Tag: Cybersecurity

Wprowadzenie do problemu / definicja luki

30 października 2025 r. opisano kampanię phishingową wykorzystującą wiadomości bezpośrednie na LinkedIn, w której napastnicy podszywają się pod rekruterów/partnerów inwestycyjnych i „zapraszają” dyrektorów finansowych do dołączenia do zarządu nowo powstałego funduszu. Kliknięcie w link prowadzi do łańcucha przekierowań kończącego się stroną typu Adversary-in-the-Middle (AiTM) kradnącą zarówno dane logowania, jak i tokeny sesyjne Microsoft 365 — skutecznie omijając MFA. Kampanię zidentyfikował i zablokował zespół Push Security; szczegóły opisał BleepingComputer.

W skrócie

• Wektor dostarczenia: DM na LinkedIn, poza kontrolą bramki e-mail.
• Przynęta: ekskluzywne zaproszenie do „Executive Board” funduszu „Common Wealth” (w partnerstwie z „AMCO”).
• Łańcuch: Google open redirect → domeny .icu/.com kontrolowane przez atakujących → landing na Firebase Storage → „View with Microsoft” → Cloudflare Turnstile → fałszywa strona logowania Microsoft (AiTM).
• Cel: kradzież poświadczeń i tokenów sesyjnych (SSO), przejęcie skrzynki i aplikacji zależnych.

Kontekst / historia / powiązania

To druga w ciągu ~6 tygodni kampania LinkedIn-owa opisana przez Push Security, po wrześniowych spear-phishingach na kadrę kierowniczą firm technologicznych, gdzie użyto podobnych technik: legalnych usług (Google Sites, Microsoft Dynamics), wielowarstwowych przekierowań i mechanizmów antybotowych. Trend wpisuje się w szersze nadużycia „zaufanych” usług (link wrapping, hostingi chmurowe) do maskowania ładunków phishingowych.

Analiza techniczna / szczegóły luki

1) Przynęta socjotechniczna
Wiadomość na LinkedIn obiecuje prestiżową funkcję w radzie nowego funduszu inwestycyjnego, ukierunkowaną na CFO/VP Finance. Tego typu narracja mocno rezonuje z profilami finansowymi, minimalizując czujność i zwiększając CTR.

2) Łańcuch przekierowań i hosting na legalnych domenach
Atak wykorzystuje otwarte przekierowania Google, a następnie domeny jednorazowe (m.in. payrails-canaccord[.]icu, boardproposalmeet[.]com, sqexclusiveboarddirect[.]icu) i finalnie Firebase Storage stylizowany na „LinkedIn Cloud Share”. Taki miks utrudnia analizę URL i reputacji domen.

3) Anty-sandbox / anty-bot
Przed załadowaniem treści ofierze prezentowana jest bramka Cloudflare Turnstile. Rozwiązania tego typu blokują crawlery i automatyczną analizę proxy/SWG, wydłużając żywotność infrastruktur phishingowych.

4) AitM i kradzież sesji
Po przejściu Turnstile serwowana jest strona logowania Microsoft obsługiwana przez zestaw AiTM. Wprowadzenie hasła i przejście MFA skutkuje przechwyceniem cookies / tokenów i możliwością natychmiastowego przejęcia konta oraz downstream SSO (SharePoint, OneDrive, Teams, aplikacje SaaS).

5) TTP: nadużycia „zaufanych” łańcuchów linków
Badania Cloudflare z 2025 r. pokazują, że przestępcy coraz częściej kaskadują przekierowania przez rozpoznawalne usługi (nawet bezpieczeństwa/marketingu), aby zmylić filtry i analitykę. Obserwacja ta dobrze koreluje z bieżącą kampanią. (wniosek na podstawie zewnętrznego raportu)

Praktyczne konsekwencje / ryzyko

• Zasięg w organizacji: chóć DM trafiają na „konto osobiste” LinkedIn, skutki to kompromitacja tożsamości korporacyjnej (M365/Entra ID) i dostęp do systemów finansowych zintegrowanych przez SSO.
• Ryzyko wtórne: BEC, zmianę numerów rachunków (vendor fraud), eskalację do działów skarbu i controllingu, a następnie oszustwa płatnicze. FINRA ostrzegała już w 2025 r. o phishingu wymierzonym w sektor finansowy pod parasolem „komunikacji od władz/egzekutywy”.
• Detekcja utrudniona: brak artefaktów e-mail (SPF/DKIM/DMARC), rotacja domen, legalny hosting i bramki antybot komplikują IOC-based blocking.

