Archiwa: Malware - Strona 146 z 165 - Security Bez Tabu

Tag: Malware

Storm-0249 przechodzi od brokerstwa dostępu do precyzyjnych ataków ransomware: ClickFix, „fileless” PowerShell i DLL sideloading

Wprowadzenie do problemu / definicja luki

Storm-0249 – dotąd klasyfikowany głównie jako initial access broker (IAB) – eskaluje taktyki i zaczyna samodzielnie przygotowywać grunt pod atak ransomware. Najnowsze obserwacje pokazują łańcuch ataku łączący ClickFix (nakłanianie ofiary do uruchomienia poleceń przez okno „Uruchom”), fileless PowerShell oraz DLL sideloading z wykorzystaniem plików powiązanych z EDR, co utrudnia detekcję i sprzyja ukrytej łączności C2. Te działania sygnalizują przejście z kampanii masowego phishingu do precyzyjnych operacji post-eksploatacyjnych nastawionych na późniejsze szyfrowanie zasobów.

W skrócie

  • TTPs: ClickFix → curl.exe → fileless PowerShell → MSI z uprawnieniami SYSTEM → DLL sideloading (np. wobec binariów agenta EDR) → zaszyta komunikacja C2 z procesu „zaufanego”.
  • Cel: utrzymanie dostępu i „ciche” przygotowanie pod ransomware (m.in. zbieranie identyfikatorów systemu jak MachineGuid do wiązania kluczy szyfrujących).
  • Ewolucja aktora: z IAB obsługującego grupy jak Storm-0501, do operatora prowadzącego własne działania post-eksploatacyjne.
  • ClickFix stał się popularną techniką (potwierdzaną przez wielu dostawców), wykorzystywaną także przez bardziej zaawansowane podmioty.

Kontekst / historia / powiązania

Microsoft już w 2024 r. opisywał model współpracy ransomware, w którym tacy brokerzy jak Storm-0249 sprzedają dostęp grupom szyfrującym (np. Storm-0501). Obecna zmiana – przejście od masowego phishingu do „EDR-aware” operacji – skraca czas do eskalacji i zmniejsza liczbę sygnałów ostrzegawczych w SOC. Równolegle ClickFix ewoluował od prostych „fix your PC” stron do złożonych przynęt z wideo-instrukcjami i automatycznym kopiowaniem komend, co zwiększa konwersję ataków.

Analiza techniczna / szczegóły ataków

  1. ClickFix i wejście do środka
    Ofiara trafia na stronę „pomocy”, gdzie proszona jest o skopiowanie/uruchomienie komendy w Win+R. Wzorzec od Microsoft: phishing/malvertising → landing page → polecenie do schowka → użytkownik uruchamia je sam, omijając część filtrów.
  2. curl → PowerShell (fileless)
    W przykładach przypisywanych Storm-0249 ciąg znaków wykorzystuje curl.exe do pobrania skryptu z podszytego pod Microsoft hosta (np. ścieżka /us.microsoft.com/... na domenie zewnętrznej), po czym pipelinuje zawartość bezpośrednio do PowerShell, który wykonuje kod w pamięci – bez artefaktów na dysku.
  3. MSI z uprawnieniami SYSTEM
    Fileless stager uruchamia MSI działające jako SYSTEM, co pozwala na zrzut komponentów w lokalizacjach użytkownika i ustawienie trwałości z wysokimi uprawnieniami.
  4. DLL sideloading na procesie EDR
    Atakujący umieszczają zaufany plik EXE (np. komponent agenta EDR) wraz ze spreparowaną biblioteką DLL (np. SentinelAgentCore.dll) tak, by EXE załadował agresora „z boku”. Daje to: (a) maskowanie pod sygnowany proces, (b) kanał C2 z „białej listy”, (c) trudniejsze alertowanie o LOLBins/LOLDrivers.
  5. Recon i przygotowanie pod ransomware
    Z poziomu „zaufanego” procesu wykonywane są LOLBins (np. reg.exe, findstr.exe) do odczytu MachineGuid i innych znaczników. Dane te służą m.in. do wiązania kluczy szyfrujących z konkretną maszyną w ramach operacji RaaS.
  6. Łączność C2 i unikanie detekcji
    C2 inicjowany jest z procesu agenta (telemetria EDR), często do świeżo rejestrowanych domen i z pełnym TLS, co utrudnia DPI i systemy reputation-based. Detekcja wymaga bazowania zachowań i anomalii sieciowych dla procesów „zaufanych”.

