Archiwa: Malware - Strona 132 z 165 - Security Bez Tabu

Tag: Malware

Nowe ataki ClickFix nadużywają skryptów Windows App-V, by dostarczać malware (Amatera Stealer)

Wprowadzenie do problemu / definicja luki

ClickFix to nie „luka” w sensie CVE, tylko powtarzalny wzorzec socjotechniczny: ofiara jest przekonywana, by sama uruchomiła polecenie w Windows (najczęściej przez Win+R) pod pretekstem „weryfikacji” albo „naprawy problemu”. W najnowszej odsłonie atakujący dołożyli sprytny twist: zamiast odpalać PowerShell bezpośrednio, proxy’ują wykonanie przez legalny, podpisany komponent Microsoftu związany z App-V.

W skrócie

  • Kampania startuje od fałszywego CAPTCHA i instrukcji: wklej/uruchom komendę w oknie „Uruchamianie” (Win+R).
  • Komenda nadużywa SyncAppvPublishingServer.vbs (App-V) odpalonego przez wscript.exe, aby „przykryć” uruchomienie PowerShell i zmienić typowy łańcuch procesów.
  • Łańcuch ma bramki anty-sandbox: sprawdzanie zachowania użytkownika, kolejności uruchomienia i stanu schowka; w środowiskach analitycznych potrafi „wisieć” w nieskończoność.
  • Konfiguracja jest pobierana z publicznego Google Calendar (.ics) (dead-drop), a jeden z etapów ukrywa payload w PNG (steganografia) i ładuje go w pamięci.
  • Finalnie celem jest Amatera Stealer (rodzina infostealer sprzedawana jako MaaS, rozwijana i „utwardzana” pod kątem evasion).

Kontekst / historia / powiązania

Microsoft wskazuje, że ClickFix rośnie od 2024 r. i bywa łączony z phishingiem, malvertisingiem oraz kompromitacją stron — a kluczową przewagą napastnika jest wymuszenie interakcji człowieka, która potrafi ominąć część automatycznych detekcji.

W tej kampanii istotne jest „życie z ziemi” (LotL/LOLBins): MITRE opisuje nadużycie SyncAppvPublishingServer.vbs jako sub-technikę System Script Proxy Execution, gdzie legalny skrypt może proxy’ować wykonanie poleceń PowerShell zamiast bezpośredniego powershell.exe.

Analiza techniczna / szczegóły luki

Poniżej najważniejsze elementy łańcucha (z perspektywy IR/DFIR i detekcji):

1) Wejście: fake CAPTCHA → Win+R
Użytkownik widzi stronę „human verification” i dostaje instrukcję uruchomienia komendy. To klasyczny ClickFix, ale dalej robi się nietypowo.

2) Proxy wykonania: wscript.exe + SyncAppvPublishingServer.vbs
Zamiast explorer.exe → powershell.exe, pojawia się uruchomienie przez wscript.exe i skrypt App-V (SyncAppvPublishingServer.vbs). To zmienia „process ancestry” i może obniżać skuteczność reguł nastawionych na typowe wzorce PowerShell.

3) „Execution gates” i anty-analiza
Blackpoint opisuje bramkowanie oparte m.in. o:

  • walidację kolejności kroków i zachowania użytkownika,
  • kontrolę schowka (marker potwierdzający manualne wklejenie),
  • ciche „zawieszenie” (np. nieskończone oczekiwanie), by marnować zasoby sandboxów.

4) LotL infrastruktury: konfiguracja w Google Calendar (.ics)
Zamiast twardo kodować parametry C2/loadera, kampania pobiera je z publicznego pliku kalendarza (ICS) — prostej tekstówki, którą łatwo aktualizować bez ruszania pierwszych etapów.

5) Fileless/stage’in memory + steganografia w PNG
W kolejnych etapach payload jest odszyfrowywany/rozpakowywany w pamięci, a jedna z metod dostarczania to ukrycie zaszyfrowanego ładunku w obrazie PNG (steganografia).

6) Payload: Amatera Stealer
Amatera jest opisywana przez Proofpoint jako rebranding ACR Stealera, oferowany w modelu MaaS i rozwijany pod kątem unikania detekcji; w praktyce to „warstwa monetyzacji” wielu web-inject / ClickFix-like łańcuchów.

Praktyczne konsekwencje / ryzyko

  • Celowanie w środowiska firmowe: App-V częściej występuje w środowiskach Enterprise/Education; tam też „naturalnie” działa SyncAppvPublishingServer.vbs, więc aktywność łatwiej ukryć w szumie.
  • Kradzież danych uwierzytelniających i sesji: infostealery typowo polują na przeglądarki, hasła, tokeny, portfele krypto i dane aplikacji — co szybko przekłada się na przejęcia kont i dalszą propagację. (Charakterystyka Amatera jako aktywnie rozwijanego stealera/MaaS.)
  • Niższa skuteczność „klasycznych” reguł PowerShell: jeżeli polityki/detekcje są budowane głównie wokół powershell.exe, proxy przez wscript.exe + podpisany skrypt może wyślizgiwać się spod części alertów.

Rekomendacje operacyjne / co zrobić teraz

Szybkie działania (24–72h):

  1. Edukacja i komunikat do użytkowników: „Nigdy nie wklejaj poleceń do Win+R/Terminala z przypadkowych stron (CAPTCHA, ‘fix’, ‘verify’)”. Microsoft wprost wskazuje ten element jako rdzeń ClickFix i punkt, w którym szkolenie realnie obniża ryzyko.
  2. Detekcja: wscript.exe → SyncAppvPublishingServer.vbs z osadzonym PowerShell
    • MITRE sugeruje monitorowanie uruchomień tego skryptu przez wscript.exe i anomalii w linii poleceń, gdzie skrypt służy jako proxy dla PowerShell.
  3. Ograniczenie powierzchni: blokada skryptu, jeśli App-V nie jest wymagany
    • MITRE w mitigacjach mówi wprost: jeśli podpisane skrypty proxy-execution nie są potrzebne, warto je blokować polityką kontroli aplikacji. (WDAC/AppLocker / allow-listing).

Wzmocnienia średnioterminowe (1–4 tyg.):

  • Hardening stacji: ograniczenie możliwości uruchamiania narzędzi i interpreterów skryptowych tam, gdzie nie są niezbędne (w tym kontrola VBScript/WSH w środowisku).
  • Telemetria PowerShell: gdzie to możliwe, włącz/utrzymaj logowanie (Script Block Logging/AMSI) i koreluj z nietypowym proces ancestry (PowerShell bez powershell.exe na wierzchu).
  • Polityki uprawnień: minimalizacja lokalnych adminów oraz kontrola makr/skryptów i stref (szczególnie gdy wektor wejścia to web).
  • Polowanie po IoC/TTP: nietypowe pobieranie .ics z publicznych usług, sekwencje loaderów „in-memory”, pobieranie PNG w kontekście skryptów i późniejsze deszyfrowanie/uruchomienie.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Klasyczny ClickFix często sprowadza się do „wklej i uruchom PowerShell”. Microsoft opisuje, że wariantów jest wiele, ale rdzeń pozostaje ten sam: użytkownik wykonuje polecenie, bo wygląda na element weryfikacji/naprawy.