Rekomendacje operacyjne / co zrobić teraz

Dla SecOps/Blue Team

1. Hunting w logach proxy/EDR za wzorcami: Google open-redirect → domeny .icu/.xyz/.top → *.firebasestorage.googleapis.com → bramki Turnstile → nietypowe logowania do Microsoft po „MFA success”.
2. Monitorowanie i unieważnianie tokenów: po incydencie wymuś sign-out of all sessions, rotację refresh tokenów i rejestrację urządzeń zgodnych.
3. Policy na poziomie przeglądarki: egzekwuj isolation/containment dla niezarządzanych domen chmurowych, włącz blokowanie znanych toolkitów AiTM, inspekcję w przeglądarce (where feasible). Warto rozważyć rozwiązania z detekcją w kontekście renderowanego DOM, a nie tylko reputacji.
4. SSO app review: przegląd nadanych uprawnień OAuth i „ghost logins”; blokowanie podejrzanych enterprise apps.
5. DLP & mailroom: reguły prewencyjne dla zmian rachunków dostawców + tryb potwierdzeń „out-of-band” przy przelewach wysokokwotowych (zwłaszcza >50k EUR).

Dla IT/Entra ID/M365

• Number matching + geofencing w MFA, Conditional Access z wymuszeniem Compliant/Hybrid-joined device dla aplikacji krytycznych, Continuous Access Evaluation i sign-in risk policies.
• Session controls: krótsze lifetimes dla tokenów, wymuszenie reauth dla akcji wrażliwych, blokada „legacy auth”.
• Defender for Cloud Apps: polityki anomalii (impossible travel, atypical OAuth consent), z alertem eskalacyjnym dla kont VIP.

Dla użytkowników VIP (CFO, VP Finance)

• Nie klikaj żadnych linków w DM na LinkedIn w sprawach „stanowisk/rad nadzorczych”. Zawsze weryfikuj out-of-band (telefon do znanej osoby/firmy).
• Jeśli zobaczysz „View with Microsoft” po nietypowym łańcuchu przekierowań lub captcha przed logowaniem — zgłoś do SOC i przerwij proces.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• Klasyczny BEC (CEO fraud) zwykle przychodzi e-mailem i żeruje na zaufaniu do „CEO/CFO”; obecna kampania omija e-mail, atakuje przez LinkedIn i kradnie sesję (AiTM), co daje natychmiastowy dostęp do całego ekosystemu M365 — to istotnie wyższa blast radius.
• Wcześniejsze kampanie na LinkedIn (wrzesień 2025) również stosowały legalne hostingi i warstwowe przekierowania; obecnie dodatkowo widać nacisk na Turnstile oraz motyw „rady nadzorczej” celujący w finanse.

Podsumowanie / kluczowe wnioski

• Phishing „poza e-mailem” rośnie — LinkedIn staje się realnym wektorem dla ataków na kadrę finansową.
• Kombinacja legalnych usług (Google/Firebase), anty-bot i AiTM skutecznie omija tradycyjne kontrole.
• Obrona wymaga detekcji w przeglądarce/na kliencie, skrócenia lifetime tokenów, twardych Conditional Access, a operacyjnie — huntingu po wzorcach przekierowań oraz higienie tożsamości.

