Archiwa: Linux - Strona 15 z 42

Serwer C2 SystemBC ujawnił ponad 1570 ofiar operacji ransomware The Gentlemen

Wprowadzenie do problemu / definicja

SystemBC to złośliwe oprogramowanie typu proxy i backdoor, od lat wykorzystywane przez cyberprzestępców do utrzymywania ukrytej komunikacji z zainfekowanymi środowiskami. Jego rola nie ogranicza się do prostego zdalnego dostępu — malware umożliwia tunelowanie ruchu, przekazywanie poleceń oraz dostarczanie kolejnych ładunków, co czyni je istotnym elementem nowoczesnych operacji ransomware.

Najnowsza analiza infrastruktury command-and-control powiązanej z SystemBC wskazuje, że narzędzie zostało użyte w działaniach afilianta programu ransomware-as-a-service The Gentlemen. W efekcie badacze zidentyfikowali ponad 1570 ofiar, co znacząco poszerza obraz rzeczywistej skali tej kampanii.

W skrócie

Ujawniony serwer C2 powiązany z SystemBC pozwolił badaczom spojrzeć szerzej na aktywność grupy The Gentlemen niż tylko przez pryzmat publicznych stron wycieków danych. Zidentyfikowanie ponad 1570 środowisk sugeruje, że liczba organizacji dotkniętych operacją mogła być znacznie wyższa niż wcześniej zakładano.

SystemBC pełnił rolę pośrednika komunikacyjnego i narzędzia wspierającego dalszą eksploatację sieci.
The Gentlemen działa w modelu ransomware-as-a-service z udziałem afiliantów.
Ataki obejmują środowiska Windows, Linux, NAS, VMware ESXi oraz BSD.
Łańcuch ataku wskazuje na działania typowe dla modelu podwójnego wymuszenia.

Kontekst / historia

The Gentlemen to stosunkowo nowa operacja ransomware, która zaczęła być szerzej obserwowana w połowie 2025 roku. Grupa szybko zwróciła na siebie uwagę elastycznym podejściem do ataków oraz zdolnością do działania przeciwko zróżnicowanym środowiskom, od klasycznych stacji i serwerów Windows po infrastrukturę wirtualizacyjną i systemy uniksowe.

Model działania wpisuje się w znany schemat RaaS, w którym operatorzy udostępniają zaplecze techniczne i mechanizmy monetyzacji, a afilianci odpowiadają za uzyskanie dostępu początkowego oraz przeprowadzenie właściwej kompromitacji. W tym przypadku szczególnie cenne okazało się to, że analiza infrastruktury SystemBC pozwoliła ujawnić nie tylko pojedyncze incydenty kończące się publikacją na stronie wycieków, ale także szerszy ekosystem ofiar znajdujących się na różnych etapach ataku.

Analiza techniczna

SystemBC jest od lat kojarzony z operacjami ransomware jako narzędzie pośredniczące między napastnikiem a przejętym środowiskiem. Jego kluczową funkcją jest tworzenie tuneli SOCKS5 i zapewnianie zaszyfrowanego kanału komunikacji z serwerem C2. Dzięki temu operatorzy zyskują bardziej dyskretny dostęp, mogą przekierowywać ruch oraz uruchamiać kolejne komponenty bez natychmiastowego wdrażania finalnego szyfratora.

W przypadku The Gentlemen obserwowany łańcuch ataku wskazuje na klasyczny scenariusz wieloetapowy. Choć dokładny punkt wejścia nie został jednoznacznie potwierdzony, najbardziej prawdopodobne pozostają nadużycia usług dostępnych z internetu lub wykorzystanie przejętych poświadczeń. Po uzyskaniu dostępu napastnicy przechodzą do rekonesansu, identyfikacji zasobów, ruchu bocznego oraz przygotowania środowiska pod wdrożenie takich narzędzi jak Cobalt Strike, SystemBC i właściwy ransomware.

Istotną rolę odgrywa wykorzystanie obiektów zasad grupowych GPO do szerokiego rozprzestrzeniania działań w domenie. Taki mechanizm pozwala centralnie uruchamiać skrypty i binaria na wielu hostach jednocześnie, znacząco przyspieszając kompromitację. Dodatkowo napastnicy modyfikują ustawienia ochrony, w tym Windows Defender, przy użyciu skryptów PowerShell, wyłączają wybrane mechanizmy monitorowania, dodają wyjątki, osłabiają zaporę, przywracają SMBv1 oraz poluzowują część ustawień związanych z dostępem anonimowym.

Wariant wymierzony w ESXi ma prostszą funkcjonalność niż odpowiednik dla Windows, ale pozostaje bardzo groźny. Jego zadaniem jest przede wszystkim wyłączanie maszyn wirtualnych i przygotowanie hosta do zaszyfrowania datastore’ów, co w środowiskach wirtualizacyjnych może przełożyć się na jednoczesne zakłócenie wielu usług biznesowych.

Z perspektywy obrońców kluczowe znaczenie ma nie tylko obecność samego SystemBC, lecz także jego funkcja operacyjna. Wykrycie takiego malware może oznaczać, że organizacja znajduje się już na wcześniejszym etapie pełnoskalowego ataku ransomware, obejmującym utrzymanie dostępu, eksfiltrację danych oraz przygotowanie do destrukcyjnego uderzenia.

Konsekwencje / ryzyko

Ujawnienie ponad 1570 ofiar pokazuje, że publiczne statystyki ransomware mogą istotnie zaniżać rzeczywisty obraz zagrożenia. Brak nazwy organizacji na stronie wycieku nie oznacza, że nie doszło do kompromitacji — wiele podmiotów może pozostawać w fazie rozpoznania, eksfiltracji lub przygotowania do szyfrowania.

The Gentlemen prezentuje model działania charakterystyczny dla dojrzalszych grup ransomware: specjalizację afiliantów, wykorzystanie dodatkowych narzędzi pośrednich, dopasowanie technik do typu środowiska oraz nacisk na szybkie przejście od dostępu początkowego do etapu wymuszenia. Największe ryzyko dotyczy organizacji z rozproszoną infrastrukturą hybrydową, niewystarczającą segmentacją sieci, słabo chronionymi systemami brzegowymi i nadmiernymi uprawnieniami administracyjnymi.

utrata dostępności systemów i usług,
eksfiltracja danych przed szyfrowaniem,
wymuszenie finansowe i presja publikacji danych,
zakłócenie działania usług krytycznych,
straty reputacyjne i potencjalne skutki regulacyjne.

Rekomendacje

Organizacje powinny traktować obecność SystemBC, Cobalt Strike lub podobnych narzędzi jako silny sygnał ostrzegawczy wskazujący na możliwą operację ransomware w toku. Oznacza to konieczność natychmiastowego uruchomienia procedur reagowania, izolacji podejrzanych hostów, analizy ruchu wychodzącego oraz weryfikacji, czy w domenie nie doszło do nadużycia GPO.

ograniczyć powierzchnię ataku przez wyłączenie lub odpowiednie zabezpieczenie usług wystawionych do internetu,
wymusić MFA dla dostępu zdalnego i kont uprzywilejowanych,
monitorować użycie PowerShell, PsExec, WMI, zadań zdalnych i zmian w GPO,
wykrywać nietypowe tunele SOCKS5 oraz niestandardową komunikację C2,
utwardzić Microsoft Defender i rozwiązania EDR przed próbami wyłączenia,
wyłączyć przestarzałe protokoły, takie jak SMBv1, jeśli nie są niezbędne,
segmentować środowiska serwerowe, backupowe i wirtualizacyjne,
chronić hosty ESXi i ograniczać dostęp administracyjny do platform VMware,
regularnie testować kopie zapasowe w scenariuszu pełnego odtworzenia,
prowadzić threat hunting ukierunkowany na artefakty poprzedzające uruchomienie szyfratora.