To, co wyróżnia opisywaną kampanię, to proxy execution przez App-V (LOLBin) oraz wieloetapowa, konsekwentna optymalizacja pod anty-analizę: bramkowanie schowkiem i kolejnością, dead-drop w Google Calendar i steganografia w PNG, wszystko z naciskiem na „ciche” wykonanie w pamięci.

Podsumowanie / kluczowe wnioski

  • ClickFix dalej działa, bo wykorzystuje nawyk „szybkiego naprawiania” problemu — a ta kampania pokazuje, że napastnicy potrafią go połączyć z podpisanymi komponentami Windows i przemyślanym łańcuchem evasion.
  • SyncAppvPublishingServer.vbs nie jest egzotyką w ATT&CK — to rozpisana technika proxy-execution; jeśli masz App-V, musisz liczyć się z nadużyciem tego elementu.
  • Największy „ROI” na start: uświadomienie użytkowników + detekcje na wscript/App-V + kontrola aplikacji (blokuj, jeśli niepotrzebne).

Źródła / bibliografia

  1. BleepingComputer – „New ClickFix attacks abuse Windows App-V scripts to push malware” (26 stycznia 2026) (BleepingComputer)
  2. Blackpoint Cyber – „Novel Fake CAPTCHA Chain Delivering Amatera Stealer” (Blackpoint)
  3. MITRE ATT&CK – T1216.002 System Script Proxy Execution: SyncAppvPublishingServer (attack.mitre.org)
  4. Microsoft Security Blog – „Think before you Click(Fix): Analyzing the ClickFix social engineering technique” (21 sierpnia 2025) (Microsoft)
  5. Proofpoint – „Amatera Stealer: Rebranded ACR Stealer With Improved Evasion, Sophistication” (16 czerwca 2025) (Proofpoint)

„Stanley” – nowy toolkit malware do phishingu przez spoofing stron z prawdziwym URL w pasku adresu

Wprowadzenie do problemu / definicja luki

„Stanley” to sprzedawany w modelu malware-as-a-service (MaaS) zestaw narzędzi, który umożliwia ataki phishingowe w sposób wyjątkowo podstępny: ofiara widzi w pasku adresu legalny adres strony, ale treść, z którą wchodzi w interakcję, jest podmieniona na phishingową. To uderza w najczęstszy nawyk bezpieczeństwa („sprawdź URL”), bo ten sygnał przestaje być wiarygodny.

W skrócie

  • Toolkit „Stanley” był reklamowany na rosyjskojęzycznym forum, z ceną ok. 2–6 tys. USD; wariant premium ma m.in. panel zarządzania i „gwarancję” publikacji w Chrome Web Store.
  • Przykładowa wtyczka („Notely”) łączy legalne funkcje z nadużyciami uprawnień przeglądarki, aby przechwytywać wizyty na stronach i nakładać pełnoekranowy phishing.
  • Mechanizm opiera się m.in. o osadzanie treści w iframe i (według badaczy) obchodzenie zabezpieczeń typu X-Frame-Options / CSP.

Kontekst / historia / powiązania

Varonis opisuje „Stanley” jako kolejny etap ewolucji ataków „browser-native”: zamiast klasycznych fałszywych domen czy przekierowań – mamy manipulację sesją i treścią w przeglądarce z użyciem rozszerzenia. W tle jest też problem modelu „review-once, update-anytime” w sklepach z dodatkami: rozszerzenie może wyglądać na nieszkodliwe w momencie weryfikacji, a później zmienić zachowanie.

Analiza techniczna / szczegóły luki

1) Dystrybucja i „opakowanie” wtyczki

  • W opisywanym przypadku przynętą jest rozszerzenie „Notely” (notatnik/zakładki) z realną funkcjonalnością, ale jednocześnie proszące o uprawnienia pozwalające „widzieć i kontrolować” odwiedzane strony.
  • „Stanley” ma oferować różne ścieżki instalacji (w tym Web Store), a panel operatora ułatwia zarządzanie infekcjami i regułami przechwyceń.

2) Panel zarządzania i reguły „URL hijacking”

Operator dostaje webowy panel z listą hostów (identyfikowanych m.in. po IP) oraz możliwością ustawiania par źródłowy URL → docelowy URL (phishing). Istotne jest to, że reguły można aktywować/dezaktywować per ofiara, co umożliwia „atak na żądanie”.

3) Podmiana treści przy zachowaniu legalnego adresu

Z opisu wynika, że rozszerzenie przechwytuje wejście na legalną domenę i nakłada na stronę pełnoekranowy iframe z treścią atakującego – a pasek adresu dalej pokazuje prawdziwą domenę (np. giełdy krypto). To znacząco zwiększa skuteczność kradzieży danych logowania.

4) Obchodzenie zabezpieczeń anty-framing

Varonis wiąże działanie z usuwaniem/obchodzeniem nagłówków X-Frame-Options i polityk CSP (mechanizmy, które mają ograniczać osadzanie strony w ramkach i zmniejszać ryzyko clickjackingu). Jeśli atakujący potrafi doprowadzić do skutecznego framingu, może wiarygodnie „przykleić” phishing do legalnej sesji użytkownika.

5) Komunikacja z C2 i odporność operacyjna

Wtyczka ma mechanizm cyklicznego odpytywania serwera C2 oraz zapasową rotację domen, żeby utrzymać kontrolę nawet po blokadach. Varonis opisał też konkretne wskaźniki (domeny/panel) i fakt zgłoszenia sprawy do Chrome Web Store.

Praktyczne konsekwencje / ryzyko

  • Użytkownicy: kradzież haseł, tokenów sesyjnych, danych MFA (np. jednorazowych kodów) – bo atak odbywa się „na żywo”, w kontekście prawdziwego URL.
  • Firmy: wzrost skuteczności przejęć kont (ATO) na usługach SaaS/IdP, ryzyko BEC i eskalacji w łańcuchu dostępu (SSO), a także trudniejsza analiza incydentu, bo sygnały „phishing URL” mogą nie zadziałać.
  • Zespół SOC: klasyczne szkolenia „sprawdź domenę” stają się niewystarczające – trzeba monitorować rozszerzenia, ruch przeglądarki i anomalie sesji.