Źródła / bibliografia

1. BleepingComputer: LinkedIn phishing targets finance execs with fake board invites (30.10.2025). (BleepingComputer)
2. Push Security: New phishing campaign targeting LinkedIn users (30.10.2025). (Push Security)
3. Push Security: How Push stopped a high-risk LinkedIn spear-phishing attack (08.09.2025). (Push Security)
4. Cloudflare: Attackers abusing link wrapping to deliver phishing payloads (30.07.2025). (cloudflare.com)
5. FINRA Cybersecurity Alert: Ongoing phishing impersonating FINRA executives (20.05.2025). (FINRA)

Wprowadzenie do problemu / definicja luki

Conduent — duży wykonawca usług dla administracji publicznej w USA (m.in. systemy Medicaid, child support, EBT, opłaty drogowe) — potwierdził naruszenie danych obejmujące ponad 10 mln osób. Śledztwo wykazało, że intruz utrzymywał dostęp do środowiska Conduent od 21 października 2024 r. do 13 stycznia 2025 r., co umożliwiło kradzież plików związanych z klientami spółki. Wg Conduent, skala dotyczy wielu stanów i sektorów, w tym opieki zdrowotnej oraz świadczeń społecznych.

W skrócie

• Okres włamania: 21.10.2024–13.01.2025. Wykrycie i „zdyscyplinowane odtwarzanie” usług nastąpiło w styczniu 2025 r.
• Skala: >10 mln poszkodowanych; np. setki tysięcy osób w poszczególnych stanach (TX, WA, SC, NH, ME).
• Dane: m.in. numery SSN, informacje medyczne i ubezpieczeniowe (zależnie od klienta/stanów).
• Atrybucja/roszczenia: atak został „zgloszony” przez grupę SafePay (roszczenie na kanałach przestępczych); Conduent potwierdził exfiltrację plików klientów w zgłoszeniu do SEC.
• Koszty reakcji: ok. 25 mln USD kosztów bezpośrednich (zgodnie z informacją w mediach branżowych za plikiem SEC).
• Publikacja danych: wg 8-K z 14.04.2025 r. spółce nie wiadomo, by wykradzione dane zostały upublicznione.

Kontekst / historia / powiązania

O incydencie zrobiło się głośno już w styczniu 2025 r., gdy doszło do opóźnień w wypłatach świadczeń (np. w Wisconsin). W kwietniu 2025 r. Conduent złożył do SEC raport 8-K potwierdzający exfiltrację plików związanych z ograniczoną liczbą klientów. Jesienią 2025 r. kolejne zawiadomienia do urzędów stanowych ujawniły pełniejszą skalę — ponad 10,5 mln pacjentów i odbiorców usług mogło zostać dotkniętych.

Analiza techniczna / szczegóły incydentu

• Wektor i trwałość dostępu: publicznie nie ujawniono konkretnego CVE czy techniki inicjalnej. Wiadomo natomiast, że napastnik utrzymywał wielo-tygodniowy dostęp do „ograniczonej części” środowiska IT, co umożliwiło etapową kradzież plików. (Własna rekonstrukcja na podstawie komunikatów spółki i mediów; brak wskazania np. na łańcuch MOVEit/Accellion).
• Zasięg danych: w dokumentach stanowych wymieniane są SSN, informacje medyczne i ubezpieczeniowe, zależnie od programu/klienta (np. Medicaid). Nie wszystkie osoby dotyczą te same kategorie danych.
• Ekspozycja sektorowa: uderzenie w szereg klientów z ochrony zdrowia (np. Blue Cross Blue Shield of Montana, Humana) i administracji stanowej zwiększa złożoność procesu notyfikacji oraz ryzyko wtórnych nadużyć.
• Status danych po kradzieży: wg 8-K Conduent, na dzień kwietnia 2025 r. brak dowodów upublicznienia danych (np. na forach). To może się jednak zmieniać w czasie.