Podsumowanie

Przypadek The Gentlemen i infrastruktury SystemBC potwierdza, że współczesne operacje ransomware są coraz bardziej zindustrializowane, wielowarstwowe i trudniejsze do oszacowania wyłącznie na podstawie publicznych wycieków. Ujawnienie ponad 1570 ofiar sugeruje, że rzeczywista skala kompromitacji może być znacząco większa niż oficjalnie znane statystyki.

Dla zespołów bezpieczeństwa najważniejszy wniosek jest jednoznaczny: wykrycie malware pośredniczącego, takiego jak SystemBC, nie powinno być traktowane jako incydent niskiego poziomu. To potencjalny sygnał przygotowania do ataku destrukcyjnego, który wymaga szybkiej korelacji zdarzeń, analizy ruchu bocznego i zdecydowanej reakcji zanim dojdzie do szyfrowania zasobów.

Źródła

The Hacker News — https://thehackernews.com/2026/04/systembc-c2-server-reveals-1570-victims.html
Check Point Research — Cracking Open The Gentlemen: Inside a Ransomware Affiliate Program — https://research.checkpoint.com/2026/cracking-open-the-gentlemen-inside-a-ransomware-affiliate-program/
Trend Micro — The Gentlemen Targets Enterprises With Tailored Ransomware Tradecraft — https://www.trendmicro.com/en_us/research/25/i/the-gentlemen-ransomware-analysis.html
Rapid7 — Kyber Ransomware Analysis — https://www.rapid7.com/blog/post/2026/04/21/kyber-ransomware-analysis/
ZeroFox — Ransomware and Digital Extortion Q1 2026 Report — https://www.zerofox.com/resources/reports/ransomware-digital-extortion-q1-2026/

Harvester rozwija arsenał: linuxowy backdoor GoGra ukrywa komunikację C2 w Microsoft Graph API

Wprowadzenie do problemu / definicja

Grupa cyberwywiadowcza Harvester została powiązana z nowym wariantem backdoora GoGra przeznaczonym dla systemów Linux. To istotna zmiana operacyjna, ponieważ pokazuje rozszerzenie działań poza środowiska Windows oraz rosnące zainteresowanie serwerami, stacjami administracyjnymi i hostami linuksowymi wykorzystywanymi w infrastrukturze przedsiębiorstw.

Na szczególną uwagę zasługuje sposób komunikacji malware z operatorami. Zamiast klasycznych serwerów C2, implant wykorzystuje usługi Microsoftu, w tym Microsoft Graph API i skrzynki Outlook, dzięki czemu ruch może przypominać zwykłą aktywność biznesową i trudniej go odróżnić od legalnych operacji w środowisku Microsoft 365.

W skrócie

Harvester wdrożył linuksowy wariant backdoora GoGra.
Infekcja rozpoczyna się od socjotechniki i uruchomienia pliku ELF podszywającego się pod dokument PDF.
Malware używa Microsoft Graph API oraz folderów w skrzynce Outlook jako kanału C2.
Polecenia są pobierane z wiadomości e-mail, dekodowane i wykonywane przez powłokę Bash.
Wyniki działań są odsyłane operatorowi, a wiadomości zadaniowe usuwane w celu ograniczenia śladów.

Kontekst / historia

Harvester jest od pewnego czasu łączony z operacjami szpiegowskimi wymierzonymi w organizacje z Azji Południowej, w tym podmioty z sektorów telekomunikacyjnego, rządowego i IT. Wcześniejsze analizy wskazywały, że grupa chętnie korzysta z niestandardowych implantów opartych na komunikacji przez Microsoft Graph API, co sugeruje świadomą strategię ukrywania aktywności w ramach zaufanej infrastruktury chmurowej.

W poprzednich kampaniach opisywano użycie backdoora GoGra napisanego w języku Go. Najnowsze ustalenia pokazują, że narzędzie nie tylko jest dalej rozwijane, ale zostało również dostosowane do systemów Linux. To oznacza zwiększenie zasięgu operacyjnego i możliwość skuteczniejszego atakowania środowisk mieszanych, w których współistnieją systemy Windows, Linux oraz usługi SaaS.

Analiza techniczna

Łańcuch infekcji opiera się na inżynierii społecznej. Ofiara otrzymuje plik ELF, który podszywa się pod dokument PDF. Po uruchomieniu próbka wyświetla przynętę w postaci dokumentu-wabika, a w tle aktywuje właściwy komponent backdoora. Taka technika ma zwiększyć wiarygodność pliku i ograniczyć podejrzenia użytkownika.

Linuksowy GoGra utrzymuje model działania znany z wcześniejszych wariantów. Implant łączy się z określonym folderem w skrzynce Outlook i cyklicznie sprawdza obecność nowych poleceń za pośrednictwem Microsoft Graph API. Komunikacja wykorzystuje zapytania charakterystyczne dla legalnej integracji z usługami Microsoft 365, co utrudnia wykrywanie na podstawie samego ruchu sieciowego.

Backdoor wyszukuje wiadomości spełniające ustalone kryteria, między innymi określony wzorzec tematu. Polecenia są zapisane w postaci zakodowanej, następnie dekodowane i wykonywane lokalnie przy użyciu /bin/bash. Dzięki temu operatorzy mogą elastycznie wydawać polecenia systemowe bez konieczności dostarczania wielu dodatkowych modułów.

Po wykonaniu komend malware odsyła wynik do operatora w osobnej wiadomości e-mail. Następnie usuwa wiadomości zawierające zadania, co ogranicza liczbę artefaktów i utrudnia analizę powłamaniową. Połączenie egzekucji poleceń, eksfiltracji wyników oraz czyszczenia śladów czyni ten wariant szczególnie niebezpiecznym w kampaniach długotrwałego cyberwywiadu.

Z perspektywy obrony najgroźniejsze są trzy elementy: użycie zaufanej infrastruktury chmurowej, wykonywanie poleceń bezpośrednio w systemowej powłoce oraz minimalizowanie śladów operacyjnych. W praktyce oznacza to, że klasyczne blokowanie domen, adresów IP czy proste reguły sygnaturowe mogą okazać się niewystarczające.

Konsekwencje / ryzyko

Pojawienie się linuxowego wariantu GoGra zwiększa powierzchnię ataku wobec organizacji korzystających z heterogenicznych środowisk IT. Linux jest szeroko stosowany w serwerach aplikacyjnych, systemach developerskich, infrastrukturze chmurowej, urządzeniach brzegowych i stacjach roboczych administratorów, dlatego skutki kompromitacji mogą wykraczać daleko poza pojedynczy host.

Ryzyko obejmuje kradzież informacji, trwałe utrzymywanie dostępu do sieci, możliwość poruszania się bocznego oraz eksfiltrację danych o wysokiej wartości. Dodatkowym problemem jest fakt, że komunikacja z Microsoft Graph API może być traktowana przez organizację jako ruch biznesowo uzasadniony, co osłabia skuteczność tradycyjnych mechanizmów filtracji perymetrycznej.

W praktyce zespoły bezpieczeństwa mogą mieć trudność z pełnym odtworzeniem przebiegu incydentu, jeśli nie korelują logów z endpointów, poczty, warstwy tożsamości i usług chmurowych. To właśnie taka wielowarstwowość komunikacji sprawia, że podobne kampanie mogą pozostawać niezauważone przez dłuższy czas.

