Archiwa: Linux - Strona 37 z 42 - Security Bez Tabu

Tag: Linux

Krytyczna luka w React Native Community CLI (CVE-2025-11953): zdalne wykonanie kodu przez niezaufane żądania POST

Wprowadzenie do problemu / definicja luki

JFrog ujawnił krytyczną podatność CVE-2025-11953 (CVSS 9.8) w popularnym pakiecie npm @react-native-community/cli (i komponencie cli-server-api) wykorzystywanym do uruchamiania serwera deweloperskiego Metro w projektach React Native. Luka pozwala niezautoryzowanemu atakującemu na zdalne wykonanie poleceń poprzez wysłanie żądania POST do podatnego endpointu serwera. Błąd został załatany — poprawka dostępna jest od wersji 20.0.0 pakietu @react-native-community/cli-server-api.

W skrócie

  • CVE-2025-11953 umożliwia zdalne wykonanie kodu (RCE) na maszynie, która uruchomiła serwer Metro z podatną wersją CLI.
  • Dotyczy projektów inicjalizowanych z użyciem @react-native-community/cli (bez frameworka), gdy Metro nasłuchuje na interfejsach zewnętrznych. Expo i środowiska niekorzystające z Metro zwykle nie są podatne.
  • Wykonalność: pełne RCE potwierdzone na Windows; na macOS/Linux — uruchamianie arbitralnych programów z ograniczoną kontrolą argumentów (prawdopodobnie możliwa eskalacja po dalszych badaniach).
  • Aktualizacja do ≥20.0.0 (cli-server-api) lub wiązanie serwera do 127.0.0.1 niweluje ryzyko.

Kontekst / historia / powiązania

Zespół JFrog Security Research opisał podatność 4 listopada 2025 r.; SecurityWeek nagłośnił problem tego samego dnia. Meta (współopiekun ekosystemu RN) szybko wprowadziła poprawkę. Incydent wpisuje się w szerszy trend zagrożeń łańcucha dostaw JavaScript/npm oraz ataków na narzędzia deweloperskie.

Analiza techniczna / szczegóły luki

  • Zakres wersji: podatny jest komponent @react-native-community/cli-server-api w wersjach 4.8.0–20.0.0-alpha.2; naprawiono od 20.0.0. W praktyce dotyczy to również odpowiadających im wersji @react-native-community/cli.
  • Przyczyna: endpoint /open-url w middleware CLI przyjmował wartość z ciała żądania (req.body.url) i przekazywał ją bez walidacji do funkcji open() (pakiet open), co prowadzi do Command Injection. Dodatkowo serwer bywał wiązany do 0.0.0.0/[::] (zamiast localhost), wystawiając go na sieć.
  • Wektor ataku (bez uwierzytelniania): atakujący w tej samej sieci (lub przez ekspozycję portu) wysyła POST na podatny endpoint; na Windows możliwe jest wykonanie dowolnych poleceń shell (np. cmd /c ...).
  • Identyfikatory i scoring: CVE-2025-11953, CVSS 3.1: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
  • Advisory: wpis w GitHub Advisory Database opisuje podatność jako OS command injection w serwerze Metro otwieranym przez RN CLI.

Praktyczne konsekwencje / ryzyko

  • Przejęcie stacji deweloperskiej: uruchamianie arbitralnych poleceń (pełne RCE na Windows) może skutkować kradzieżą tokenów, kluczy SSH, poświadczeń do rejestrów, a nawet zatruciem łańcucha dostaw poprzez wstrzyknięcie backdoorów do kodu aplikacji.
  • Pivot w sieci firmowej: stanowiska Dev często mają szerokie uprawnienia i dostęp do CI/CD; złośliwy kod może rozprzestrzenić się do pipeline’ów. (Wniosek na bazie wektora RCE i typowych konfiguracji CI/CD).
  • Atak z sąsiedniej sieci / Wi-Fi gościnne: domyślny binding na wszystkie interfejsy zwiększa ryzyko w środowiskach współdzielonych (biura, coworkingi).

Rekomendacje operacyjne / co zrobić teraz

1) Natychmiastowe działania naprawcze

  • Zaktualizuj **@react-native-community/cli-server-api do wersji >= 20.0.0 we wszystkich projektach RN; w razie potrzeby zaktualizuj także @react-native-community/cli do wersji zgodnej z poprawką.
  • Jeśli aktualizacja teraz niemożliwa: uruchamiaj Metro z wiązaną pętlą zwrotną:
    npx react-native start --host 127.0.0.1

2) Detekcja i triage

  • Sprawdź, czy w projekcie/globalnie masz podatny pakiet:
    npm list @react-native-community/cli-server-api oraz npm list -g @react-native-community/cli-server-api.
  • Przejrzyj logi zapór/IDS oraz telemetrykę hostów pod kątem nietypowych żądań POST do serwera Metro i uruchomień procesów spoza IDE (zwłaszcza na Windows). (Dobre praktyki wynikające z wektora ataku).