Praktyczne konsekwencje / ryzyko

  • SOC blind spot: ruch wychodzący „z EDR” wygląda wiarygodnie; klasyczne reguły na PowerShell/curl nie zadziałają, bo aktywność „znika” w pamięci i w telemetrii zaufanych binariów.
  • Szybsza ścieżka do ransomware: zebrane identyfikatory + utrzymanie SYSTEM → szybka eskalacja do szyfrowania, bez głośnego „kill chainu”.
  • ClickFix obchodzi świadomość użytkownika: nawet przeszkoleni pracownicy mogą „sami” uruchomić polecenie, bo komunikat udaje oficjalną pomoc Microsoft.

Rekomendacje operacyjne / co zrobić teraz

Prewencja i twarde polityki

  • Blokady AMSI + Constrained Language Mode dla PowerShell tam, gdzie to możliwe; egzekwuj Script Block Logging i Module Logging.
  • WDAC/AppLocker: wymuś ładowanie DLL wyłącznie z katalogów systemowych dla procesów o wysokim zaufaniu (EDR, backup).
  • DNS/TI: alertuj na połączenia do nowych domen (<30–90 dni) inicjowane przez procesy EDR/AV; baseline znane FQDN agenta i odchylenia.
  • Zasady uruchamiania: blokuj curl.exe/bitsadmin.exe/msiexec.exe wywoływane z Win+R/Shell-Execute bez kontekstu administratora (AppLocker/WDAC).

Detekcja i hunting (przykładowe kierunki)

  • DLL sideloading: szukaj uruchomień zaufanych EXE z prywatnych ścieżek (np. %AppData%) i nienatywnych bibliotek obok EXE.
  • ClickFix: zdarzenia schowka + otwarcia okna Run bez poprzedzającej interakcji z helpdesk/IT; koreluj z wklejeniem długiego ciągu Base64/PowerShell.
  • LOLBins recon: nietypowe zestawienia reg.exe/findstr.exe → odczyty gałęzi z identyfikatorami systemu; koreluj z nowym beaconem TLS.

Twarde reagowanie

  • Traktuj nieautoryzowane MSI uruchomione jako SYSTEM jako incydent wysokiej ważności; wykonaj memory forensics (ETW/AMSI logs, PSReadLine history).
  • EDR self-check: porównaj listę legalnych DLL ładowanych przez agenta vs. obserwowane w telemetry (pref. z hashami/Publisher).
  • Segmentacja i backupy: instant isolates + test odtworzeń; przygotuj playbook pod ekspresową ścieżkę ransomware (MFA-bypass, shadow copies, AD).

Różnice / porównania z innymi przypadkami

  • IAB → operator post-eksploatacyjny: typowa rola IAB (sprzedaż dostępu) zmienia się w „broker + enabler” z pełnym przygotowaniem pod szyfrowanie. To zbieżne z trendem RaaS opisywanym wcześniej w ekosystemie Storm-0501.
  • ClickFix vs. klasyczny phishing:** zamiast pobierania EXE/ZIP ofiara uruchamia komendę sama, co utrudnia AV/Proxy; technika jest opisywana przez wielu dostawców (Microsoft, Proofpoint) i bywa adaptowana także przez aktorów APT.