Rekomendacje

Organizacje powinny rozszerzyć monitoring o nietypowe wzorce użycia Microsoft Graph API, zwłaszcza jeśli pochodzą one z hostów linuksowych lub procesów, które zwykle nie komunikują się z usługami Microsoft 365. Warto zwracać uwagę na cykliczne odpytywanie skrzynek pocztowych, nietypowy dostęp do folderów oraz sekwencje działań wskazujące na automatyczne przetwarzanie wiadomości.

Niezbędne jest także ograniczenie ryzyka uruchamiania niezweryfikowanych plików ELF. Pomocne będą mechanizmy kontroli uruchamiania aplikacji, blokowanie wykonywania binariów z katalogów pobrań i lokalizacji tymczasowych oraz dodatkowa walidacja oprogramowania używanego przez administratorów i użytkowników uprzywilejowanych.

Z perspektywy EDR i XDR warto monitorować procesy uruchamiające /bin/bash w nietypowych relacjach rodzic–potomek, a także korelować takie zdarzenia z aktywnością wobec usług chmurowych. Reguły detekcyjne powinny uwzględniać częste zapytania do API, dekodowanie Base64 oraz zachowania sugerujące usuwanie wiadomości lub innych artefaktów po wykonaniu zadania.

Duże znaczenie ma również ochrona tożsamości i poczty. Organizacje powinny przeprowadzić przegląd uprawnień aplikacji, wymusić uwierzytelnianie wieloskładnikowe, wdrożyć warunkowy dostęp i regularnie analizować anomalie w skrzynkach pocztowych. W środowiskach wysokiego ryzyka warto stosować sandboxing dla załączników i kontynuować szkolenia użytkowników z rozpoznawania technik socjotechnicznych.

Jeżeli istnieje podejrzenie kompromitacji, działania reakcyjne powinny objąć hunting pod kątem nietypowych połączeń do API chmurowych, analizę artefaktów pocztowych, przegląd historii wykonywanych komend oraz rotację poświadczeń i tokenów dostępowych. Samo usunięcie próbki nie daje gwarancji pełnego odzyskania bezpieczeństwa środowiska.

Podsumowanie

Nowy linuxowy wariant GoGra pokazuje, że Harvester konsekwentnie zwiększa swoje możliwości i dostosowuje narzędzia do kolejnych platform. Najważniejszym wnioskiem nie jest jedynie sam rozwój backdoora, lecz sposób jego komunikacji: ukrywanie kanału C2 w legalnych usługach chmurowych, które dla wielu organizacji stanowią codzienny i niezbędny element pracy.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że skuteczna detekcja nowoczesnych kampanii szpiegowskich wymaga łączenia telemetrii z endpointów, poczty, warstwy tożsamości i usług SaaS. Harvester po raz kolejny pokazuje, że zaufana infrastruktura biznesowa może zostać skutecznie wykorzystana jako osłona dla działań ofensywnych.

Źródła

The Hacker News — https://thehackernews.com/2026/04/harvester-deploys-linux-gogra-backdoor.html
Broadcom / Symantec Threat Hunter Team — https://www.security.com/threat-intelligence/harvester-gogra-linux-backdoor

The Gentlemen: szybka ekspansja nowej operacji ransomware-as-a-service

Wprowadzenie do problemu / definicja

The Gentlemen to rozwijająca się operacja ransomware-as-a-service (RaaS), która w krótkim czasie zbudowała aktywne zaplecze afiliacyjne i rozpoczęła ataki wymierzone w środowiska korporacyjne. Model RaaS polega na udostępnianiu narzędzi szyfrujących oraz infrastruktury partnerom, którzy odpowiadają za uzyskanie dostępu do sieci ofiary, eskalację uprawnień i wdrożenie ładunku ransomware.

W praktyce taki model zwiększa skalę kampanii, przyspiesza tempo ataków i obniża próg wejścia dla cyberprzestępców. Dla firm oznacza to większe ryzyko incydentów obejmujących całe środowisko IT, a nie tylko pojedyncze stacje robocze.

W skrócie

The Gentlemen przypisuje się ponad 320 ofiar, a zasadnicza część aktywności przypadła na początek 2026 roku. Grupa wykorzystuje wieloplatformowy zestaw narzędzi, obejmujący warianty ransomware napisane w Go dla Windows, Linux, NAS i BSD oraz osobny szyfrator dla środowisk ESXi opracowany w C.

ataki są ukierunkowane na sieci firmowe i domeny Active Directory,
operatorzy wykorzystują skradzione poświadczenia oraz ruch boczny,
wdrożenie ładunku odbywa się m.in. przez Group Policy i udziały administracyjne,
w kampaniach obserwowano także SystemBC oraz narzędzia post-exploitation,
celem jest szybkie sparaliżowanie stacji roboczych, serwerów i infrastruktury wirtualnej.

Kontekst / historia

Operacja została zidentyfikowana w połowie 2025 roku i od tego czasu stopniowo zwiększała swoją obecność w cyberprzestępczym ekosystemie. Jej wzrost wpisuje się w szerszy trend fragmentacji rynku ransomware po osłabieniu największych marek RaaS w poprzednich latach.

Zamiast dominacji pojedynczych platform pojawia się coraz więcej mniejszych, elastycznych grup, które konkurują skutecznością, szybkością działania i jakością zaplecza technicznego. W takim modelu reputacja wśród afiliantów ma znaczenie operacyjne, ponieważ stabilne szyfratory, wsparcie wielu platform i gotowe mechanizmy lateral movement zwiększają atrakcyjność programu przestępczego.

The Gentlemen wykorzystuje właśnie tę przewagę, dostarczając zestaw narzędzi umożliwiający przejście od pojedynczego punktu wejścia do szybkiego szyfrowania stacji roboczych, serwerów oraz hostów wirtualizacyjnych.

Analiza techniczna

Z technicznego punktu widzenia The Gentlemen wyróżnia się podejściem nastawionym na środowiska enterprise. Udostępniane afiliantom warianty ransomware obsługują wiele platform, co pozwala objąć atakiem nie tylko klasyczne endpointy Windows, ale także serwery Linux, urządzenia NAS, systemy BSD oraz hosty ESXi.

W opisywanych incydentach napastnicy uzyskiwali dostęp do kontrolera domeny, a następnie wykorzystywali skradzione poświadczenia do dalszego ruchu bocznego. Do dystrybucji ładunku stosowano między innymi administracyjne udziały sieciowe i mechanizmy Group Policy, co umożliwia niemal równoczesne uruchomienie ransomware na dużej liczbie systemów.

Atak obejmował również działania wspierające finalną fazę szyfrowania, takie jak rekonesans sieci, pozyskiwanie poświadczeń, zdalne wykonywanie poleceń oraz wyłączanie zabezpieczeń endpointowych. Operatorzy modyfikowali harmonogram zadań, usługi i elementy rejestru, aby utrzymać trwałość dostępu i utrudnić działania obronne.

Dodatkowo ransomware kończy procesy powiązane z bazami danych, narzędziami backupowymi i maszynami wirtualnymi, aby zmaksymalizować wpływ na dostępność usług i ograniczyć możliwość szybkiego odtworzenia danych. Istotnym elementem kampanii był również SystemBC, malware używany jako ukryty kanał komunikacyjny i pośrednik dla dalszych ładunków.

Obecność SystemBC obok narzędzi kojarzonych z post-exploitation sugeruje modularny model intruzji, w którym operatorzy mogą dynamicznie podmieniać komponenty C2 i techniki utrzymania dostępu. To zwiększa elastyczność kampanii i utrudnia skuteczne blokowanie ataku na wczesnym etapie.