3) Utwardzenie procesu developerskiego

  • Ogranicz ekspozycję: tuneluj dostęp do Metro przez adb reverse/USB lub używaj sieci izolowanych dla dev.
  • Higiena sekretów: rotuj tokeny npm/GitHub, klucze SSH i ciasteczka SSO, jeśli Metro było wystawione i podatne.
  • CI/CD: uruchamiaj buildy w czystych, odseparowanych agentach; włącz skan zależności (SCA) i SAST (np. reguły wykrywające flow req.bodyopen()). (Rekomendacje spójne z analizą JFrog).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • W przeciwieństwie do wielu incydentów npm z 2025 r. (ataków supply-chain poprzez zainfekowane pakiety), CVE-2025-11953 nie wymaga zainstalowania złośliwej wersji biblioteki — atak trafia w interfejs HTTP serwera dev działający lokalnie, ale często wystawiony do sieci. (Porównanie do ostatnich kampanii npm ma charakter kontekstowy).

Podsumowanie / kluczowe wnioski

  • Zagrożenie jest realne i krytyczne (CVSS 9.8): wystarczy niezaufane żądanie POST do serwera Metro.
  • Patch jest dostępny: aktualizuj do @react-native-community/cli-server-api >= 20.0.0 i/lub wiąż Metro do 127.0.0.1.
  • Zadbaj o higienę środowisk Dev: ogranicz ekspozycję, rotuj sekrety, wzmocnij monitoring oraz polityki CI/CD.

Źródła / bibliografia

  • JFrog Security Research — „Critical RCE Vulnerability CVE-2025-11953 Puts React Native Developers at Risk” (04.11.2025). Szczegóły techniczne, zakres wersji, mitigacje. (JFrog)
  • SecurityWeek — „Critical Flaw in Popular React Native NPM Package Exposes Developers to Attacks” (04.11.2025). Ujęcie newsowe, kontekst i potwierdzenie patcha. (SecurityWeek)
  • GitHub Advisory Database — opis OS command injection w Metro/CLI (CVE-2025-11953). (GitHub)
  • JFrog Advisory (JFSA-2025-001495618) — karta podatności, komponent i zakres wersji. (research.jfrog.com)
  • CVE feed (CVSS/Wejście CVE) — wektor i metadane CVE-2025-11953. (cvefeed.io)

Rosyjska grupa Curly COMrades ukrywa malware w linuksowych VM-ach Hyper-V, by omijać EDR

Wprowadzenie do problemu / definicja techniki

Badacze opisali nową technikę operacyjną grupy Curly COMrades: po kompromitacji hosta z Windows napastnicy włączają Hyper-V i importują ukrytą, minimalistyczną maszynę wirtualną z Alpine Linux, w której uruchamiają własne implanty. Dzięki izolacji wykonywania w VM unikają detekcji przez rozwiązania EDR działające na hoście.

W skrócie

  • Atakujący tworzą lekki VM (ok. 120 MB dysku, 256 MB RAM) na Hyper-V i nazywają go „WSL”, aby zlał się z otoczeniem.
  • Wewnątrz VM działają CurlyShell (reverse shell przez HTTPS, persystencja cron) i CurlCat (reverse proxy/SSH→HTTPS).
  • VM używa Default Switch Hyper-V, więc cały ruch wygląda jakby pochodził z IP hosta. To utrudnia sieciową detekcję C2.
  • Kampania była obserwowana m.in. latem 2025 r.; badania prowadził Bitdefender z udziałem CERT Gruzja.

Kontekst / historia / powiązania

Curly COMrades to aktor APT działający co najmniej od 2024 r., powiązany z celami zgodnymi z interesami Rosji. Wcześniejsze aktywności obejmowały m.in. sektor publiczny w Gruzji i energetykę w Mołdawii. Najnowsza publikacja rozszerza znane TTP o trwałą obecność w VM Hyper-V na hostach ofiar.

Analiza techniczna / szczegóły luki

Wejście i przygotowanie środowiska

  • Napastnicy zdalnie włączają rolę Hyper-V i wyłączają interfejs zarządzania, używając poleceń DISM; następnie importują prekonfigurowaną VM (VMCX/VHDX) i startują ją PowerShellem: Import-VM oraz Start-VM -Name WSL. Pliki VM trafiają pod mylącą ścieżkę w C:\ProgramData\Microsoft\AppV\app\.

Konfiguracja VM

  • VM z Alpine Linux jest skrojony „pod ofiarę” (m.in. wpisy /etc/hosts, niestandardowy DNS w /etc/resolv.conf). Sieć ustawiona na Default Switch (NAT), co tuneluje ruch przez stos sieciowy hosta.

Implanty i persystencja

  • CurlyShell (ELF, C++, libcurl) – reverse shell przez HTTPS, uruchamiany okresowo via cron; ukrywa I/O, stosuje niestandardową bazę Base64 w protokole C2. Przykładowy hash: MD5 c6dbf3de8fd1fc9914fae7a24aa3c43d.
  • CurlCat (ELF, C++, libcurl) – lekki tunnel/ProxyCommand w ~/.ssh/config, pakuje SSH w HTTP/HTTPS; przykład MD5: 1a6803d9a2110f86bb26fcfda3606302.

Dalsze operacje

  • Skrypty PowerShell do lateral movement/persystencji (m.in. wstrzyknięcia biletów Kerberos do LSASS oraz zadania GPO zakładające lokalne konta).