Rekomendacje operacyjne / co zrobić teraz

Dla organizacji (IT/SecOps):

  1. Wymuś allowlistę rozszerzeń (Chrome Enterprise / Edge for Business): blokuj instalację niezatwierdzonych dodatków, ogranicz uprawnienia „read and change data on all websites”.
  2. Zablokuj znane IoC z raportu (domeny/panel/ID rozszerzenia) na warstwie DNS/Proxy/EDR i monitoruj komunikację przeglądarki do nietypowych domen C2.
  3. Detekcja zdarzeń związanych z rozszerzeniami: nowe instalacje, nagłe aktualizacje, nietypowe połączenia wychodzące procesu przeglądarki, próby wstrzykiwania treści/ramkowania.
  4. Wzmocnij tożsamość: FIDO2/WebAuthn (tam, gdzie możliwe), Conditional Access, krótkie sesje, ograniczanie tokenów i kontrola ryzyka logowań (zachowanie/urządzenia).
  5. Szybka reakcja IR: w razie podejrzenia – izolacja profilu przeglądarki/użytkownika, reset sesji, wymuszenie wylogowań globalnych, rotacja haseł, przegląd uprawnień aplikacji OAuth.

Dla użytkowników:

  • Instaluj dodatki tylko, gdy są realnie potrzebne; czytaj zakres uprawnień (szczególnie dostęp do wszystkich stron).
  • Jeśli „coś wygląda jak logowanie”, ale pojawiło się nietypowo (np. po powiadomieniu z przeglądarki) – przerwij, otwórz stronę od nowa, sprawdź aktywne rozszerzenia.

Różnice / porównania z innymi przypadkami

  • Klasyczny phishing zwykle opiera się o podobną domenę/URL lub przekierowanie. „Stanley” celuje w sytuację, gdzie domena jest prawdziwa, a fałszywa jest warstwa interfejsu.
  • To bardziej „man-in-the-browser” niż „fałszywa strona”: rozszerzenie działa z uprawnieniami przeglądarki i może modyfikować zachowanie sesji. W ATT&CK pasuje to do technik związanych z Browser Extensions (T1176) i Browser Session Hijacking (T1185).

Podsumowanie / kluczowe wnioski

„Stanley” pokazuje, że phishing coraz częściej „przeprowadza się” w przeglądarce, a nie tylko „przed przeglądarką”. Gdy pasek adresu przestaje być sygnałem ostrzegawczym, kluczowe stają się: kontrola i monitoring rozszerzeń, egzekwowanie polityk przeglądarkowych oraz twardsze mechanizmy tożsamości (FIDO2/Conditional Access).

Źródła / bibliografia

  • SecurityWeek – opis kampanii i cech toolkitu „Stanley”. (SecurityWeek)
  • Varonis Threat Labs – analiza techniczna, kontekst, IoC i mechanika działania. (varonis.com)
  • MDN Web Docs – clickjacking oraz rola X-Frame-Options / CSP w ograniczaniu osadzania w iframe. (developer.mozilla.org)
  • MITRE ATT&CK – T1176 (Software Extensions) i T1185 (Browser Session Hijacking). (attack.mitre.org)

7 Typowych Pułapek W Procesie Zarządzania Incydentami I Jak Ich Unikać

Dlaczego to ma znaczenie

Gdy dochodzi do cyberincydentu, czas działa na niekorzyść obrony. To, jak zespół zareaguje w pierwszych godzinach, decyduje o tym, czy incydent będzie tylko drobnym potknięciem, czy pełnowymiarową katastrofą. Dobre przygotowanie potrafi zamienić potencjalny paraliż firmy w kontrolowane zdarzenie o minimalnym wpływie. Z kolei brak planu i chaotyczne działania “na gorąco” często tylko pogarszają sytuację.

Czytaj dalej „7 Typowych Pułapek W Procesie Zarządzania Incydentami I Jak Ich Unikać”

Wieloetapowa kampania phishingowa w Rosji: Amnesia RAT + ransomware (Hakuna Matata) i WinLocker, a wszystko bez exploitów

Wprowadzenie do problemu / definicja luki

Opisywana kampania to dobry przykład „pełnego przejęcia stacji roboczej bez podatności”: atak nie potrzebuje CVE ani exploita, bo opiera się na socjotechnice, natywnych mechanizmach Windows oraz nadużyciu zaufanych usług (GitHub/Dropbox/Telegram). Łańcuch zaczyna się od archiwum z przynętami biznesowymi (w tym skrótem LNK podszywającym się pod plik tekstowy), a kończy kombinacją: Amnesia RAT (kradzież danych i zdalna kontrola) + ransomware pochodne Hakuna Matata (szyfrowanie) + WinLocker (blokada interakcji z systemem).

Kluczowym „wyróżnikiem” jest operacyjne użycie defendnot – narzędzia PoC, które potrafi doprowadzić do samowyłączenia Microsoft Defender przez rejestrację fałszywego AV w Windows Security Center (WSC).

W skrócie

  • Cel/geografia: użytkownicy i organizacje w Rosji; przynęty osadzone w realiach biurowo-księgowych.
  • Wejście: archiwum z dokumentami-wabikami + LNK z podwójnym rozszerzeniem, uruchamiający PowerShell.
  • Infrastruktura: skrypty na GitHub, binaria na Dropbox (modułowość i odporność na blokady).
  • Ewazja/utrudnianie obrony: ukrywanie okna PowerShell, opóźnienie 444 s, mocna obfuskacja VBE, eskalacja przez wymuszanie UAC, masowe zmiany konfiguracji Defender + defendnot (WSC).
  • Efekt: kradzież danych i zdalne sterowanie (Amnesia RAT), szyfrowanie plików, podmiana adresów kryptowalut w schowku, końcowa blokada systemu (WinLocker).

Kontekst / historia / powiązania

Badanie techniczne opublikował Fortinet FortiGuard Labs (20 stycznia 2026), a temat szybko podchwyciły media branżowe (m.in. 24 stycznia 2026).

W tej samej fali doniesień pojawiają się także inne kampanie wymierzone w rosyjskie podmioty (np. Operation DupeHike / UNG0902 z implantem DUPERUNNER i frameworkiem AdaptixC2 czy aktywność Paper Werewolf/GOFFEE z XLL-ami). Warto to traktować jako szerszy krajobraz zagrożeń „office-themed lures → LNK/archiwum → loader”, a nie dowód bezpośredniego powiązania z opisywaną kampanią.

Analiza techniczna / szczegóły luki

1) Etap początkowy: archiwum + LNK „udający dokument”

Ofiara dostaje skompresowane archiwum z wieloma plikami-wabikami oraz złośliwym skrótem LNK. Nazwa LNK wykorzystuje podwójne rozszerzenie (np. „…txt.lnk”), by wyglądać jak zwykły plik tekstowy.

Po uruchomieniu LNK wykonywany jest PowerShell, który pobiera kolejny skrypt (loader) z repozytorium na GitHub.