Konsekwencje / ryzyko

Największe ryzyko związane z The Gentlemen wynika z połączenia trzech cech: szybkiego wzrostu sieci afiliacyjnej, gotowych narzędzi do pracy w domenie oraz obsługi wielu platform. Dla organizacji oznacza to wysokie prawdopodobieństwo pełnego skompromitowania środowiska, a nie jedynie pojedynczych hostów.

Jeśli napastnik uzyska uprzywilejowane konto domenowe, może przeprowadzić zmasowane szyfrowanie w bardzo krótkim czasie. Dodatkowym problemem jest zdolność grupy do neutralizowania mechanizmów obronnych i utrudniania odzyskiwania danych poprzez usuwanie shadow copies, czyszczenie logów oraz zatrzymywanie procesów backupowych i bazodanowych.

W przypadku środowisk wirtualnych skutki mogą być jeszcze poważniejsze, ponieważ kompromitacja hostów ESXi może jednocześnie dotknąć wiele maszyn produkcyjnych. Z perspektywy biznesowej incydent tego typu oznacza przestoje operacyjne, utratę dostępności usług, potencjalny wyciek danych, koszty reagowania, ryzyko regulacyjne oraz straty reputacyjne.

Rekomendacje

Organizacje powinny przyjąć założenie, że kampanie tego typu nie są wyłącznie problemem ochrony endpointów, lecz pełnoskalowym zagrożeniem dla tożsamości, administracji domenowej i infrastruktury wirtualnej. W pierwszej kolejności należy wzmocnić kontrolę nad kontami uprzywilejowanymi, ograniczyć użycie kont domenowych do niezbędnego minimum oraz wdrożyć separację administracyjną dla kluczowych systemów.

monitorować nadużycia Group Policy, SMB, PsExec, harmonogramu zadań i tworzenia nowych usług,
wykrywać nietypowe użycie narzędzi zdalnego dostępu oraz tunelowanie ruchu,
zabezpieczyć platformy wirtualizacyjne i systemy backupowe przed użyciem tych samych poświadczeń co środowisko produkcyjne,
utrzymywać odseparowane kopie zapasowe i regularnie testować procedury odtwarzania,
wdrożyć reguły blokujące masowe usuwanie shadow copies, wyłączanie EDR lub AV oraz nietypowe zmiany w usługach i rejestrze.

Z punktu widzenia SOC i zespołów IR warto przygotować scenariusze reagowania na atak domenowy z użyciem ransomware wieloplatformowego. Obejmuje to szybkie odcięcie systemów zarządzania, blokadę kompromitowanych kont, izolację hostów ESXi i serwerów backupowych oraz analizę śladów lateral movement z wykorzystaniem poświadczeń domenowych.

Podsumowanie

The Gentlemen pokazuje, że współczesne operacje ransomware rozwijają się w kierunku większej modularności, elastyczności i specjalizacji pod środowiska firmowe. Nie jest to już wyłącznie malware szyfrujący pliki na pojedynczych stacjach, lecz kompletny zestaw narzędzi do paraliżu infrastruktury IT.

Połączenie modelu afiliacyjnego, obsługi wielu platform, technik ruchu bocznego i mechanizmów utrudniających analizę sprawia, że zagrożenie należy traktować bardzo poważnie. Skuteczna obrona wymaga dziś nie tylko ochrony końcówek, ale także twardego zarządzania tożsamością, segmentacji, monitoringu działań administracyjnych i realnie przetestowanej strategii odtwarzania.

Źródła

The Gentlemen Ransomware Expands With Rapid Affiliate Growth — https://www.infosecurity-magazine.com/news/gentlemen-ransomware-rapid/
#Infosec2024: Ransomware Ecosystem Transformed, New Groups “Changing the Rules” — https://www.infosecurity-magazine.com/news/ransomware-transformed-new-groups/
Ransomware Enters ‘Post-Trust Ecosystem,’ NCA Cyber Expert Says — https://www.infosecurity-magazine.com/news/ransomware-enters-posttrust/

SystemBC i The Gentlemen: ujawniony serwer C2 odsłania skalę kampanii ransomware

Wprowadzenie do problemu / definicja

SystemBC to złośliwe oprogramowanie wykorzystywane jako narzędzie pośrednie w operacjach cyberprzestępczych, szczególnie w kampaniach ransomware. Jego główną rolą jest zapewnienie atakującym stabilnego kanału komunikacji z przejętymi systemami, tunelowanie ruchu oraz dostarczanie kolejnych komponentów wykorzystywanych w dalszych etapach ataku.

Najnowsze ustalenia wskazują, że infrastruktura powiązana z SystemBC była używana w działaniach grupy The Gentlemen. Analiza ujawnionego serwera dowodzenia i kontroli pokazała skalę operacji znacznie większą, niż wynikało to z wcześniej publicznie znanych przypadków.

W skrócie

SystemBC został powiązany z aktywnością grupy ransomware The Gentlemen.
Analiza ujawnionego serwera C2 wskazała ponad 1570 naruszonych organizacji.
Kampania obejmuje wiele regionów i wykorzystuje rozbudowany łańcuch ataku.
Napastnicy stosują ruch boczny, nadużycia GPO oraz próby osłabiania mechanizmów ochronnych.
Ryzyko dotyczy zarówno środowisk Windows, jak i platform wirtualizacyjnych, w tym ESXi.

Kontekst / historia

The Gentlemen to relatywnie nowa, ale szybko rozwijająca się grupa działająca w modelu ransomware-as-a-service. Od połowy 2025 roku zaczęła budować pozycję jednego z bardziej aktywnych podmiotów w tym segmencie cyberprzestępczości, a liczba publikowanych ofiar sugerowała dynamiczny wzrost operacji.

Jednak dopiero analiza zaplecza technicznego ujawniła, że rzeczywisty zasięg kampanii może być dużo większy niż liczba incydentów widocznych w publicznych wyciekach. To ważne przypomnienie, że oficjalnie znane przypadki stanowią często jedynie końcowy fragment całego łańcucha ataku.

Wcześniejsze obserwacje branżowe wskazywały, że The Gentlemen atakuje nie tylko klasyczne środowiska Windows, lecz także systemy Linux, BSD, urządzenia NAS oraz infrastrukturę VMware ESXi. Grupa korzysta z modelu podwójnego wymuszenia, łącząc eksfiltrację danych z ich późniejszym szyfrowaniem.

Analiza techniczna

SystemBC pełni funkcję malware typu proxy i backconnect. Pozwala zestawiać tunele sieciowe, w tym komunikację przypominającą SOCKS5, oraz utrzymywać zaszyfrowany kontakt z serwerem C2. Dzięki temu napastnicy mogą zachować dostęp do naruszonego środowiska i stopniowo rozwijać operację bez konieczności natychmiastowego uruchamiania ransomware.

Ujawniony serwer C2 wskazał ponad 1570 ofiar korporacyjnych. Taka liczba nie musi oznaczać wyłącznie organizacji, które już zostały zaszyfrowane. Część z nich mogła znajdować się na wcześniejszych etapach kompromitacji, takich jak rozpoznanie, przygotowanie eksfiltracji danych, utrzymywanie przyczółka czy selekcja celów o najwyższym potencjale finansowym.

Z dostępnych ustaleń wynika, że operatorzy lub afilianci The Gentlemen uzyskują dostęp początkowy przez usługi wystawione do Internetu albo przez przejęte poświadczenia. Następnie przechodzą do rekonesansu, ruchu bocznego oraz wdrażania dodatkowych narzędzi, które przygotowują środowisko do finalnej fazy ataku.