Praktyczne konsekwencje / ryzyko

  • Omijanie EDR host-based: wykonanie i artefakty procesu są „przeniesione” do VM, a ruch C2 bywa widoczny jedynie jako zwykły HTTPS z IP hosta. Bez inspekcji na granicy host↔VM anomalia może pozostać niewidoczna.
  • Trwałość i pivot: reverse proxy ułatwia skryte łącza zwrotne i przesiadki w sieci, także gdy host jest pozornie „czysty”.
  • Mylenie obrony: nazwanie VM jako „WSL” i ulokowanie plików w ProgramData\Microsoft\AppV\ ma obniżyć czujność operatorów SOC.

Rekomendacje operacyjne / co zrobić teraz

  1. Inwentaryzacja i kontrola wirtualizacji
    • Wymuś politykę: Hyper-V wyłączone na stacjach/serwerach, gdzie nie jest potrzebne. Alarmuj na nagłe włączenie roli Hyper-V (zapis DISM), import/start VM (logi Hyper-V/VMMS) oraz tworzenie VMCX/VHDX w nietypowych ścieżkach (ProgramData\Microsoft\AppV\...).
  2. Telemetria host↔VM i sieć
    • Monitoruj interfejs vEthernet (Default Switch), nietypowe połączenia wychodzące przez 443 z hostów bez roli serwerowej, a także HTTP/HTTPS z długimi sesjami i stałą entropią (tunnel). Stosuj egress filtering i listy dozwolonych kierunków.
  3. Hunting
    • Szukaj: Start-VM -Name WSL, Import-VM na hostach użytkowników; śladów RAR/WinRAR rozpakowujących VM z archiwów; obecności katalogu AppV\app\Virtual Machines\*.vmcx. W logach PowerShell – nietypowe I/O redirection typu | cmd > %ProgramData%\WindowsUpdateTask_*.tmp.
  4. EDR/EDR+NDR
    • Uzupełnij EDR o host-based network inspection (np. sensoring ruchu z interfejsów wirtualnych) i detekcje HTTPS-tunnel. Bez takiej warstwy VM-based C2 może pozostać niewidoczny.
  5. Twardnienie i polityki
    • Blokuj możliwość Import-VM/Start-VM dla zwykłych użytkowników; kontroluj WinRM/PowerShell Remoting, używaj Credential Guard/LSA Protection, ogranicz Kerberos ticket manipulation.
  6. IR: triage VM-ów
    • Jeśli wykryto ślady: zrzut konfiguracji Hyper-V (VM list, switch, NAT), snapshot dysku VHDX do analizy (montaż read-only), sprawdzenie cronów w /etc/crontabs i plików /bin/init_tools, /root/updater, ~/.ssh/config. Hashy CurlyShell/CurlCat porównaj z IOC z publikacji.

Różnice / porównania z innymi przypadkami

Kryminaliści/ransomware wcześniej wykorzystywali VM-y (np. do szyfrowania z wnętrza maszyny), jednak Curly COMrades idzie dalej: VM stanowi bazę operacyjną C2 z customowymi implantami i trwałą łącznością, a nie tylko jednorazowym narzędziem. Nowością jest też agresywne „udawanie” WSL i prekonfigurowany tunel SSH→HTTPS oparty na własnym komponencie (CurlCat).

Podsumowanie / kluczowe wnioski

  • Wirtualizacja to nie „bezpieczna strefa” – to wektor ukrywania operacji.
  • Widoczność w warstwie Hyper-V (zdarzenia, konfiguracje, pliki) i inspekcja ruchu z interfejsów wirtualnych stają się krytyczne.
  • Implementuj zasadę najmniejszych uprawnień dla operacji Hyper-V, monitoruj Default Switch i poluj na artefakty „WSL” w Hyper-V.

Źródła / bibliografia

  • Bitdefender: „Curly COMrades: Evasion and Persistence via Hidden Hyper-V Virtual Machines” (04.11.2025) – analiza techniczna, TTP, IoC. (Bitdefender)
  • BleepingComputer: „Russian hackers abuse Hyper-V to hide malware in Linux VMs” (04.11.2025) – omówienie kampanii. (BleepingComputer)
  • Dark Reading: „Pro-Russian Hackers Use Linux VMs to Hide in Windows” (04.11.2025) – kontekst i wnioski. (darkreading.com)
  • The Register: „Russian spies pack custom malware into hidden VMs on Windows” (04.11.2025) – streszczenie i cytaty z badań. (The Register)

Najczęściej Wykorzystywane Podatności CVE W Atakach Cybernetycznych

CVE, które przeszły do historii

Altualne na dzień 3.11.2025 – Artykuł będzie aktualizowany planowo 2 razy do roku.

Analizy firm z branży cyberbezpieczeństwa (m.in. Mandiant, Rapid7, Recorded Future, MITRE ATT&CK, Palo Alto Unit 42) oraz instytucji rządowych (CISA, FBI) wskazują na listę podatności, które były najczęściej wykorzystywane przez grupy APT oraz cyberprzestępców w latach 2010–2024.

Czytaj dalej „Najczęściej Wykorzystywane Podatności CVE W Atakach Cybernetycznych”

CVE – Kompleksowy Przewodnik Po Lukach Bezpieczeństwa

Co to jest CVE (Common Vulnerabilities and Exposures)?

CVE (Common Vulnerabilities and Exposures) to międzynarodowy standard nazewnictwa publicznie znanych luk bezpieczeństwa w oprogramowaniu i sprzęcie. Mówiąc prościej, jest to lista unikatowych identyfikatorów podatności oraz związany z nią system ich katalogowania. Dzięki CVE specjaliści ds. cyberbezpieczeństwa na całym świecie mogą mówić jednym językiem o konkretnych lukach – niezależnie od platformy czy producenta.