Podsumowanie / kluczowe wnioski

Storm-0249 łączy socjotechnikę (ClickFix) z „living-off-the-land” i EDR-aware sideloading, przesuwając punkt ciężkości obrony z klasycznych sygnatur na behawior, uprzywilejowane ścieżki ładowania i telemetrię procesów „zaufanych”. Organizacje powinny priorytetowo wdrożyć kontrolę ładowania DLL, monitoring nowych domen i pełne logowanie PowerShell. To trend, który zwiększa prędkość i skuteczność operacji ransomware – zanim zobaczysz klasyczne IOC, bywa już za późno.

Źródła / bibliografia

  • The Hacker News: „Storm-0249 Escalates Ransomware Attacks with ClickFix, Fileless PowerShell, and DLL Sideloading” (09.12.2025). (The Hacker News)
  • ReliaQuest Threat Research: „Threat Spotlight: Storm-0249 Moves from Mass Phishing to Precision EDR Exploitation” (09.12.2025). (ReliaQuest)
  • Microsoft Security Blog: „Think before you Click(Fix): Analyzing the ClickFix social engineering technique” (21.08.2025). (Microsoft)
  • Microsoft Security Blog: „Storm-0501 ransomware… expanding to hybrid cloud; IABs like Storm-0249” (26.09.2024). (Microsoft)
  • BleepingComputer: „Ransomware IAB abuses EDR for stealthy malware execution” (09.12.2025). (BleepingComputer)

Android: nowe malware FvncBot i SeedSnatcher oraz zmodernizowany ClayRat — jak kradną dane i omijają zabezpieczenia

Wprowadzenie do problemu / definicja

Badacze opisali dwie nowe rodziny złośliwego oprogramowania na Androida — FvncBot (trojan bankowy) i SeedSnatcher (stealer fraz seed do portfeli krypto) — oraz zaktualizowany wariant spyware ClayRat o znacznie rozszerzonych możliwościach. FvncBot podszywa się pod aplikację bezpieczeństwa mBanku i celuje w użytkowników w Polsce; SeedSnatcher kradnie frazy mnemoniczne i OTP/2FA; ClayRat dodaje nadużycia usług ułatwień dostępu, nagrywanie ekranu i fałszywe powiadomienia. Wszystkie trzy intensywnie nadużywają Android Accessibility Services, nakładek (overlays), MediaProjection i/lub roli domyślnej aplikacji SMS.

W skrócie

  • FvncBot: świeży kod (nie klon ERMAC-a), loader przebrany za „aplikację bezpieczeństwa mBanku”, funkcje: HVNC, keylogging z Accessibility, web-injecty, streaming ekranu; cel: użytkownicy bankowości w PL. Zaobserwowany identyfikator buildu call_pl wskazuje na Polskę.
  • SeedSnatcher: dystrybuowany jako „Coin” przez Telegram, kradnie frazy seed (BIP-39) do wielu popularnych portfeli (np. Trust Wallet, MetaMask), przechwytuje SMS/OTP, używa integer-based C2 (2000–2400) i dynamicznego ładowania klas/Dex.
  • ClayRat (nowy wariant): dodaje Accessibility + MediaProjection, automatyczne odblokowywanie ekranu (PIN/hasło/wzór), fałszywe interaktywne notyfikacje, trwałe nakładki i utrudnianie wyłączenia/odinstalowania; dystrybuowany m.in. przez phishingowe domeny podszywające się pod YouTube i lokalne aplikacje.

Kontekst / historia / powiązania

Informacje pochodzą z niezależnych raportów zespołów Intel 471 (FvncBot, 4 grudnia 2025), CYFIRMA (SeedSnatcher, 3 grudnia 2025) i Zimperium zLabs (ClayRat, 4 grudnia 2025). Syntetyczne omówienie pojawiło się 8 grudnia 2025 w The Hacker News. Zbieżność osi czasu wskazuje na rozwój ekosystemu mobilnych grup przestępczych aktywnie adaptujących techniki omijania polityk uprawnień Androida 13+.