Na szczególną uwagę zasługuje wykorzystywanie Group Policy Objects do rozprzestrzeniania działań w domenie. Tego typu podejście umożliwia szybkie wdrażanie skryptów, zmian konfiguracyjnych lub kolejnych komponentów na wielu hostach jednocześnie, co znacząco zwiększa tempo i skalę kompromitacji.

Atakujący podejmują również próby ograniczania skuteczności ochrony endpointów. W obserwowanych scenariuszach wykorzystywano skrypty PowerShell do ingerencji w ustawienia Microsoft Defender, zapory oraz wyjątków dla określonych ścieżek i zasobów. W środowiskach ESXi działania są bardziej wyspecjalizowane, ale nadal mogą skutecznie utrudniać odzyskiwanie działania usług i maszyn wirtualnych.

Z perspektywy obronnej najważniejsze jest to, że SystemBC nie musi być końcowym malware. Jego rola polega na łączeniu początkowej kompromitacji, utrzymania dostępu i dostarczania kolejnych ładunków. To etap pośredni, który często decyduje o powodzeniu całej operacji ransomware.

Konsekwencje / ryzyko

Najważniejszy wniosek z ujawnienia tej infrastruktury jest prosty: publicznie znana liczba incydentów ransomware może znacząco zaniżać faktyczny zasięg operacji przestępczych. Jeżeli jeden serwer obsługiwał ponad 1570 naruszonych środowisk, oznacza to, że wiele organizacji mogło znajdować się w stanie ukrytej kompromitacji bez świadomości, że są już częścią większej kampanii.

Obecność SystemBC w sieci powinna być traktowana jako sygnał wysokiego ryzyka. Oznacza bowiem, że napastnicy mogą już posiadać kanał operacyjny wykorzystywany do dalszych działań, w tym rozpoznania, eksfiltracji danych, wdrażania narzędzi administracyjnych i przygotowywania szyfrowania.

Dodatkowe zagrożenie wynika z nadużywania GPO oraz automatyzacji ruchu bocznego. W praktyce może to prowadzić do szybkiej kompromitacji całej domeny, wyłączenia lub obejścia zabezpieczeń oraz zakłócenia działania infrastruktury krytycznej, zwłaszcza jeśli atak obejmuje systemy wirtualizacyjne i serwery produkcyjne.

Ryzyko zwiększa także model afiliacyjny. Różni operatorzy korzystający z tego samego zaplecza mogą realizować ataki w odmienny sposób, z różnym poziomem agresji i dojrzałości operacyjnej. Dla organizacji oznacza to konieczność monitorowania pełnego łańcucha ataku, a nie tylko symptomów końcowego szyfrowania danych.

Rekomendacje

Organizacje powinny traktować wykrycie SystemBC lub podobnych komponentów pośrednich jako incydent o wysokim priorytecie. Nawet jeśli nie doszło jeszcze do szyfrowania, sama obecność takiego narzędzia może oznaczać aktywną kompromitację i przygotowanie do dalszych działań.

Ograniczyć ekspozycję usług dostępnych z Internetu i wymusić MFA dla dostępu zdalnego.
Przeprowadzić reset poświadczeń uprzywilejowanych oraz przegląd kont serwisowych.
Monitorować tworzenie i modyfikację obiektów GPO oraz zmian rozprowadzanych centralnie.
Wykrywać nietypowe tunele sieciowe, komunikację C2 i zaszyfrowane kanały o niestandardowym charakterze.
Alarmować na skrypty PowerShell ingerujące w ustawienia Defendera, zapory i komponentów bezpieczeństwa.
Segmentować sieć oraz separować środowiska serwerowe, backupowe i wirtualizacyjne.
Zabezpieczać oraz regularnie testować kopie zapasowe offline, szczególnie dla systemów krytycznych i hostów ESXi.
Rozszerzyć telemetrię EDR i XDR o detekcję zachowań pre-ransomware, a nie wyłącznie finalnych objawów szyfrowania.

W środowiskach wirtualnych kluczowe znaczenie ma monitorowanie operacji na hostach ESXi, datastore’ach i procesach zarządzających maszynami wirtualnymi. Procedury reagowania powinny uwzględniać także możliwość szybkiej izolacji hypervisora i odseparowania repozytoriów kopii zapasowych.

Podsumowanie

Ujawnienie serwera C2 powiązanego z SystemBC dostarczyło rzadkiego wglądu w rzeczywistą skalę działalności grupy The Gentlemen. Ponad 1570 zidentyfikowanych ofiar pokazuje, że nowoczesne operacje ransomware są znacznie szersze, niż wynika to z publicznych rejestrów incydentów i serwisów wyciekowych.

Technicznie kampania łączy malware pośredniczące, ruch boczny, nadużywanie mechanizmów domenowych oraz systematyczne osłabianie zabezpieczeń przed wdrożeniem właściwego ransomware. Dla obrońców najważniejszy wniosek jest jednoznaczny: skuteczna reakcja musi zaczynać się na etapie wykrywania dostępu pośredniego i infrastruktury C2, zanim dojdzie do szyfrowania i wymuszenia.

Źródła

The Hacker News — https://thehackernews.com/2026/04/systembc-c2-server-reveals-1570-victims.html
Check Point Research — https://research.checkpoint.com/
Trend Micro Research — https://www.trendmicro.com/en_us/research.html
ZeroFox — https://www.zerofox.com/
Halcyon — https://www.halcyon.ai/

The Gentlemen i SystemBC: nowy etap ataków ransomware wspieranych botnetem

Wprowadzenie do problemu / definicja

The Gentlemen to grupa działająca w modelu ransomware-as-a-service, która rozwija wieloplatformowy zestaw szyfrujący wymierzony w środowiska Windows, Linux, BSD, NAS oraz ESXi. Najnowsze obserwacje pokazują, że operatorzy lub afilianci tej operacji zaczęli wykorzystywać malware SystemBC jako element zaplecza komunikacyjnego i dystrybucyjnego, co znacząco zwiększa elastyczność i skuteczność łańcucha ataku.

SystemBC jest znany jako złośliwe oprogramowanie pełniące funkcję tunelu i proxy, często używane w fazie post-exploitation. W połączeniu z ransomware umożliwia skryte dostarczanie kolejnych komponentów, ukrywanie ruchu sieciowego i utrzymywanie stabilnej komunikacji z infrastrukturą napastników.

W skrócie

Kampania powiązana z The Gentlemen została połączona z infrastrukturą SystemBC obejmującą ponad 1 570 zainfekowanych hostów. Profil ofiar wskazuje, że celem są przede wszystkim organizacje, a nie przypadkowi użytkownicy indywidualni.

W analizowanym przypadku napastnicy działali z poziomu kontrolera domeny z uprawnieniami Domain Admin. Prowadzili rekonesans, weryfikowali poświadczenia, korzystali z Cobalt Strike i Mimikatz, a następnie rozprzestrzeniali ransomware wewnątrz domeny przy użyciu RPC oraz zasad grupowych.

atak ukierunkowany na środowiska firmowe,
wykorzystanie SystemBC do komunikacji i dostarczania ładunków,
ruch boczny z użyciem legalnych i powszechnie nadużywanych narzędzi,
masowe wdrożenie szyfratora przez GPO,
hybrydowy mechanizm szyfrowania oparty na X25519 i XChaCha20.

Kontekst / historia

The Gentlemen pojawił się w połowie 2025 roku jako oferta RaaS skierowana do afiliantów poszukujących gotowego zaplecza do prowadzenia kampanii wymuszeniowych. Grupa szybko zaczęła budować rozpoznawalność, rozszerzając zasięg działań i publikując informacje o ofiarach na własnym zapleczu wyciekowym.