Czytaj dalej „CVE – Kompleksowy Przewodnik Po Lukach Bezpieczeństwa”

CISA nakazuje agencjom federalnym załatać lukę w VMware Tools wykorzystywaną od października 2024 r.

Wprowadzenie do problemu / definicja luki

CISA ostrzegła, że luka CVE-2025-41244 dotycząca VMware Tools oraz VMware Aria Operations jest aktywnie wykorzystywana. Błąd umożliwia lokalne podniesienie uprawnień do roota na maszynie wirtualnej (VM), jeśli spełnione są określone warunki konfiguracyjne. Agencjom FCEB w USA wyznaczono termin do 20 listopada 2025 r. na załatanie systemów; podatność trafiła do KEV (Known Exploited Vulnerabilities).

W skrócie

  • CVE-2025-41244: lokalny EoP w VMware Tools/Aria Operations (CVSS do 7,8). Warunek: VM z VMware Tools zarządzany przez Aria Operations z SDMP (Service Discovery Management Pack) włączonym. Brak obejść – tylko aktualizacja.
  • Eksploatacja: potwierdzona „in the wild”, przypisywana grupie UNC5174; początki co najmniej w połowie października 2024 r.
  • Terminy: CISA wymaga patchowania w FCEB do 20.11.2025 (BOD 22-01).
  • Wydane poprawki: m.in. VMware Tools 13.0.5 / 12.5.4 oraz Aria Operations 8.18.5; open-vm-tools dostarczają dystrybucje Linuksa.

Kontekst / historia / powiązania

Broadcom (VMware) opublikował VMSA-2025-0015 29 września 2025 r., aktualizowany 30 października 2025 r., obejmujący trzy luki: CVE-2025-41244 (EoP), CVE-2025-41245 (ujawnienie informacji w Aria Ops) oraz CVE-2025-41246 (niewłaściwe autoryzowanie w VMware Tools dla Windows). Zgodnie z informacjami producenta oraz analizami zewnętrznymi, CVE-2025-41244 była wykorzystywana jako zero-day od 2024 r., zanim pojawiły się łatki.

CISA dodała te podatności (w szczególności CVE-2025-41244) do KEV, co zgodnie z BOD 22-01 uruchamia obowiązkowe okno remediacji dla agencji federalnych. Media branżowe (BleepingComputer) podają wprost deadline 20 listopada 2025 r.

Analiza techniczna / szczegóły luki

  • Wektor ataku: napastnik z lokalnym kontem nie-admina na VM może eskalować uprawnienia do root/SYSTEM, jeżeli:
    1. na VM zainstalowano VMware Tools,
    2. VM jest zarządzany przez Aria Operations,
    3. w Aria włączono SDMP.
  • Zakres wersji (wg MS-ISAC/CIS): podatne VMware Tools < 13.0.5 / 12.5.4 (oraz 13.0.5 dla niektórych pakietów), Aria Operations < 8.18.5, VCF Operations < 9.0.1.0.
  • Szczegóły exploitacji: analiza NVISO wskazuje nadużycie funkcji z dopasowaniami regex w get_version(), z obserwowanym stagingiem plików m.in. w /tmp/httpd podczas przygotowania payloadu do eskalacji.
  • Dodatkowe luki z VMSA:
    • CVE-2025-41245 – wyciek poświadczeń w Aria Ops (CVSS 4,9).
    • CVE-2025-41246 – niewłaściwe autoryzowanie w VMware Tools dla Windows; wymaga uwierzytelnienia w vCenter/ESXi i znajomości haseł, może umożliwić dostęp do innych VM.

Praktyczne konsekwencje / ryzyko

  • Po kompromitacji punktu wejścia (np. przez phish lub inną lukę) atakujący mogą wykorzystać CVE-2025-41244 do szybkiego podniesienia uprawnień i utrwalenia się na VM, co ułatwia ruch lateralny w środowiskach multi-tenant i MSP.
  • Użycie SDMP w Aria Operations poszerza powierzchnię ataku — organizacje, które go włączają, muszą traktować patch jak priorytet typu „now”.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiast aktualizuj do wersji naprawczych:
    • VMware Tools: 13.0.5 (gałąź 13.x) lub 12.5.4 (gałąź 12.x; 12.4.9 dla 32-bit Windows w pakiecie 12.5.4).
    • Aria Operations: 8.18.5.
    • VCF Operations: 9.0.1.0.
    • open-vm-tools (Linux): zastosuj wydania od dystrybutorów.
  2. Zweryfikuj konfigurację SDMP w Aria Operations; jeżeli nie jest niezbędny, rozważ tymczasowe wyłączenie do czasu pełnej remediacji. (Brak oficjalnych obejść; producent zaleca patch).
  3. Hunting / IOCs: przeszukaj hosty pod kątem podejrzanych binariów umieszczanych w ścieżkach jak /tmp/httpd oraz artefaktów wskazujących na nadużycie get_version()/regex.
  4. Utwierdź kontrolę uprawnień: egzekwuj zasadę least privilege dla kont w VM i rolach Aria Ops; zrewiduj konta serwisowe i rotuj poświadczenia.
  5. Zarządzanie lukami: włącz CVE-2025-41244 do backlogu „patch within 72h” (priorytet 1) i monitoruj KEV pod kątem zmian.
  6. Testy regresji: po aktualizacji narzędzi/agentów w VM zweryfikuj integracje (backupy, EDR, monitoring) oraz zgodność narzędzi automatyzujących gościa.