Analiza techniczna / szczegóły

FvncBot (banking trojan)

  • Impersonacja mBanku: aplikacja-loader podszywa się pod „aplikację bezpieczeństwa mBanku”. Po uruchomieniu prosi o „komponent Google Play” i wykorzystuje podejście sesyjne do obejścia ograniczeń Accessibility na Androidzie 13+.
  • Komunikacja i identyfikacja celu: logowanie zdarzeń do serwera C2, konfiguracja z identyfikatorem call_pl i wersją 1.0-P, co sugeruje wczesny etap i target Polska.
  • Zdolności: HVNC (ukryte VNC), MediaProjection do streamingu ekranu, keylogging z Accessibility, overlays / web-injecty, zrzut listy aplikacji i informacji o urządzeniu, sterowanie gestami przez WebSocket. FCM służy do odbioru komend.

SeedSnatcher (crypto stealer)

  • Dystrybucja: APK o nazwie „Coin”, promowany w kanałach Telegram; pakiet m.in. com.pureabuladon.auxes.
  • Evasja i C2: dynamic class loading (fake_dex → real payload), WebView content injection, integer-based C2 (kody 2000–2400), WebSocket keep-alive do hosta C2.
  • Kradzież portfeli: mapowanie template ID → konkretny portfel (np. Trust Wallet, MetaMask, OKX itd.), prezentacja fałszywych ekranów importu; walidacja słów wg BIP-39 by wymusić poprawną frazę; dodatkowo przechwyt SMS/OTP/2FA, exfiltracja kontaktów, plików, dzienników połączeń.

ClayRat (spyware — nowa wersja)

  • Nowe możliwości: pełne nadużycie Accessibility Services (m.in. keylogger PIN/hasła/wzoru i auto-unlock), MediaProjection do streamingu ekranu, nakładki (czarna, „aktualizacja systemu”, PIN overlay), fałszywe interaktywne powiadomienia i zbieranie treści powiadomień. Po uzyskaniu roli domyślnej aplikacji SMS malware dodatkowo przejmuje korespondencję.
  • Dystrybucja: setki unikalnych APK, >25 domen phishingowych (m.in. podszycia pod YouTube), obserwowane także pliki hostowane w Dropboxie.

Praktyczne konsekwencje / ryzyko

  • Bankowość mobilna w Polsce: FvncBot jest wyspecjalizowany w polskim języku/ekosystemie — wzrasta ryzyko fraudów w bankowości i BLIK.
  • Kryptoaktywa: SeedSnatcher celuje w frazy seed — pojedyncza pomyłka ofiary oznacza pełny takeover portfela.
  • Uprawnienia krytyczne: rola Accessibility i Default SMS oraz MediaProjection tworzą wektor na pełne przejęcie urządzenia i potajemną egfiltrację.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników i działów IT (MDM/MTD):

  1. Zakaz sideloadingu i instalacji z linków SMS/IM; zezwalaj tylko na Google Play/zaufany MDM Store.
  2. Blokuj nadawanie ról Accessibility/Default SMS aplikacjom spoza allowlisty (polityki MDM, Managed Configs).
  3. Wykrywaj nadużycia MediaProjection/overlay (MTD/EDR mobilny) i monitoruj żądania uprawnień SYSTEM_ALERT_WINDOW, PACKAGE_USAGE_STATS, BIND_ACCESSIBILITY_SERVICE.
  4. Hardening bankowo-krypto: U2F/FIDO2 zamiast SMS OTP; hardware keys dla kont giełdowych; w portfelach — seed offline, brak importu przez telefon.
  5. Detekcja IOCs i zachowań: reguły dla komunikacji WebSocket do nietypowych domen, wzorce HVNC, wycieki eventów Accessibility.
  6. Reagowanie: jeżeli wykryto podejrzane uprawnienia/overlays — tryb samolotowy, kopia dowodowa, następnie factory reset + re-enrollment MDM; rotacja haseł/kluczy i przemapowanie portfeli z nową frazą seed (stare uznać za skompromitowane).