Sam SystemBC nie jest nowym zagrożeniem, ale jego wykorzystanie przez kolejne grupy ransomware potwierdza, że nadal odgrywa ważną rolę w ekosystemie cyberprzestępczym. Oprogramowanie to od lat bywa wykorzystywane jako warstwa pośrednia do tunelowania ruchu, budowania połączeń SOCKS5 i dostarczania następnych modułów po przełamaniu zabezpieczeń.

Połączenie The Gentlemen z SystemBC pokazuje, że ransomware przestaje być jedynie końcowym etapem ataku, a staje się częścią bardziej rozbudowanej i wieloetapowej operacji, prowadzonej ręcznie przeciwko konkretnym organizacjom.

Analiza techniczna

Nie udało się jednoznacznie potwierdzić początkowego wektora dostępu, jednak dalsza aktywność napastników miała charakter typowy dla włamań hands-on-keyboard. Po uzyskaniu wysokich uprawnień operator poruszał się z poziomu kontrolera domeny, sprawdzał poprawność poświadczeń i mapował środowisko ofiary.

Do realizacji kolejnych etapów wykorzystywano Cobalt Strike, który umożliwiał zdalne uruchamianie ładunków przez RPC. Ruch boczny był wspierany przez kradzież poświadczeń z użyciem Mimikatz oraz mechanizmy zdalnego wykonania poleceń, co pozwalało na stopniowe rozszerzanie kontroli nad domeną.

Wdrożenie ransomware zostało przygotowane z serwera wewnętrznego. Napastnicy użyli natywnych mechanizmów propagacji i Group Policy Object, aby niemal równocześnie uruchomić szyfrator na systemach podłączonych do domeny. Taki sposób działania ogranicza czas reakcji zespołów bezpieczeństwa i zwiększa skalę zakłócenia pracy organizacji.

W warstwie kryptograficznej The Gentlemen stosuje model hybrydowy oparty na X25519 i XChaCha20. Dla każdego pliku generowana jest losowa, efemeryczna para kluczy, co utrudnia odzyskanie danych bez materiału kryptograficznego znajdującego się po stronie operatora. Mniejsze pliki są szyfrowane w całości, natomiast w przypadku większych szyfrowane są jedynie fragmenty, co pozwala przyspieszyć cały proces przy zachowaniu wysokiej skuteczności ataku.

Przed szyfrowaniem malware kończy działanie procesów związanych z bazami danych, kopiami zapasowymi i wirtualizacją. Usuwane są również kopie woluminów oraz logi systemowe. W wariancie przeznaczonym dla środowisk ESXi dodatkowo wyłączane są maszyny wirtualne, aby umożliwić zaszyfrowanie plików dysków wirtualnych.

Konsekwencje / ryzyko

Połączenie ransomware The Gentlemen z SystemBC zwiększa dojrzałość operacyjną atakujących. Botnetowe zaplecze proxy może poprawiać ukrycie ruchu, zapewniać trwałość komunikacji i ułatwiać etapowe wdrażanie narzędzi po uzyskaniu dostępu do sieci ofiary.

Dla organizacji oznacza to wyższe ryzyko długotrwałej obecności napastnika w infrastrukturze, skuteczniejszego ruchu bocznego oraz lepiej skoordynowanego uruchomienia szyfratora. Szczególnie groźne jest to, że obserwowane kampanie mają charakter selektywny i są wymierzone w środowiska organizacyjne, gdzie skutki biznesowe przestoju są znacznie większe.

Uzyskanie uprawnień administracyjnych w domenie oraz rozesłanie ładunku przez GPO może doprowadzić do jednoczesnego zaszyfrowania serwerów plików, aplikacji biznesowych, środowisk wirtualizacyjnych i części systemów backupowych. Dodatkowym wyzwaniem jest fakt, że SystemBC może występować także jako komponent pośredni w innych kampaniach, co utrudnia szybką atrybucję i korelację incydentów.

Rekomendacje

Organizacje powinny traktować kombinację The Gentlemen, SystemBC, Cobalt Strike i Mimikatz jako wzorzec zaawansowanego ataku wymagającego detekcji na wielu poziomach jednocześnie. Kluczowe jest ograniczanie ryzyka przejęcia kont uprzywilejowanych oraz szybkie wykrywanie oznak ruchu bocznego i nadużyć w domenie.

ograniczyć użycie kont Domain Admin i stosować wydzielone stacje administracyjne,
monitorować nietypową aktywność RPC oraz zmiany w zasadach grupowych,
wykrywać próby dumpingu poświadczeń i dostępu do pamięci procesu LSASS,
blokować lub alarmować na nieautoryzowane wdrożenia beaconów i frameworków post-exploitation,
obserwować procesy kończące działanie usług bazodanowych, backupowych i wirtualizacyjnych,
odseparować kopie zapasowe od domeny produkcyjnej i ograniczyć możliwość ich modyfikacji,
wzmocnić segmentację sieci oraz ograniczyć ścieżki propagacji między krytycznymi strefami,
wdrożyć reguły detekcyjne bazujące na wskaźnikach kompromitacji i telemetrii od zaufanych dostawców,
regularnie ćwiczyć procedury reagowania na incydenty, w tym izolację kontrolerów domeny i awaryjne odtwarzanie usług.

Istotne pozostaje także centralne zbieranie logów z kontrolerów domeny, serwerów plików, środowisk ESXi oraz rozwiązań EDR i XDR. W podobnych incydentach skuteczność obrony zależy od czasu reakcji liczonego często w minutach.

Podsumowanie

The Gentlemen ewoluuje z relatywnie mniej nagłaśnianej operacji RaaS w kierunku bardziej dojrzałego modelu ataków na organizacje. Wykorzystanie SystemBC jako elementu infrastruktury pomocniczej, wsparcie przez Cobalt Strike oraz operowanie z poziomu kontrolera domeny pokazują, że zagrożenie wykracza daleko poza prosty model masowego szyfrowania danych.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że obrona przed ransomware musi obejmować nie tylko końcowy etap szyfrowania, ale także wcześniejsze fazy włamania: eskalację uprawnień, kradzież poświadczeń, tunelowanie ruchu i zdalne wdrażanie ładunków w całej domenie.

Źródła

Ukryte maszyny wirtualne z QEMU nowym narzędziem cyberprzestępców w atakach ransomware

Wprowadzenie do problemu / definicja

Cyberprzestępcy coraz częściej sięgają po legalne narzędzia administracyjne i wirtualizacyjne, aby ukryć swoją obecność w przejętych środowiskach. Jednym z najnowszych przykładów jest nadużywanie QEMU, otwartoźródłowego emulatora i hypervisora, do uruchamiania ukrytych maszyn wirtualnych bezpośrednio na zainfekowanych hostach.

Taka technika pozwala napastnikom stworzyć odseparowane środowisko operacyjne wewnątrz systemu ofiary. Dzięki temu mogą prowadzić rekonesans, kraść poświadczenia, przygotowywać eksfiltrację danych i rozwijać operację ransomware, pozostawiając mniej oczywistych śladów w samym systemie gospodarza.

W skrócie

Analitycy bezpieczeństwa zwracają uwagę na wzrost liczby incydentów, w których QEMU jest wykorzystywane jako mechanizm unikania detekcji. W opisanych kampaniach ukryte maszyny wirtualne służyły do utrzymania dostępu, uruchamiania narzędzi ofensywnych oraz maskowania aktywności po kompromitacji.

QEMU było używane jako warstwa skrytości dla działań po przełamaniu zabezpieczeń.
Zaobserwowano powiązania z operacjami prowadzącymi do wdrożenia ransomware.
Maszyny wirtualne ułatwiały rekonesans domenowy, kradzież poświadczeń i eksfiltrację danych.
Technika utrudniała pracę narzędzi EDR, AV i zespołów reagowania na incydenty.