Różnice / porównania z innymi przypadkami

  • W odróżnieniu od wcześniejszych, host-escape luk w ESXi/Workstation, CVE-2025-41244 jest lokalne (wewnątrz VM) i wymaga włączonego SDMP; nadal jednak świetnie nadaje się post-exploitation do utrzymania i lateralnego ruchu.
  • W stosunku do CVE-2025-41246 (improper authorization w Tools for Windows), 41244 daje bezpośrednie EoP, podczas gdy 41246 wymaga dodatkowych warunków (uwierzytelnienie w vCenter/ESXi i znajomość haseł).

Podsumowanie / kluczowe wnioski

  • Patch teraz: luka jest aktywnie wykorzystywana co najmniej od 10.2024, a CISA dała sektorowi federalnemu twardy termin 20.11.2025.
  • Zaktualizuj VMware Tools, Aria Operations i powiązane komponenty zgodnie z VMSA-2025-0015; brak obejść.
  • Wykonaj hunting pod kątem śladów /tmp/httpd i innych artefaktów opisanych przez badaczy; wzmocnij kontrolę uprawnień.

Źródła / bibliografia

  1. BleepingComputer — CISA orders feds to patch VMware Tools flaw exploited since October 2024 (30.10.2025). (BleepingComputer)
  2. CISA — Known Exploited Vulnerabilities (KEV) Catalog; wpisy dot. VMware Tools/Aria Operations dodane 30–31.10.2025. (cisa.gov)
  3. Broadcom (VMware) — VMSA-2025-0015 / .1: VMware Aria Operations and VMware Tools updates address multiple vulnerabilities (29.09.2025; aktualizacja 30.10.2025). (Support Portal)
  4. Field Effect — Broadcom patches VMware flaw used by China-based threat actor (01.10.2025). (fieldeffect.com)
  5. CIS/MS-ISAC — Multiple Vulnerabilities in VMware Aria Operations and VMware Tools Could Allow for Privilege Escalation (30.09.2025). (CIS)

Qilin (dawniej Agenda) nadużywa WSL, aby uruchamiać linuksowe szyfratory w Windows. Co to oznacza dla SOC?

Wprowadzenie do problemu / definicja luki

Operatorzy ransomware Qilin (znani wcześniej jako Agenda) zostali zaobserwowani przy uruchamianiu linuksowych binarek szyfrujących na hostach Windows poprzez Windows Subsystem for Linux (WSL). Ten zabieg utrudnia wykrywanie, bo wiele rozwiązań EDR/NDR ma profil detekcji skupiony na natywnych procesach Windows i klasycznych łańcuchach ataku. Informację nagłośnił 28 października 2025 r. serwis BleepingComputer, opierając się na świeżych obserwacjach z kampanii Qilin.

W skrócie

  • Nowy wektor: uruchamianie linuksowego szyfratora w Windows przez WSL, często dostarczanego z legalnymi narzędziami RMM/transferu plików.
  • Cel atakującego: ominięcie części polityk EDR/AV, które nie śledzą dokładnie artefaktów i syscalls powiązanych z WSL.
  • TTPs w kampaniach Qilin: zdalne zarządzanie (AnyDesk/ScreenConnect/Quick Assist), BYOVD do wyłączania zabezpieczeń, lateral movement po kradzieży poświadczeń.
  • Skala i dotkliwość: Qilin jest aktywną operacją RaaS od 2022 r.; w 2025 r. łączono go m.in. z atakami na podmioty przemysłowe i produkcyjne (np. Asahi Group w Japonii).

Kontekst / historia / powiązania

Qilin wystartował jako Agenda w 2022 r., szybko ewoluując (m.in. wariant Rust, szyfrowanie przerywane, wersje na Linux/ESXi). W 2024 r. amerykańskie HHS opublikowało profil zagrożenia Agenda/Qilin, opisując klasyczne wektory wejścia (phishing, RDP/VPN, kradzież poświadczeń). Dzisiejsze kampanie dodają warstwę „cross-platform” dzięki WSL.

W październiku 2025 r. media informowały o przypisywaniu przez Qilin głośnych incydentów w sektorze produkcyjnym (Asahi Group). To wskazuje, że grupa celuje w operacje o niskiej tolerancji na przestoje, gdzie presja na zapłatę okupu jest większa.

Analiza techniczna / szczegóły ataku

Łańcuch ataku obserwowany w kampaniach Qilin (Agenda):

  1. Dostęp początkowy: phishing, nadużycie RDP/VPN lub skompromitowane konta; następnie instalacja legalnych narzędzi RMM (AnyDesk, ScreenConnect, Quick Assist itd.) dla utrwalenia i ręcznego sterowania.
  2. Przygotowanie środowiska: pobranie komponentów, często z wykorzystaniem BYOVD (Bring Your Own Vulnerable Driver) w celu wyłączenia EDR/AV i eskalacji uprawnień.
  3. Wykorzystanie WSL:
    • Włączenie WSL (jeśli wyłączony) i/lub doinstalowanie dystrybucji,
    • Dostarczenie linuksowego szyfratora ( ELF ),
    • Uruchomienie go w kontekście WSL, co daje dostęp do wolumenów Windows (np. /mnt/c) i udziałów sieciowych.
      Ten krok utrudnia detekcję, jeśli telemetria nie koreluje zdarzeń WSL z aktywnością na NTFS/Samba.
  4. Szyfrowanie i działania końcowe: niszczenie shadow copies/backupów, eksfiltracja i podwójny szantaż. (Warianty Qilin dokumentowano na Windows i Linux/ESXi).