2) Loader PowerShell: „dym i lustra” + sygnał do operatora

Pierwszy skrypt:

  • ukrywa widoczną egzekucję (np. chowa okno PowerShell),
  • generuje i otwiera dokument-wabik w profilu użytkownika,
  • wysyła potwierdzenie wykonania do operatora przez Telegram Bot API,
  • czeka 444 sekundy, po czym uruchamia kolejny etap: obfuskowany skrypt VBE.

Ten „projekt” jest typowy dla kampanii nastawionych na elastyczność: pierwszy etap jest lekki, a funkcje można wymieniać po stronie hostowanego repozytorium bez zmiany całego łańcucha.

3) Orkiestrator VBE: obfuskacja + składanie payloadu w pamięci + wymuszanie UAC

Kolejny komponent (VBE) jest mocno obfuskowany i pełni rolę kontrolera, który rekonstruuje następny etap w pamięci, ograniczając artefakty na dysku. W dalszej fazie skrypt sprawdza uprawnienia i – jeśli trzeba – potrafi natrętnie wyświetlać prompt UAC, aby skłonić użytkownika do podniesienia uprawnień.

4) Neutralizacja ochrony: Defender „rozbrojony” kilkoma metodami

Fortinet opisuje sekwencję działań obniżających widoczność i skuteczność EPP/AV, w tym:

  • dodawanie wykluczeń Defender dla typowych katalogów roboczych (ProgramData, Desktop, Downloads itd.),
  • wyłączanie dodatkowych komponentów ochrony przez PowerShell,
  • modyfikacje polityk/rejestru ograniczające narzędzia administracyjne i diagnostyczne,
  • użycie defendnot, aby zarejestrować fałszywy AV w WSC i doprowadzić do samowyłączenia Defendera „dla uniknięcia konfliktu”.

To ostatnie jest krytyczne: defendnot nie musi „zabijać” procesów Defendera wprost – wykorzystuje model zaufania Windows Security Center. Huntress podkreśla, że narzędzie opiera się na (w ich opisie) nieudokumentowanych API WSC do rejestracji sfabrykowanego produktu AV.

5) Rozpoznanie i obserwacja: zrzuty ekranu + eksfiltracja przez Telegram

Po osłabieniu ochrony następuje rozpoznanie środowiska i monitoring aktywności, m.in. moduł robiący screenshot co 30 sekund oraz eksfiltracja przez Telegram (Bot API), z możliwością użycia zewnętrznych hostingów plików dla większych paczek danych (np. GoFile).

6) Payloady końcowe: Amnesia RAT + ransomware + WinLocker

Amnesia RAT (pobierany z Dropbox) ma szerokie możliwości: kradzież danych z przeglądarek, portfeli krypto, Discord/Steam/Telegram, zbieranie metadanych systemu, zrzuty ekranu, obraz z kamery, audio z mikrofonu, schowek, tytuł aktywnego okna oraz pełna zdalna interakcja (enumeracja procesów, shell, dowolne payloady).

Równolegle/po nim uruchamiany jest ransomware wywodzący się z rodziny Hakuna Matata, który szyfruje zestawy plików (dokumenty, archiwa, multimedia, kod źródłowy, zasoby aplikacji) i ubija procesy, które mogłyby przeszkadzać. Dodatkowo monitoruje schowek i podmienia adresy portfeli kryptowalut na kontrolowane przez atakujących. Łańcuch kończy WinLocker blokujący interakcję z systemem.

7) Mitre ATT&CK

Fortinet mapuje zachowania m.in. na: T1566.001 (Phishing: Attachment), T1059.001 (PowerShell), T1059.005 (VBScript), T1562.001 (Impair Defenses), T1113 (Screen Capture), T1486 (Data Encrypted for Impact).

Praktyczne konsekwencje / ryzyko

  • Ryzyko „pełnego incydentu” na endpointach: od kradzieży danych i przejęcia sesji po szyfrowanie plików i zablokowanie stanowiska.
  • Szybka eskalacja bez CVE: klasyczne „patchuj i śpisz spokojnie” nie wystarczy, bo łańcuch opiera się o zachowania użytkownika i funkcje systemu.
  • Trudniejszy takedown i filtracja: GitHub/Dropbox są powszechne w firmach; blokada „na sztywno” bywa trudna operacyjnie, a atakujący rozdzielają komponenty po usługach.
  • Obrona punktowa może zawieść: jeśli atakujący zdoła wyłączyć/ograniczyć Defendera (wykluczenia/polityki/defendnot), endpoint staje się „ślepy” na krytycznym etapie.

Rekomendacje operacyjne / co zrobić teraz

1) Zbij łańcuch na wejściu (email/WWW/endpoint)

  • Blokuj/oznaczaj archiwa z LNK oraz pliki z podwójnymi rozszerzeniami (np. *.txt.lnk). Rozważ politykę: „LNK z poczty = kwarantanna”.
  • Monitoruj i ogranicz PowerShell: logowanie Script Block, Constrained Language Mode (tam gdzie ma sens), kontrola -ExecutionPolicy Bypass i podejrzanych wzorców typu irm … | iex.
  • Wprowadź reguły ograniczające uruchamianie skryptów z katalogów użytkownika i ProgramData (allowlisting/AppLocker/WDAC – w zależności od dojrzałości).

2) Utrudnij rozbrajanie Defendera

  • Włącz Ochronę przed naruszeniami (Tamper Protection), bo jest projektowo nastawiona na blokowanie nieautoryzowanych zmian w ustawieniach ochrony i m.in. uniemożliwia modyfikację/dodawanie wykluczeń.
  • Dodaj detekcje na:
    • nagłe masowe dodawanie wykluczeń Defender,
    • wyłączanie komponentów ochrony,
    • nietypową rejestrację produktu AV w WSC / zmiany w stanie „kto jest AV”.

3) Odetnij C2/eksfiltrację i „sygnały powodzenia”

  • Polityki sieciowe/Proxy: alerty na Telegram Bot API z segmentów użytkowników, zwłaszcza gdy to nie jest zatwierdzona usługa.
  • DLP/egress: obserwuj nietypowe uploady do zewnętrznych hostingów plików (w raporcie pojawia się m.in. GoFile jako kanał dla większych danych).

4) Wczesne wskaźniki kompromitacji (praktyczne playbooki SOC)

  • Procesy/komendy: powershell.exe startujący z kontekstu LNK/Explorer i pobierający treść z GitHub, potem VBScript/WSH.
  • Artefakty behawioralne: nagłe ograniczenie narzędzi administracyjnych, zmiany skojarzeń plików (file association hijacking), cykliczne zrzuty ekranu.
  • Zasada IR: jeżeli widzisz „Defender nagle zgasł” + dziwne wykluczenia + podejrzane skrypty, traktuj to jak incydent wysokiej wagi (przed szyfrowaniem bywa bardzo mało czasu).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Defender bypass przez WSC (defendnot) to inna klasa niż klasyczne „wyłącz AV rejestrem”. Binary Defense opisuje tę ideę jako „przekonanie Windows, by samo wyłączyło ochronę”, zamiast bezpośredniego łamania Defendera.
  • Nadużycie zaufanych usług (GitHub/Dropbox) przypomina trend widoczny także w innych wieloetapowych kampaniach: legalna infrastruktura utrudnia blokowanie i zwiększa „szum tła” w logach.
  • Warto odróżnić ten przypadek od AiTM/BEC (np. SharePoint/OneDrive do kradzieży sesji i przejęć kont) – tam celem bywa tożsamość i poczta, tu finalnie dochodzi do kompromitacji endpointu i destrukcji danych. (Jeśli chcesz, mogę przygotować zestawienie TTP „endpoint takeover” vs „identity takeover” na jednym diagramie).