Kontekst / historia

Wykorzystanie środowisk wirtualnych przez napastników nie jest całkowicie nowym zjawiskiem, ale obecnie zyskuje nowy wymiar operacyjny. W przeszłości podobne rozwiązania służyły głównie do ukrywania backdoorów, tunelowania ruchu lub izolowania złośliwych narzędzi od systemu hosta.

Obecnie maszyna wirtualna staje się pełnoprawnym zapleczem operacyjnym atakującego. Po uzyskaniu dostępu do środowiska ofiary napastnicy uruchamiają wewnętrzną platformę roboczą, z której realizują kolejne etapy ataku. Co ważne, metody wejścia do organizacji mogą się różnić, od luk w systemach zdalnego dostępu i help desk po słabo zabezpieczone urządzenia VPN, ale sam mechanizm ukrywania aktywności pozostaje podobny.

Analiza techniczna

Technika opiera się na dostarczeniu lub uruchomieniu komponentów QEMU na już skompromitowanym systemie. Następnie atakujący konfigurują start lekkiej maszyny wirtualnej w sposób maksymalnie dyskretny, często z wykorzystaniem zadań harmonogramu uruchamianych z uprawnieniami SYSTEM.

Istotną rolę odgrywa maskowanie artefaktów. Pliki obrazów dysków VM mogą otrzymywać nazwy sugerujące legalne elementy systemu, takie jak biblioteki, archiwa lub bazy danych. Dzięki temu obecność dodatkowego środowiska nie musi wzbudzać podejrzeń administratora ani prostszych mechanizmów detekcyjnych.

Wewnątrz ukrytej maszyny wirtualnej uruchamiany jest zwykle lekki system Linux wyposażony w zestaw narzędzi do działań ofensywnych. Taka architektura daje napastnikom kilka przewag:

oddziela złośliwe narzędzia od systemu gospodarza,
ogranicza liczbę bezpośrednich artefaktów na hoście,
ułatwia utrzymanie trwałości i ukrytego dostępu,
pozwala prowadzić komunikację z infrastrukturą atakującego przez tunele i przekierowania portów.

W analizowanych incydentach obserwowano wykorzystanie odwrotnych tuneli SSH, przekierowań portów oraz legalnych narzędzi administracyjnych do pobierania poświadczeń, kopiowania danych katalogowych i przeszukiwania zasobów sieciowych. W części kampanii tworzono również nowe konta administratorów, instalowano zdalne narzędzia dostępu, modyfikowano rejestr oraz osłabiano wybrane mechanizmy ochronne.

Z perspektywy obrony problem polega na tym, że duża część aktywności wykonywanej wewnątrz maszyny wirtualnej jest słabiej widoczna na poziomie hosta. Jeśli organizacja nie monitoruje procesów wirtualizacyjnych, nowych obrazów dysków, nietypowych zadań harmonogramu i podejrzanych połączeń tunelowanych, incydent może przez długi czas pozostać niewykryty.

Konsekwencje / ryzyko

Ukryte maszyny wirtualne z QEMU zwiększają skuteczność ataku, ponieważ łączą skrytość, elastyczność i trwałość. Dla napastnika oznacza to możliwość prowadzenia długotrwałej operacji po kompromitacji bez konieczności instalowania wielu jawnych komponentów na przejętym systemie.

Dla organizacji ryzyko jest poważne i obejmuje zarówno kradzież danych, jak i przygotowanie do szyfrowania zasobów. W praktyce może to oznaczać:

dłuższy czas obecności napastnika w środowisku,
większe ryzyko ruchu bocznego i eskalacji uprawnień,
utrudnioną analizę powłamaniową,
wyższe prawdopodobieństwo obejścia standardowych narzędzi ochronnych,
większą skalę strat operacyjnych i reputacyjnych po wdrożeniu ransomware.

Szczególnie narażone są środowiska z niewystarczającą ochroną zdalnego dostępu, bez wieloskładnikowego uwierzytelniania, z ograniczoną telemetrią oraz słabą kontrolą nad kontami uprzywilejowanymi i zadaniami harmonogramu.

Rekomendacje

Organizacje powinny traktować nadużywanie QEMU jako realny scenariusz unikania detekcji, a nie jedynie techniczną ciekawostkę. Skuteczna obrona wymaga połączenia monitoringu hosta, sieci i tożsamości.

Włączyć MFA dla wszystkich systemów zdalnego dostępu i portali administracyjnych.
Ograniczyć ekspozycję usług dostępnych z internetu oraz szybko łatać krytyczne podatności.
Monitorować uruchamianie procesów związanych z QEMU i innymi platformami wirtualizacyjnymi.
Audytować zadania harmonogramu, zwłaszcza te uruchamiane z wysokimi uprawnieniami.
Wykrywać tworzenie nowych obrazów dysków, nietypowych plików binarnych i ukrytych środowisk Linux na stacjach roboczych oraz serwerach.
Korelować zdarzenia procesowe z nietypowymi połączeniami sieciowymi, tunelami SSH i przekierowaniami portów.
Monitorować tworzenie nowych kont administratorów oraz dostęp do baz AD i repozytoriów poświadczeń.
Uwzględnić analizę ukrytych VM w procedurach reagowania na incydenty i playbookach IR.

Podsumowanie

Nadużywanie QEMU pokazuje, że cyberprzestępcy coraz sprawniej wykorzystują legalne technologie do budowy trudnych do wykrycia środowisk operacyjnych. Ukryta maszyna wirtualna uruchomiona na przejętym hoście może stać się centralnym punktem rekonesansu, kradzieży danych i przygotowania ataku ransomware.

Dla zespołów bezpieczeństwa oznacza to konieczność rozszerzenia detekcji poza klasyczne wskaźniki malware. Widoczność w obszarze lokalnej wirtualizacji, zadań harmonogramu, tunelowania ruchu i nadużywania narzędzi administracyjnych staje się dziś kluczowym elementem skutecznej obrony.

Źródła

https://news.sophos.com/en-us/2026/04/17/hidden-vms-the-abuse-of-qemu-for-malware-execution-persistence-and-evasion/
https://securityaffairs.com/190982/security/hidden-vms-how-hackers-leverage-qemu-to-stealthily-steal-data-and-spread-malware.html
https://nvd.nist.gov/vuln/detail/CVE-2025-26399
https://www.microsoft.com/en-us/security/blog/
https://www.huntress.com/blog

Nexcorium przejmuje urządzenia IoT: wariant Mirai wykorzystuje CVE-2024-3721 w rejestratorach TBK DVR

Wprowadzenie do problemu / definicja

Nowa kampania malware potwierdza, że urządzenia IoT nadal należą do najsłabiej chronionych elementów infrastruktury sieciowej. W centrum obserwowanej aktywności znalazł się Nexcorium, wariant botnetu Mirai, który wykorzystuje podatność CVE-2024-3721 do przejmowania rejestratorów TBK DVR i włączania ich do infrastruktury wykorzystywanej do ataków DDoS.

Mechanizm działania jest dobrze znany z wcześniejszych operacji Mirai: atakujący identyfikują podatne urządzenia brzegowe, uzyskują na nich wykonanie poleceń, dostarczają odpowiedni ładunek binarny, a następnie używają przejętych systemów do dalszej propagacji i realizacji złośliwych działań.