Dlaczego to działa?

  • Procesy w przestrzeni WSL mogą generować IO na dyskach Windows, ale część rozwiązań ochronnych nie ma kompletnej widoczności syscalls/strumieni z warstwy WSL i nie łączy ich z efektami w NTFS. Elastic publikuje konkretne procedury detekcji „Suspicious Execution via WSL” i zaleca korelację telemetryczną (Defender, Sysmon, Endgame).

Praktyczne konsekwencje / ryzyko

  • Zwiększona szansa na „silent failure” detekcji – klasyczne reguły oparte na vssadmin, znanych packerach czy LOLBins Windows mogą nie zadziałać, jeśli właściwy szyfrator działa jako ELF w WSL.
  • Szybsze szyfrowanie zasobów sieciowych – binarka Linux może agresywnie iterować po udostępnionych zasobach (SMB/NFS), redukując czas do pełnego „blast radius”.
  • Ryzyko „false negative” w IR – bez dowodów na klasyczne narzędzia Windows zespoły IR mogą mylnie ocenić źródło szyfrowania i przeoczyć artefakty WSL.

Rekomendacje operacyjne / co zrobić teraz

1) Widoczność i telemetria WSL

  • Włącz logowanie i korelację zdarzeń WSL z IO na NTFS; stosuj gotowe reguły detekcji „Suspicious Execution via WSL” (Elastic) i ich odpowiedniki w SIEM/EDR. Monitoruj uruchomienia wsl.exe, tworzenie nowych dystrybucji i nietypowe procesy potomne.

2) Twarde kontrolki konfiguracyjne

  • Jeśli WSL nie jest potrzebny – wyłącz i egzekwuj to GPO/Intune.
  • Ogranicz instalację/uruchamianie niezatwierdzonych dystrybucji WSL (allow-list).

3) Ochrona przed BYOVD i RMM

  • Blokuj znane podatne sterowniki (WDAC/ Defender Attack Surface Reduction, polityki blokowania sterowników).
  • Wdróż kontrolę legalnych RMM (allow-list + monitorowanie anomalii, m.in. AnyDesk, ScreenConnect, Quick Assist), bo Qilin używa ich do dostarczania ładunku i utrzymania.

4) Backupy i segmentacja

  • Odseparuj repozytoria kopii zapasowych, testuj immutable snapshots i procedury odtwarzania. (Qilin celuje w backupy przed szyfrowaniem).

5) Playbook IR (aktualizacja pod WSL)

  • Dodaj kroki: enumeracja dystrybucji WSL, przegląd procesów ELF, artefaktów w %LOCALAPPDATA%\\Packages\\*Linux*, policji sieciowej WSL (gdy aktywna). Uwzględnij typowe ścieżki montowania (/mnt/c, /mnt/d itd.).

6) Higiena dostępu

  • MFA wszędzie, rotacja haseł po incydencie, zamykanie zbędnych RDP/VPN, polityki najmniejszych uprawnień – to nadal podstawy zgodne z zaleceniami profilu zagrożenia Qilin.

Różnice / porównania z innymi przypadkami

  • Klasyczne ransomware na Windows: bazuje na LOLBins (vssadmin, wmic), API Win32 i anty-debug, które łatwiej profilować.
  • Model Qilin z WSL: cross-platform, mniejsza sygnaturowość w warstwie Windows, inna telemetria, inne artefakty dyskowe i pamięciowe. Wymaga innych punktów obserwacji (mapowanie aktywności WSL ↔ NTFS).

Podsumowanie / kluczowe wnioski

Qilin podnosi poprzeczkę, łącząc Windows z Linuxem na jednym hoście i przesuwając środek ciężkości detekcji do obszarów, które wiele organizacji ignoruje: WSL, BYOVD oraz legalne RMM. Jeżeli nie monitorujesz WSL i nie egzekwujesz polityk RMM/sterowników, zostawiasz widoczną szczelinę w obronie. Priorytetem jest telemetria WSL + kontrola RMM + polityki sterowników + odporne backupy.

Źródła / bibliografia

  1. BleepingComputer – „Qilin ransomware abuses WSL to run Linux encryptors in Windows”, 28 października 2025. (BleepingComputer)
  2. Trend Micro Research – „Agenda Ransomware Deploys Linux Variant on Windows Systems…”, 23 października 2025. (www.trendmicro.com)
  3. Elastic Security – „Suspicious Execution via Windows Subsystem for Linux” (poradnik detekcji). (Elastic)
  4. HHS – „Qilin (Agenda) Threat Profile”, 18 czerwca 2024 (TLP:CLEAR). (HHS.gov)
  5. Reuters – „‘Qilin’ cybercrime gang claims hack on Japan’s Asahi Group”, 7 października 2025. (Reuters)

Qilin (Agenda) – jak działa jedna z najaktywniejszych operacji ransomware w 2025 r. według Cisco Talos

Wprowadzenie do problemu / definicja luki

Cisco Talos opisał szereg incydentów z 2025 r., które ujawniają aktualny łańcuch ataku Qilin (dawniej Agenda) – jednego z najbardziej „produktywnych” gangów ransomware. Zespół IR Talosa obserwuje ponad 40 publikacji ofiar miesięcznie na stronie wycieków Qilin, ze szczytami aktywności sięgającymi ~100 przypadków (czerwiec i sierpień 2025). Najmocniej cierpi produkcja, a dalej usługi profesjonalne i handel hurtowy.