Podsumowanie / kluczowe wnioski

  1. To kampania „bez-CVE”, więc priorytetem stają się: kontrola uruchamiania skryptów, ochrona przed socjotechniką oraz monitoring zmian konfiguracji bezpieczeństwa.
  2. Rozdzielenie komponentów między GitHub i Dropbox zwiększa żywotność ataku i komplikuje reakcję.
  3. defendnot pokazuje, jak narzędzia dual-use (PoC) mogą przejść do realnych łańcuchów infekcji – i czemu „tamper protection + telemetry” to dziś must-have, a nie opcja.

Źródła / bibliografia

  1. Fortinet FortiGuard Labs – „Inside a Multi-Stage Windows Malware Campaign” (Cara Lin, 20.01.2026). (Fortinet)
  2. The Hacker News – „Multi-Stage Phishing Campaign Targets Russia with Amnesia RAT and Ransomware” (24.01.2026). (The Hacker News)
  3. Huntress – „Detecting Malicious Security Product Bypass Techniques” (defendnot / WSC). (Huntress)
  4. Binary Defense – „DefendNot: Turning Windows Defender Against Itself”. (Binary Defense)
  5. Microsoft Learn (PL) – „Chroń ustawienia zabezpieczeń z ochroną przed naruszeniami (Tamper Protection)”. (Microsoft Learn)

CVE-2026-24061: krytyczne obejście uwierzytelnienia w GNU InetUtils telnetd daje zdalny dostęp root

Wprowadzenie do problemu / definicja luki

CVE-2026-24061 to krytyczna podatność typu authentication bypass w serwerze GNU InetUtils telnetd, która pozwala atakującemu zalogować się zdalnie bez hasła, uzyskując uprawnienia dowolnego użytkownika – w praktyce najczęściej root. Problem dotyczy mechanizmu uruchamiania /usr/bin/login przez telnetd i błędnego traktowania danych kontrolowanych przez klienta jako „bezpiecznych” argumentów wywołania.

W skrócie

  • CVE: CVE-2026-24061 (MITRE/NVD), klasa błędu: CWE-88 (argument injection).
  • Dotyczy: GNU InetUtils 1.9.3–2.7 (luka obecna od 2015 r.).
  • Skutek: obejście uwierzytelnienia i uzyskanie dostępu (często jako root).
  • Status: obserwowano aktywne próby wykorzystania krótko po ujawnieniu.
  • Naprawa: BleepingComputer wskazuje, że problem został załatany w GNU InetUtils 2.8; dodatkowo zalecane są mitigacje (wyłączenie Telnet/port 23).

Kontekst / historia / powiązania

Podatność została publicznie opisana 20 stycznia 2026 r. przez maintenera/kontrybutora GNU InetUtils, Simona Josefssona, wraz z historią wskazującą na commit z 19 marca 2015 r., który wprowadził ryzykowną ścieżkę przetwarzania danych.

Choć Telnet jest protokołem legacy, nadal bywa spotykany w środowiskach przemysłowych/OT i w urządzeniach „z długim cyklem życia”, gdzie modernizacja bywa kosztowna lub operacyjnie trudna. To właśnie tam takie „stare” podatności potrafią mieć nieproporcjonalnie wysoki wpływ.

Analiza techniczna / szczegóły luki

Sedno problemu: telnetd uruchamia /usr/bin/login (zwykle działający z wysokimi uprawnieniami), przekazując do niego wartość zmiennej środowiskowej USER, którą w tym przypadku może dostarczyć klient Telnet. Brak właściwej sanitacji powoduje, że odpowiednio spreparowana wartość USER zostaje potraktowana jako parametr dla login(1), co umożliwia obejście standardowego procesu logowania.

To klasyczny przypadek argument injection (CWE-88): dane, które powinny być „czystą wartością”, trafiają do kontekstu, gdzie znaki/ciągi mają znaczenie składniowe dla programu wywoływanego.

Dodatkowy, praktyczny aspekt ryzyka opisany w analizie SafeBreach: błąd ma charakter „oldschoolowy”, jest prosty do automatyzacji, a badacze pokazali root cause oraz mechanikę negocjacji Telnet/ustawiania środowiska w kontekście procesu usługi.

Praktyczne konsekwencje / ryzyko

Najważniejsze ryzyko to pełne przejęcie hosta (root) przy ekspozycji telnetd na sieć nieufną. W praktyce przekłada się to na:

  • kradzież danych i tajemnic (odczyt plików, konfiguracji, kluczy),
  • modyfikację konfiguracji i backdooryzację (np. trwałość poprzez klucze SSH),
  • uruchamianie złośliwego kodu, skanowanie sieci wewnętrznej, ruch boczny.

W obserwacjach telemetrycznych przytoczonych przez BleepingComputer (na bazie danych firmy monitorującej zagrożenia) próby ataków obejmowały automatyczne działania post-exploitation (rekonesans, próby persystencji i wdrożenia malware), przy czym część prób miała się nie powieść ze względu na braki w środowisku ofiar. To ważny sygnał: łańcuchy ataków będą optymalizowane, gdy tylko atakujący zidentyfikują „działające” kombinacje.

Rekomendacje operacyjne / co zrobić teraz

  1. Zidentyfikuj ekspozycję Telnet (port 23)
    • Sprawdź, czy cokolwiek nasłuchuje na TCP/23 oraz czy usługa to faktycznie GNU InetUtils telnetd (nie każdy telnetd jest tym samym).
  2. Zaktualizuj / załatkaj
    • Jeśli używasz GNU InetUtils w zakresie wersji podatnych (1.9.3–2.7), priorytetem jest przejście na wydanie zawierające poprawkę (w doniesieniach: 2.8).
  3. Mitigacje, gdy patchowanie jest trudne (OT/legacy)
    • Wyłącz Telnet, jeśli to możliwe.
    • Jeśli Telnet jest „nie do ruszenia”: nie wystawiaj go do Internetu, ogranicz dostęp segmentacją, ACL na firewallu, oraz używaj kontrolowanego dostępu typu VPN / ZTNA.
  4. Detekcja i monitoring
    • Podnieś poziom monitoringu połączeń do telnetd (nietypowe źródła, skoki liczby sesji, nowe geolokalizacje).
    • Koreluj logi uwierzytelnienia i uruchamiania sesji (szczególnie „logowania”, które nie powinny przechodzić normalnej ścieżki).
  5. Hardening
    • Traktuj Telnet jako techniczny dług: planowo migruj na SSH lub dedykowane mechanizmy z silnym uwierzytelnianiem i szyfrowaniem.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

CVE-2026-24061 jest dobrym przykładem podatności, które wracają w różnych formach od lat:

  • „Zaufane dane” przekazane do uprzywilejowanego procesu (tu: login(1) uruchamiany przez usługę),
  • błędy granicy zaufania: coś, co wygląda jak „zmienna środowiskowa”, w praktyce jest danymi z sieci,
  • argument injection zamiast klasycznego command injection — skutki mogą być równie krytyczne, gdy wywoływany komponent ma funkcje „pomijania” zabezpieczeń.