W skrócie

Nexcorium to wariant Mirai ukierunkowany na urządzenia IoT, w szczególności rejestratory TBK DVR.
Kampania wykorzystuje lukę command injection oznaczoną jako CVE-2024-3721.
Po infekcji malware pobiera ładunek dopasowany do architektury urządzenia i ustanawia trwałość.
Złośliwe oprogramowanie próbuje rozprzestrzeniać się dalej przez Telnet i słabe poświadczenia.
Głównym celem pozostaje budowa botnetu DDoS zdolnego do prowadzenia rozproszonych ataków odmowy usługi.

Kontekst / historia

Rodzina Mirai od lat pozostaje jednym z najważniejszych zagrożeń dla środowisk IoT. Jej skuteczność wynika z prostego modelu operacyjnego: automatycznego wyszukiwania słabo zabezpieczonych urządzeń, wykorzystywania znanych podatności lub domyślnych danych logowania oraz szybkiego dołączania ofiar do botnetu.

W przypadku Nexcorium istotne jest to, że CVE-2024-3721 nie pojawia się w krajobrazie zagrożeń po raz pierwszy. Publicznie ujawnione luki w urządzeniach IoT często pozostają aktywne przez długi czas, ponieważ wiele takich systemów działa poza standardowym procesem aktualizacji, nie jest objętych regularnym monitoringiem i bywa traktowanych jako komponenty pomocnicze, a nie krytyczne aktywa.

Na znaczeniu zyskuje również fakt, że operatorzy kampanii nie ograniczają się do jednego wektora ataku. W analizowanej aktywności odnotowano też próby wykorzystania podatności CVE-2023-33538 w starszych routerach TP-Link, co wpisuje się w szerszy trend automatycznego skanowania i nadużywania urządzeń wycofanych z eksploatacji lub pozostających bez wsparcia producenta.

Analiza techniczna

Łańcuch ataku rozpoczyna się od wykorzystania CVE-2024-3721, czyli błędu umożliwiającego wstrzyknięcie poleceń systemowych. Po uzyskaniu możliwości wykonania komend atakujący uruchamia skrypt typu downloader, którego zadaniem jest rozpoznanie architektury systemu Linux i pobranie odpowiedniego pliku binarnego malware.

Po uruchomieniu próbka wykazuje typowe cechy rodziny Mirai. Analizy wskazują na obecność zakodowanej konfiguracji, mechanizmów watchdog odpowiedzialnych za utrzymanie procesu przy życiu oraz modułów służących do przeprowadzania ataków DDoS przy użyciu różnych protokołów.

Nexcorium nie ogranicza się do jednorazowej infekcji. Malware zawiera również funkcje wspierające dalszą propagację, w tym wykorzystanie starszych exploitów oraz prób logowania przez Telnet przy użyciu list domyślnych lub słabych poświadczeń. Jeżeli logowanie powiedzie się, złośliwe oprogramowanie stara się uzyskać powłokę systemową, wdrożyć trwałość i przygotować urządzenie do komunikacji z infrastrukturą sterującą.

Mechanizmy persistence obejmują między innymi wpisy crontab i modyfikacje usług systemowych. Po ustanowieniu trwałości bot oczekuje na polecenia operatorów, a po zakończeniu instalacji może usuwać pierwotny plik binarny, by ograniczyć liczbę artefaktów pozostawionych po infekcji.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem kompromitacji jest włączenie urządzenia do botnetu DDoS. Dla organizacji oznacza to ryzyko wykorzystania własnej infrastruktury do ataków na podmioty trzecie, a także możliwość przeciążenia łączy, spadku jakości usług i zaburzenia działania systemów monitoringu lub urządzeń sieciowych.

Wysokie ryzyko dotyczy zwłaszcza środowisk, w których urządzenia IoT są wystawione bezpośrednio do Internetu, korzystają z domyślnych kont administracyjnych albo pozostają poza procesem zarządzania podatnościami. Rejestratory DVR i starsze routery bardzo często nie są objęte tym samym poziomem kontroli bezpieczeństwa co serwery czy stacje robocze.

Dodatkowym zagrożeniem jest możliwość dalszego rozprzestrzeniania infekcji. Jeśli malware wykorzystuje Telnet, znane poświadczenia i dodatkowe exploity, pojedyncze podatne urządzenie może stać się punktem wejścia do kolejnych systemów. W środowiskach przemysłowych, retail, biurowych i monitoringu wizyjnego może to przełożyć się na realne zakłócenia operacyjne.

Problem jest jeszcze poważniejszy w przypadku urządzeń wycofanych z eksploatacji. Brak wsparcia producenta oznacza, że trwałe obniżenie ryzyka często wymaga wymiany sprzętu lub jego pełnej izolacji od sieci publicznej i krytycznych segmentów infrastruktury.

Rekomendacje

W pierwszej kolejności organizacje powinny ustalić, czy w środowisku znajdują się podatne rejestratory TBK DVR oraz starsze routery brzegowe, które mogą być narażone na podobne kampanie. Pełna inwentaryzacja IoT jest warunkiem skutecznej redukcji ryzyka.

Ograniczyć lub całkowicie wyłączyć ekspozycję interfejsów administracyjnych do Internetu.
Zastosować dostępne poprawki bezpieczeństwa i aktualizacje producenta.
Wymienić urządzenia wycofane z eksploatacji lub pozbawione wsparcia.
Zmienić domyślne i słabe hasła, szczególnie dla kont uprzywilejowanych.
Wyłączyć Telnet i zastąpić go bezpieczniejszymi metodami zdalnego dostępu.
Wdrożyć segmentację sieci dla urządzeń IoT i oddzielić je od systemów krytycznych.
Monitorować ruch wychodzący pod kątem komunikacji C2 i anomalii typowych dla DDoS.
Sprawdzać obecność nietypowych wpisów crontab, usług systemowych i nieautoryzowanych procesów.
Korelować logi z firewalli, IDS/IPS oraz urządzeń brzegowych pod kątem prób skanowania i exploitacji.

Z perspektywy zespołów SOC uzasadnione jest przygotowanie reguł detekcji dla prób wykorzystania CVE-2024-3721, nietypowego ruchu Telnet, pobierania wieloarchitekturnych ładunków Linux oraz nagłego wzrostu ruchu UDP, TCP lub SMTP z urządzeń IoT.

Podsumowanie

Kampania z użyciem Nexcorium pokazuje, że botnety Mirai nadal skutecznie wykorzystują znane luki w masowo wdrażanych urządzeniach IoT. CVE-2024-3721 w rejestratorach TBK DVR stała się kolejnym przykładem podatności, która może posłużyć do szybkiego budowania infrastruktury DDoS i dalszej propagacji malware.

Najważniejszy wniosek dla organizacji jest jednoznaczny: bezpieczeństwo IoT musi być zarządzane z taką samą dyscypliną jak bezpieczeństwo serwerów i stacji roboczych. Bez inwentaryzacji, segmentacji, eliminacji domyślnych poświadczeń oraz planu wymiany urządzeń EoL podobne kampanie będą nadal skuteczne.

Źródła

The Hacker News – Mirai Variant Nexcorium Exploits CVE-2024-3721 to Hijack TBK DVRs for DDoS Botnet — https://thehackernews.com/2026/04/mirai-variant-nexcorium-exploits-cve.html
NVD – CVE-2024-3721 — https://nvd.nist.gov/vuln/detail/CVE-2024-3721
Fortinet FortiGuard Labs – analiza kampanii Nexcorium — https://www.fortinet.com/blog/threat-research/new-mirai-variant-nexcorium-targeting-tbk-dvr-devices
Palo Alto Networks Unit 42 – analiza prób wykorzystania CVE-2023-33538 — https://unit42.paloaltonetworks.com/tp-link-vulnerability-cve-2023-33538/
CISA Known Exploited Vulnerabilities Catalog — https://www.cisa.gov/known-exploited-vulnerabilities-catalog