Dla banków i fintechów:

  • Attestation + anti-overlay w aplikacji, wykrywanie FLAG_SECURE bypass / screen-recordingu / Accessibility; dynamiczne risk-based auth i web-inject detection po stronie serwera. (Mechanizmy omijania FLAG_SECURE i MediaProjection wskazano w opisie FvncBota i ClayRat).

Różnice / porównania

  • FvncBot vs. klasyczne trojany bankowe (np. ERMAC): FvncBot jest pisany od zera i integruje HVNC + streaming ekranu oraz FCM jako kanał komend — to zbliża go do pełnej zdalnej obsługi urządzenia, a nie tylko overlay-phishingu.
  • SeedSnatcher vs. info-stealery: unikalne walidowanie BIP-39 i mapowanie UI portfeli zwiększają skuteczność kradzieży seedów.
  • ClayRat vs. stalkerware: nowy wariant łączy Default SMS + Accessibility + MediaProjection i notyfikacje interaktywne, co utrudnia wykrycie i odinstalowanie — „żyje” jak pełnoprawny RAT na Androidzie.

Podsumowanie / kluczowe wnioski

  • Polska jest celem co najmniej jednej z nowych kampanii (FvncBot), więc organizacje w PL powinny pilnie podnieść polityki MDM/MTD i świadomość użytkowników.
  • Techniki nadużycia uprawnień (Accessibility, MediaProjection, Default SMS, overlays) pozostają najskuteczniejsze na Androidzie — konieczne są zarówno kontrole użytkownika, jak i detekcja behawioralna.
  • Krypto-użytkownicy: nigdy nie wpisuj frazy seed w mobilnym „importerze” uruchomionym z linku; traktuj każdy import na telefonie jako potencjalny kompromis.

Źródła / bibliografia

  1. The Hacker News — „Android Malware FvncBot, SeedSnatcher, and ClayRat Gain Stronger Data Theft Features”, 8 grudnia 2025. (The Hacker News)
  2. Intel 471 — „New FvncBot Android banking trojan targets Poland”, 4 grudnia 2025. (Intel 471)
  3. CYFIRMA — „SEEDSNATCHER: Dissecting an Android Malware Targeting Multiple Crypto Wallet Mnemonic Phrases”, 3 grudnia 2025. (CYFIRMA)
  4. Zimperium zLabs — „Return of ClayRat: Expanded Features and Techniques”, 4 grudnia 2025. (Zimperium)

JS#SMUGGLER: jak atak przez zaufane witryny instaluje NetSupport RAT (pełna analiza i zalecenia)

Wprowadzenie do problemu / definicja luki

Badacze potwierdzili nową kampanię JS#SMUGGLER, która wykorzystuje skompromitowane strony WWW jako wektor dystrybucji malware. Atak przebiega wieloetapowo: obfuskowany JavaScript wstrzyknięty w witrynę uruchamia zdalny HTA (HTML Application) przez mshta.exe, a następnie odszyfrowany PowerShell pobiera i uruchamia NetSupport RAT – narzędzie zdalnej administracji nadużywane do pełnej kontroli stacji roboczych ofiary.

W skrócie

  • Wejście: ukryte iframy i przekierowania z zaufanych (lecz skompromitowanych) serwisów do obfuskowanego loadera phone.js.
  • Egzekucja: loader dynamicznie dobiera ścieżkę (mobile vs desktop), buduje URL-e kolejnych etapów i uruchamia HTA przez mshta.exe.
  • Payload: zaszyfrowane (AES + Base64/GZIP) stager’y PowerShell usuwają swoje artefakty i pobierają NetSupport RAT z utrzymaniem trwałości.
  • Cel: trwała zdalna kontrola, kradzież danych, operacje plikowe i wykonywanie poleceń.
  • Technika: nadużycie mshta.exe (MITRE ATT&CK T1218.005 – Mshta) jako signed binary proxy execution.