W odróżnieniu od wielu nowoczesnych podatności, tutaj nie ma skomplikowanej kryptografii czy deserializacji: to „prosty błąd kleju” między usługą a narzędziem systemowym — dlatego bywa tak łatwy do masowej automatyzacji.

Podsumowanie / kluczowe wnioski

  • CVE-2026-24061 umożliwia zdalne obejście logowania w GNU InetUtils telnetd przez błąd argument injection związany z przekazaniem kontrolowanej przez klienta wartości do login(1).
  • Podatność dotyczy wersji 1.9.3–2.7 i jest związana z kodem obecnym od 2015 r.; opisy wskazują na poprawkę w 2.8.
  • Mimo „legacy” charakteru Telnet, realne środowiska (zwłaszcza OT/embedded) nadal mogą być narażone, a próby wykorzystania były obserwowane wkrótce po ujawnieniu.
  • Priorytetem jest wyłączenie Telnet / ograniczenie dostępu / szybkie aktualizacje oraz podniesienie monitoringu.

Źródła / bibliografia

  1. BleepingComputer — „Hackers exploit critical telnetd auth bypass flaw to get root” (23.01.2026). (BleepingComputer)
  2. oss-security (seclists.org) — „GNU InetUtils Security Advisory: remote authentication by-pass in telnetd” (20.01.2026). (seclists.org)
  3. NVD/NIST — rekord CVE-2026-24061 (publikacja 21.01.2026). (NVD)
  4. SafeBreach Labs — „Root Cause Analysis & PoC… CVE-2026-24061” (22.01.2026). (SafeBreach)
  5. Centre for Cybersecurity Belgium (CCB) — advisory i zalecenia dot. telnetd auth bypass. (ccb.belgium.be)

MaliciousCorgi: złośliwe „AI assistants” w VS Code Marketplace wykradają kod i sekrety deweloperów

Wprowadzenie do problemu / definicja luki

Ekosystem rozszerzeń do Visual Studio Code (VS Code) jest jednym z najszybszych wektorów „supply chain” w środowiskach developerskich: instalujesz wtyczkę, a ona uruchamia się z uprawnieniami porównywalnymi do samego edytora (czyli potencjalnie: pliki, sieć, procesy, ustawienia). Microsoft wprost podkreśla, że extension host ma te same uprawnienia co VS Code, więc rozszerzenie może robić niemal wszystko, co potrafi edytor.

Na tym tle pojawił się przypadek kampanii nazwanej MaliciousCorgi: dwie bardzo popularne wtyczki „AI coding assistant” z oficjalnego VS Code Marketplace miały realną funkcjonalność… i jednocześnie potajemnie eksfiltrowały zawartość plików oraz profilowały użytkowników.

W skrócie

  • Zidentyfikowano dwie wtyczki z łączną liczbą instalacji ok. 1,5 mln, reklamowane jako asystenci AI.
  • Według analizy Koi Security, rozszerzenia działały „zgodnie z obietnicą”, ale równolegle uruchamiały ukryte kanały zbierania danych bez jasnej zgody użytkownika.
  • Mechanika obejmowała m.in. wysyłkę całych plików po ich otwarciu, zrzuty zmian przy edycji oraz zdalnie sterowane „mass harvesting” do 50 plików z workspace.
  • W webview osadzono niewidoczny (0-pixel) iframe ładujący komercyjne SDK analityczne (profilowanie).
  • IOCs (wg Koi): identyfikatory rozszerzeń whensunset.chatgpt-china, zhukunpeng.chat-moss oraz domena aihao123.cn.
  • Microsoft zadeklarował, że bada zgłoszenie (aktualizacja w artykule z 24 stycznia 2026).

Kontekst / historia / powiązania

Wtyczki do VS Code są szczególnie „socjotechniczne”: popularność, oceny i obietnica zwiększenia produktywności (zwłaszcza „AI”) skutecznie obniżają czujność. W MaliciousCorgi dodatkowym problemem była skala instalacji i to, że rozszerzenia faktycznie dostarczały oczekiwane funkcje, co utrudniało szybkie wykrycie przez użytkowników.

Ten przypadek wpisuje się w szerszy trend nadużyć marketplace’ów dla deweloperów (rozszerzenia, paczki, pluginy). Przykładowo pod koniec 2025 r. opisywano inne kampanie złośliwych rozszerzeń VS Code, które podszywały się pod motywy lub narzędzia AI i kradły dane.

Analiza techniczna / szczegóły luki

1) Które rozszerzenia?

Według BleepingComputer/Koi chodzi o:

  • ChatGPT – 中文版 (publisher: WhenSunset, ok. 1,34–1,35 mln instalacji)
  • ChatMoss (CodeMoss) (publisher: zhukunpeng, ok. 150 tys. instalacji)

2) Trzy kanały wycieku danych (wg Koi)

Kanał 1: Real-time file monitoring

  • Po samym otwarciu pliku rozszerzenie czyta jego całą zawartość, koduje Base64 i wysyła dalej (przez webview/ukryty mechanizm śledzący).
  • Dodatkowo przechwytuje każdą zmianę (eventy edycji).

Kanał 2: Server-controlled mass harvesting

  • Serwer może zdalnie wywołać komendę zbierającą pliki z workspace (bez interakcji użytkownika).
  • W opisie Koi pojawia się pole jumpUrl w odpowiedzi serwera, parsowane jako JSON; gdy serwer zwróci "type":"getFilesList", uruchamia się zbiórka do 50 plików i wysyłka.

Kanał 3: Profilowanie użytkownika

  • Webview zawiera niewidoczny iframe 0 px, który ładuje cztery komercyjne SDK analityczne: Zhuge.io, GrowingIO, TalkingData i Baidu Analytics.
  • Celem nie jest „telemetria edytora”, tylko budowanie profilu (fingerprinting, zachowania, metadane aktywności).