W skrócie

  • Model RaaS: Qilin działa jako usługa, rozwijając platformę i udostępniając ją afilantom; podwójny szantaż (szyfrowanie + wyciek).
  • Początkowy dostęp: w badanych sprawach częste są nadużycia ważnych kont/VPN bez MFA, czasem zmiany GPO w AD w celu włączenia RDP; obserwowano także spear-phishing i wykorzystanie wycieków haseł.
  • Eksfiltracja: paczkowanie WinRAR, przesył przez legalne narzędzia (np. Cyberduck do Backblaze), „ręczne” przeglądanie danych nawet notatnikiem/mspaint.
  • Ruch boczny i utrzymanie: PsExec, modyfikacje zapory i RDP, instalacje wielu RMM (AnyDesk, ScreenConnect, Chrome Remote Desktop itd.).
  • Szyfrowanie: wariant Qilin.B (Rust) używa AES-256-CTR lub ChaCha20 + RSA-4096 (OAEP), terminacja usług backup/DB/AV, czyszczenie logów i niszczenie VSS.
  • Skala zagrożenia: w II kw. 2025 Qilin był najaktywniejszym ransomware wobec podmiotów SLTT w USA (MS-ISAC).

Kontekst / historia / powiązania

Qilin (wcześniej Agenda) działa od lipca 2022 r., oferując RaaS i prowadząc wycieki danych na własnym portalu. Z czasem ewoluował technicznie (m.in. przepisany na Rust; utrzymano też wersje Linux/ESXi) i organizacyjnie (aktywny rekrut na forach). W 2024 r. HHS/HC3 publikował profil zagrożenia wskazujący na spear-phishing i warianty Windows/Linux; w 2024/2025 Halcyon śledził wariant Qilin.B z usprawnioną kryptografią i ewakuacją kluczowych artefaktów.

W 2025 r. incydenty przypisywane Qilin odnotowano w różnych sektorach i krajach; przykładem jest głośny atak na japoński Asahi Group (zakłócenia produkcji i publikacja danych).

Analiza techniczna / szczegóły luki

Wejście / inicjalny dostęp

  • Nadużycie ważnych kont i brak MFA na VPN; wzmożone próby NTLM po pojawieniu się haseł w darknecie; możliwe zmiany GPO w celu ułatwienia RDP.
  • (Historycznie) spear-phishing, w tym złośliwe załączniki i kradzież poświadczeń.

Rozpoznanie i zbieranie

  • nltest, net user, whoami /priv, tasklist; narzędzia skanowania sieci; dedykowany pakiet do zrzutu haseł (NirSoft, Mimikatz). Modyfikacja WDigest (UseLogonCredential=1) ułatwiająca pozyskanie plaintextów. Dane agregowane skryptami i eksportowane (SMTP, pliki wynikowe z kodowaniem Windows-1251).

Eksfiltracja

  • Archiwizacja WinRAR, inspekcja dokumentów nawet przez notepad.exe/mspaint.exe/iexplore.exe; nadużycie Cyberduck do chmury (Backblaze) z podziałem na części.

Eskalacja uprawnień i ruch boczny

  • Dodawanie napastniczych kont do Local Administrators, wymuszanie RDP, tworzenie udziałów typu net share c=c:\ /grant: everyone,full; rozproszenie przez PsExec. Obserwacje wielu RMM (AnyDesk, ScreenConnect, Distant Desktop, QuickAssist, Chrome Remote Desktop).

Unikanie obrony

  • Silnie zaciemniony PowerShell z wyłączeniem AMSI, obejściem walidacji TLS oraz włączeniem Restricted Admin dla RDP (hash-based auth).

Przygotowanie środowiska i trwałość

  • Wyłączanie/ubijanie procesów AV/backup/DB, czyszczenie logów, tworzenie Scheduled Task („TVInstallRestore”) i wpisów Run podszywających się pod TeamViewer.

Szyfrowanie (Qilin.B)

  • Kombinacja AES-256-CTR (jeśli dostępne AES-NI) / ChaCha20 (fallback) + RSA-4096/OAEP do ochrony kluczy; noty okupu README-RECOVER-[company_id].txt; rozszerzenia plików wg unikalnego ID ofiary. Wykrywana enumeracja udziałów i dysków, ukierunkowanie na ClusterStorage/CSV (Hyper-V/VM/VHDX) przy jednoczesnym unikaniu pętli po symlinkach. Usuwanie VSS i autodestrukcja binarium.

IOCs i detekcje

  • Talos publikuje wykazy IOC (GitHub), Snort SID oraz ClamAV (np. Win.Ransomware.Qilin, SystemBC, Cobalt Strike).

