjne, sprawne ścieżki akceptacji zmian i gotowość do szybkiego wdrażania aktualizacji.
  • Lepsza widoczność zależności open source: bez rzetelnej inwentaryzacji bibliotek i komponentów skuteczne łatanie staje się bardzo trudne.
  • Walidacja wyników generowanych przez AI: nawet trafne modele mogą generować fałszywe alarmy lub błędnie oceniać wpływ podatności.
  • Risk-based vulnerability management: warto mierzyć realną redukcję ekspozycji, a nie wyłącznie liczbę zamkniętych zgłoszeń.
  • Mechanizmy kompensacyjne: gdy szybkie łatanie nie jest możliwe, należy stosować segmentację, ograniczanie uprawnień, monitoring, WAF i inne kontrole tymczasowe.
  • Przygotowanie na wzrost liczby zgłoszeń: zespoły bezpieczeństwa i utrzymania powinny zakładać, że wolumen raportowanych luk będzie stale rosnąć.

Podsumowanie

Project Glasswing pokazuje, że cyberbezpieczeństwo wchodzi w fazę, w której wykrywanie podatności może być zautomatyzowane na niespotykaną wcześniej skalę. Ponad tysiąc potwierdzonych luk wysokiego i krytycznego ryzyka w ciągu jednego miesiąca to sygnał, że organizacje muszą rozwijać nie tylko zdolności detekcyjne, ale również procesy szybkiej remediacji.

Najważniejsze pytanie nie brzmi już, czy potrafimy znaleźć luki. Coraz częściej odpowiedź jest twierdząca. Prawdziwe wyzwanie polega na tym, czy przedsiębiorstwa zdołają usunąć je wystarczająco szybko, zanim podobne możliwości analityczne zostaną wykorzystane przez atakujących.

Źródła

  • https://securityaffairs.com/192576/ai/anthropics-glasswing-10000-vulnerabilities-found-in-one-month-and-the-patching-problem-has-never-been-more-obvious.html
  • https://www.anthropic.com/
  • https://nvd.nist.gov/vuln/detail/CVE-2026-5194