3) Infrastruktura i IOCs

Koi podaje wprost identyfikatory rozszerzeń oraz domenę powiązaną z kampanią:

  • whensunset.chatgpt-china
  • zhukunpeng.chat-moss
  • domena: aihao123.cn

Praktyczne konsekwencje / ryzyko

Najbardziej dotkliwy element MaliciousCorgi to kradzież całych plików i workspace, a więc:

  • kod źródłowy (w tym nieopublikowane funkcje, algorytmy, logika biznesowa),
  • konfiguracje środowiskowe,
  • sekrety: .env, klucze API, tokeny, hasła do baz, pliki typu credentials.json, klucze SSH (jeśli trzymane w repo lub workspace),
  • dane o użytkowniku i organizacji (profilowanie + potencjalne targetowanie kolejnych etapów ataku).

W praktyce oznacza to ryzyka: utraty IP, przejęć usług w chmurze (dzięki kluczom), kompromitacji pipeline CI/CD, a nawet kolejnych włamań „lateral movement”, jeśli skradzione sekrety są współdzielone między środowiskami.

Rekomendacje operacyjne / co zrobić teraz

Dla pojedynczych deweloperów

  1. Sprawdź zainstalowane rozszerzenia i usuń podejrzane pozycje (szczególnie te wskazane w IOC).
  2. Zrotuj sekrety: klucze API, tokeny, hasła, klucze SSH, credentials do chmury (priorytet dla tych, które mogły trafić do workspace).
  3. Przejrzyj logi ruchu wychodzącego (DNS/HTTP) pod kątem aihao123.cn oraz nietypowych połączeń wykonywanych podczas pracy w VS Code.
  4. Jeśli pracujesz na repo firmowym: poinformuj SecOps/IR i potraktuj to jako potencjalny incydent wycieku kodu.

Dla zespołów i organizacji

  1. Polityka allowlist/denylist dla rozszerzeń (MDM/Intune/konfiguracja VS Code) + wymuszanie zatwierdzonych publisherów. (Microsoft udostępnia mechanizmy oceny zaufania wydawcy, m.in. Verified Publisher i dialog zaufania).
  2. Egress control dla stacji developerskich (proxy, DNS filtering), alertowanie na nowe domeny i nietypowy ruch z procesu VS Code / extension host.
  3. Proces zgłaszania i takedownu: jeśli wykryjesz złośliwe rozszerzenie, przygotuj raport z identyfikatorem, opisem zachowań i IOC — to przyspiesza reakcję zespołu Marketplace (Checkmarx opisuje praktykę „thorough report” i szybkie usuwanie po weryfikacji).
  4. W przypadku podejrzenia wycieku: uruchom IR playbook dla kradzieży sekretów (rotacje, przegląd uprawnień, sprawdzenie nietypowych logowań do chmury/VCS).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • „Normalny” asystent AI zwykle wysyła ograniczony kontekst (np. fragment wokół kursora) w celu podpowiedzi. MaliciousCorgi przekracza tę granicę: eksfiltruje całe pliki po otwarciu i potrafi zdalnie zainicjować zrzut wielu plików z workspace.
  • W odróżnieniu od kampanii stricte malware/stealer (np. opisywanych w 2025 r.), tu „przynętą” jest działająca funkcja AI, a mechanizmy są ukryte w tle, co poprawia „retencję” ofiar i utrudnia wykrycie.
  • Profilowanie przez komercyjne SDK w iframe (Zhuge/GrowingIO/TalkingData/Baidu) to podejście bliższe ekosystemowi marketing/trackingu niż klasycznemu malware — ale w kontekście IDE jest równie groźne, bo wspiera selekcję celów i timing eksfiltracji.

Podsumowanie / kluczowe wnioski

MaliciousCorgi to bardzo czytelny sygnał ostrzegawczy dla zespołów developerskich: „działa i ma dobre oceny” nie oznacza „jest bezpieczne”, a rozszerzenia VS Code mają realną moc (pliki + sieć) porównywalną do samego edytora.

Jeśli w organizacji dopuszczacie narzędzia AI w IDE, potrzebujecie minimum: allowlisty rozszerzeń, kontroli ruchu wychodzącego, procesu audytu publisherów oraz szybkiej procedury rotacji sekretów po incydencie.

Źródła / bibliografia

  1. BleepingComputer – opis incydentu, lista rozszerzeń, 3 mechanizmy zbierania danych, stanowisko Microsoft (23–24 stycznia 2026). (BleepingComputer)
  2. Koi Security – analiza kampanii MaliciousCorgi (22 stycznia 2026), kanały 1–3, IOCs. (koi.ai)
  3. Microsoft VS Code Docs – Extension runtime security (model uprawnień, zaufanie do publisherów, zabezpieczenia Marketplace). (Visual Studio Code)
  4. Checkmarx – praktyka zgłaszania i zdejmowania złośliwych rozszerzeń z Marketplace (proces i oczekiwania raportowe). (Checkmarx)
  5. The Hacker News – kontekst wcześniejszych złośliwych rozszerzeń VS Code atakujących deweloperów (grudzień 2025). (The Hacker News)

DynoWiper: nowy wiper użyty w nieudanej próbie sabotażu polskiego sektora energii (Sandworm)

Wprowadzenie do problemu / definicja luki

Pod koniec grudnia 2025 r. odnotowano skoordynowaną próbę ataku na polski sektor energetyczny, w której wykorzystano destrukcyjne złośliwe oprogramowanie typu wiper (malware do trwałego niszczenia danych). Według ustaleń ESET oraz relacji medialnych, atak był nieudany – nie ma dowodów na skuteczne zakłócenie działania infrastruktury.

W tym przypadku kluczowe jest to, że mówimy o klasie incydentów nastawionych nie na kradzież danych czy okup (ransomware), ale na szybkie unieruchomienie systemów poprzez kasowanie/niszczenie plików oraz potencjalne utrudnienie odtworzenia środowiska.

W skrócie

  • Atak miał miejsce 29–30 grudnia 2025 r. i obejmował m.in. dwie elektrociepłownie (CHP) oraz system wspierający zarządzanie energią z OZE (np. wiatr i fotowoltaika).
  • ESET przeanalizował próbkę nowego wipera, nadając mu nazwę DynoWiper (detekcja: Win32/KillFiles.NMO).
  • Atrybucja do grupy Sandworm (powiązanej z rosyjskim GRU) ma według ESET „średni” poziom pewności i opiera się na nakładaniu się TTP oraz podobieństwach do wcześniejszych aktywności destrukcyjnych.
  • Kontekst historyczny jest istotny: Sandworm ma udokumentowaną historię operacji destrukcyjnych, w tym kampanii przeciw energetyce.