Praktyczne konsekwencje / ryzyko

  • Czas przestoju: ataki celują w środowiska wirtualizacji i plików współdzielonych (CSV/Hyper-V), co zwiększa wpływ na produkcję i usługi krytyczne.
  • Ryzyko reputacyjne i prawne przez systematyczną ekfiltrację (Backblaze/Cyberduck) oraz publikację na stronie wycieków.
  • Trend rynkowy: Qilin był w Q2 2025 najaktywniejszą rodziną wobec SLTT w USA, co potwierdza jego dojrzałość operacyjną i tempo działania.
  • Incydenty głośne medialnie (np. Asahi) pokazują realny wpływ na produkcję i łańcuch dostaw.

Rekomendacje operacyjne / co zrobić teraz

Kontrole prewencyjne

  1. MFA bez wyjątków na VPN, RDP, poczcie i aplikacjach krytycznych; wymuś klient-based MFA dla kont uprzywilejowanych.
  2. Higiena tożsamości: rotacja haseł po wyciekach, blokady na „password spraying” (T1110.003), monitorowanie NTLM.
  3. Twardnienie RDP: wyłącz zdalne logowanie tam, gdzie zbędne; kontrola fDenyTSConnections, ograniczenia sieciowe/Jump Host; Restricted Admin tylko jeśli świadomie zarządzany.
  4. Egress/Exfil kontrola: DLP/CTI-driven blokady dla Backblaze i nietypowych klientów S3/WebDAV; monitoruj użycie Cyberduck, WinRAR w trybie archiwizacji masowej.
  5. Backup i odzyskiwanie: izolowane kopie, testy odtwarzania, ochrona VSS przed usuwaniem; segmentacja Hyper-V/CSV.

Detekcja i reagowanie (SOC/SIEM/EDR)

  • Reguły: Snort/ClamAV zgodnie z publikacją Talos; korelacje dla PsExec, net share c=, WDigest UseLogonCredential=1, zaciemnionego PowerShell wyłączającego AMSI, nietypowego schtasks /Create /SC ONLOGON.
  • Artefakty RMM: wykrywaj instalacje/połączenia AnyDesk/ScreenConnect/Chrome Remote Desktop/QuickAssist poza listą zatwierdzonych rozwiązań.
  • Kryptonotatki/rozszerzenia: alarmy na README-RECOVER-[company_id].txt oraz nowe rozszerzenia „.[company_id]”.

Procedury IR

  • Izolacja i triage hostów z aktywnością WinRAR/Cyberduck, ścieżkami Backblaze, masową terminacją usług bezpieczeństwa/backup.
  • Łańcuch dowodowy: zabezpieczenie logów przed czyszczeniem (wczesna centralizacja, forward-only, write-once).
  • Komunikacja kryzysowa i ocena ryzyka wycieku (PII, IP, dane produkcyjne).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Qilin vs. „typowy” RaaS 2025: podobnie jak inne operacje, Qilin intensywnie eksfiltruje i używa RMM/LOLBINs; odróżnia go ukierunkowanie na CSV/Hyper-V i szerokie wykorzystanie legalnych narzędzi do eksfiltracji (Cyberduck).
  • Qilin.B (Rust) wyróżnia kombinowany wybór szyfru (AES-NI → AES-CTR, fallback → ChaCha20) i mocną ochronę kluczy RSA-4096/OAEP, co komplikuje odzysk bez kluczy.
  • Wieloplatformowość: raporty z 2025 r. pokazują nawet wdrażanie binarek Linux na systemach Windows przez RMM/BYOVD, co utrudnia detekcję.

Podsumowanie / kluczowe wnioski

Qilin utrzymuje wysokie tempo kampanii i dojrzały łańcuch ataku: kradzież poświadczeń (WDigest/Mimikatz/NirSoft), ruch boczny (PsExec/RDP/RMM), eksfiltracja przez chmurę (Cyberduck→Backblaze), a następnie szyfrowanie zoptymalizowane dla środowisk wirtualnych (CSV/Hyper-V) i agresywna ewakuacja artefaktów. Obrona wymaga dyscypliny IAM/MFA, twardnienia RDP/VPN, kontroli egress/exfil, oraz predefiniowanych detekcji TTP. Publikacje Cisco Talos i analizy branżowe (HHS/HC3, Halcyon, CIS, Trend Micro) dostarczają praktycznych wskaźników i reguł do natychmiastowego wdrożenia.

Źródła / bibliografia

  1. Cisco Talos – Uncovering Qilin attack methods exposed through multiple cases, 26 października 2025 (TTP, IOCs, Snort/ClamAV). (Cisco Talos Blog)
  2. Halcyon – New Qilin.B Ransomware Variant…, 24 października 2024 (kryptografia, mechanika szyfrowania). (Halcyon)
  3. HHS/HC3 – Qilin (aka Agenda) Threat Profile, 18 czerwca 2024 (wektory wejścia, Windows/Linux). (hhs.gov)
  4. CIS (MS-ISAC) – Qilin: Top Ransomware Threat to SLTTs in Q2 2025, 11 września 2025 (trend aktywności). (CIS)
  5. Trend Micro – Agenda Ransomware Deploys Linux Variant on Windows Systems…, 23 października 2025 (nietypowe wdrożenia Linux przez RMM/BYOVD). (www.trendmicro.com)