Praktyczne konsekwencje / ryzyko

• Ryzyko kradzieży tożsamości: kombinacja danych osobowych i zdrowotnych (PII/PHI) sprzyja oszustwom finansowym, fraudom ubezpieczeniowym i spear-phishingowi. Skala >10 mln zwiększa szanse na nadużycia łańcuchowe (np. social engineering na usługodawców).
• Zakłócenia usług publicznych: wcześniejsze przestoje w płatnościach świadczeń pokazały, że cyberincydent u back-office’owego dostawcy może natychmiast przełożyć się na realne życie beneficjentów.
• Koszty i odpowiedzialność: Conduent raportuje wielomilionowe koszty reakcji i inwestycji; jednocześnie rośnie presja regulacyjna i ryzyko pozwów w poszczególnych stanach.

Rekomendacje operacyjne / co zrobić teraz

Dla organizacji publicznych i prywatnych (klienci/BA):

1. Przegląd dostępu i segmentacji w modelu dostawcy (vendor risk): logika „least privilege”, oddzielenie domen klientów, monitoring korelacyjny (UEBA) z retencją >90 dni.
2. DLP + EDR/XDR z detekcją exfiltracji wolumenowej i anomalii protokołów (długotrwałe, powolne wycieki).
3. Table-topy incydentowe z perspektywy usług krytycznych (świadczenia, rozliczenia, EBT) — scenariusze degradacji i obejścia manualne (fallback).
4. Umowy z BA/processorami: precyzyjne SLA detekcji, RTO/RPO, prawo do audytu, obowiązek publikacji IoC i metadanych incydentu do klientów.
5. Komunikacja kryzysowa: wzorce alertów dla beneficjentów (phishing, SIM swap), dedykowana infolinia, wielojęzyczne FAQ.

Dla osób, które mogą być objęte powiadomieniem:

• Zamrożenie kredytu (credit freeze) i alerty w biurach kredytowych; monitorowanie wyciągów i EOB (Explanation of Benefits).
• Ostrożność wobec smishingu i vishingu podszywającego się pod świadczeniodawcę/ubezpieczyciela; nie podawaj numeru SSN przez telefon.
• Włącz 2FA wszędzie, gdzie to możliwe (w tym u ubezpieczyciela i portali zdrowotnych).
• Żądaj listy typów danych, jakie dotyczyły Twojego konta/polisy — zakres różni się w zależności od programu.

Różnice / porównania z innymi przypadkami

W przeciwieństwie do jednorazowych kampanii łańcuchowych (np. podatność MOVEit/Cl0p), przypadek Conduent wygląda na długotrwałe osadzenie w środowisku jednego dostawcy usług back-office, z etapową exfiltracją i wpływem na wiele niezależnych programów publicznych. Kluczowa różnica: brak publicznego, konkretnego CVE i brak (na dziś) potwierdzenia publikacji danych, co utrudnia korelację IoC po stronie klientów. (Wniosek na podstawie porównań w źródłach branżowych i 8-K Conduent).

Podsumowanie / kluczowe wnioski

• Incydent w Conduent odsłania systemowy problem ryzyka stron trzecich w usługach krytycznych państwa.
• >10 mln rekordów i trzymiesięczny czas obecności napastnika oznaczają wysokie ryzyko nadużyć długoterminowych.
• Organizacje powinny wymuszać większą przejrzystość od dostawców (IoC, telemetry, zakres danych), a obywatele — aktywnie zarządzać tożsamością i bezpieczeństwem kont.

Źródła / bibliografia

1. The Record (Recorded Future News): „More than 10 million impacted by breach of government contractor Conduent”, 29.10.2025. (The Record from Recorded Future)
2. TechTarget / HealthITSecurity: „Conduent data breach impacts millions”, 30.10.2025. (techtarget.com)
3. GovInfoSecurity: „Back-Office Servicer Reports Data Theft Affects 10.5M”, 28.10.2025. (GovInfoSecurity)
4. Cybersecurity Dive: „Conduent says data breach originally began with 2024 intrusion”, 27.10.2025. (Cybersecurity Dive)
5. Conduent — Form 8-K (SEC), 14.04.2025. (Conduent Investor)