Kontekst / historia / powiązania

Sandworm to jeden z najbardziej znanych „destrukcyjnych” aktorów APT, wiązany z jednostką GRU 74455 i aktywny co najmniej od 2009 r. W narracji wokół incydentu pojawia się też wymiar symboliczny: ESET zwraca uwagę, że działania zbiegły się z 10. rocznicą głośnego ataku na ukraińską energetykę (2015), który był szeroko opisywany jako przełomowy przykład cyberataku na infrastrukturę krytyczną.

Z perspektywy strategii zagrożeń ważny jest sam wybór celów: połączenie aktywów wytwórczych (CHP) oraz elementów „krwiobiegu” nowoczesnej energetyki – systemów komunikacji i zarządzania generacją rozproszoną (OZE).

Analiza techniczna / szczegóły luki

1) Co wiemy na pewno o DynoWiper

Publicznie udostępnione informacje są na razie dość oszczędne: ESET potwierdza analizę nowego wipera DynoWiper i wskazuje jego charakter destrukcyjny (data-wiping), a także nazwę detekcji Win32/KillFiles.NMO. Reuters i inne media streszczają, że malware miało niszczyć pliki i unieruchamiać systemy.

2) Jak typowo działają wipery w środowiskach IT/OT (użyteczne do obrony)

Ponieważ szczegóły implementacyjne DynoWiper nie zostały szeroko opisane w materiałach publicznych (na dzień publikacji źródeł), warto przełożyć „wiper” na obserwowalne artefakty obronne. W praktyce wipery często realizują część lub całość poniższych działań:

  • masowe usuwanie plików (czasem z użyciem list rozszerzeń/ścieżek) lub ich nadpisywanie,
  • kasowanie kopii zapasowych/Shadow Copies i punktów przywracania,
  • destabilizacja systemu (np. niszczenie konfiguracji, usług, krytycznych katalogów),
  • równoległe użycie narzędzi „living-off-the-land” (np. do dystrybucji w domenie) – szczególnie w kampaniach przypisywanych Sandworm, gdzie destrukcja bywa etapem końcowym po wcześniejszym dostępie i przygotowaniu środowiska. (To jest uogólnienie na bazie znanego profilu grupy w ATT&CK.)

3) Atrybucja: dlaczego Sandworm

ESET komunikuje atrybucję do Sandworm z „medium confidence”, wskazując na silne nakładanie się z wcześniejszymi aktywnościami wiperowymi tej grupy. Z kolei MITRE ATT&CK opisuje Sandworm jako grupę o profilu destrukcyjnym, z historią operacji obejmujących m.in. NotPetya i wcześniejsze kampanie przeciw sektorom państwowym i krytycznym.

Praktyczne konsekwencje / ryzyko

Najważniejsze ryzyko w tym typie incydentu to krótki czas do efektu i wysoki koszt odtwarzania. Nawet jeśli atak nie powoduje natychmiastowego blackoutu, wiper:

  • może zatrzymać procesy biznesowe (OT/IT) przez konieczność odbudowy stacji, serwerów i domeny,
  • utrudniać sterowanie i bilansowanie (szczególnie, gdy celem są elementy komunikacji OZE z operatorami),
  • generować koszty operacyjne i reputacyjne – nawet przy braku fizycznych skutków.

W tym przypadku polskie władze i badacze mówią, że nie doszło do skutecznych zakłóceń, ale sam dobór celów (CHP + zarządzanie OZE) pokazuje, gdzie atakujący mógłby próbować uzyskać efekt „systemowy”.

Rekomendacje operacyjne / co zrobić teraz

Poniższe działania są praktyczne niezależnie od tego, czy DynoWiper pojawi się ponownie (i nawet przy ograniczonej widoczności jego IoC):

  1. Segmentacja IT/OT i kontrola przepływów
  • „Hard separation” krytycznych stref OT (SCADA/EMS/DMS, serwery inżynierskie) od IT; dopuszczaj tylko jawnie dozwolone protokoły i kierunki.
  • Bastionowanie dostępu z MFA i rejestrowaniem sesji.
  1. Wzmocnienie Active Directory i mechanizmów dystrybucji
  • Monitoruj nietypowe użycie GPO, PSExec/WMI/WinRM oraz narzędzi zdalnej administracji.
  • Ogranicz uprawnienia kont serwisowych; wprowadź JIT/JEA dla adminów.
  1. Backupy odporne na wipery
  • Kopie offline/immutable, testowane odtwarzanie (bare metal + AD recovery).
  • Osobne poświadczenia i oddzielona sieć do backupu.
  1. Detekcja behawioralna pod destrukcję
  • Alerty na: gwałtowny wzrost operacji delete/rename, masowe modyfikacje w krótkim oknie czasu, niszczenie kopii zapasowych.
  • Korelacja zdarzeń na hostach pełniących role „przesiadkowe” między IT i OT.
  1. Ćwiczenia IR ukierunkowane na „wiper scenario”
  • Procedury: izolacja segmentów, odcięcie dystrybucji narzędzi, priorytety przywracania (najpierw tożsamość, potem łączność, potem aplikacje).

Różnice / porównania z innymi przypadkami

  • DynoWiper vs klasyczne ransomware: tu celem nie jest monetyzacja, tylko degradacja zdolności operacyjnej. To zmienia priorytety: kluczowe są backupy i odtwarzanie, a nie negocjacje/odszyfrowywanie.
  • DynoWiper vs wcześniejsze operacje Sandworm: publicznie potwierdzony jest przede wszystkim „destrukcyjny DNA” Sandworm i jego historia kampanii o wysokim wpływie (MITRE opisuje m.in. NotPetya i ataki na energetykę). W przypadku DynoWiper na ten moment wiemy mniej o technikaliach, ale atrybucja ESET opiera się na zbieżnościach TTP z wcześniejszymi wiperami.

Podsumowanie / kluczowe wnioski

DynoWiper jest kolejnym sygnałem, że destrukcyjne operacje cybernetyczne nie są „historią z 2015 roku”, tylko realnym scenariuszem dla współczesnej energetyki – zwłaszcza w kontekście systemów hybrydowych łączących konwencjonalne źródła z OZE.

Najważniejsze na dziś:

  • traktuj wiper jako scenariusz „fast impact” (minuty–godziny),
  • inwestuj w odporność odtwarzania i segmentację,
  • buduj detekcję behawioralną pod masowe niszczenie danych,
  • ćwicz IR pod operacje destrukcyjne, nie tylko pod wycieki.

Źródła / bibliografia

  1. ESET Research – Sandworm behind cyberattack on Poland’s power grid in late 2025 (welivesecurity.com)
  2. The Hacker News – New DynoWiper Malware Used in Attempted Sandworm Attack on Polish Power Sector (The Hacker News)
  3. Reuters – raport o atrybucji i kontekście ataku (Reuters)
  4. TechCrunch – opis celu i kontekstu ataku (CHP + łączność OZE) (TechCrunch)
  5. MITRE ATT&CK – profil grupy Sandworm (G0034) (attack.mitre.org)