Kontekst / historia / powiązania

Nadużywanie legalnych narzędzi RMM i binariów systemowych (Living-off-the-Land) jest trendem utrzymującym się w 2024–2025 – NetSupport był wielokrotnie dostarczany w kampaniach e-mail i „fake update”/ClickFix. Organizacje raportowały przesunięcie akcentu: od fałszywych aktualizacji do socjotechniki ClickFix i dostarczania RMM jako „pierwszego etapu”.

Analiza techniczna / szczegóły luki

Etap 1 – Loader JS (phone.js):

  • Wstrzyknięty w skompromitowaną witrynę, korzysta z ukrytych iframe’ów i cichych przekierowań.
  • Zawiera „śmietnikowe” komentarze i tablice rotowane runtime’em; dekoduje łańcuchy przez funkcje indeksujące, utrudniając statyczną analizę.
  • Używa localStorage do jednorazowego odpalenia logiki (redukcja szumu detekcyjnego).
  • Rozgałęzia ścieżkę w zależności od urządzenia (mobile: fullscreen iframe; desktop: dociągnięcie skryptu 2. fazy).

Etap 2 – HTA przez mshta.exe:

  • Loader konstruuje w locie URL HTA i uruchamia go wykorzystując mshta.exe – zaufany komponent Windows wykorzystywany do proksowania wykonania kodu (MITRE T1218.005).
  • HTA uruchamia zaszyfrowane stager’y PowerShell, minimalizuje okna i ukrywa artefakty, by ograniczyć ślad forensyczny.

Etap 3 – PowerShell → NetSupport RAT:

  • Stager’y AES-256-ECB + Base64/GZIP pobierają, rozpakowują i uruchamiają NetSupport RAT, konfigurując persistencję (m.in. skróty w Autostarcie).
  • NetSupport daje atakującym m.in. zdalny pulpit, transfer plików, egzekucję poleceń, proxy i kradzież danych.

Praktyczne konsekwencje / ryzyko

  • Omijanie zabezpieczeń: wykorzystanie zaufanych domen (kompromitowanych serwisów) i signed binariów (mshta.exe) utrudnia detekcję sygnaturową i reputacyjną.
  • Eskalacja wpływu: po instalacji NetSupport umożliwia trwałą obecność, eksfiltrację danych oraz „hands-on-keyboard”.
  • Szeroki zasięg: kampania celuje w użytkowników korporacyjnych przeglądających zwykłe strony, co zwiększa powierzchnię ataku poza e-mailem.

Rekomendacje operacyjne / co zrobić teraz

Twarde kontrole:

  1. Blokady LoLBin: ogranicz/zasady SRP/AppLocker dla mshta.exe, wscript.exe, cscript.exe – przynajmniej poza zaufanymi kontenerami. (MITRE T1218.005)
  2. CSP i nagłówki przeglądarkowe: wymuś Content-Security-Policy (blok skryptów z nieautoryzowanych domen, frame-ancestors), X-Frame-Options dla własnych serwisów.
  3. Egress i DNS: kontrola wyjścia do świeżo zarejestrowanych domen / nietypowych TLD; segmentacja i proxy z inspekcją TLS. (wnioskowane na bazie łańcucha C2)
  4. Ochrona endpointów: włącz PowerShell Constrained Language Mode, Script Block/Module Logging, AMSI i rejestrowanie zdarzeń 4104.
  5. Monitorowanie mshta/HTA: reguły EDR/SIEM na zdalne HTA uruchamiane przez mshta.exe (np. event + command line zawierający URL/HTA). Dostępne gotowe reguły detekcyjne wskazują na wartość takiego use-case’u.

Detekcje (przykładowe sygnały):

  • Process = mshta.exe AND CommandLine CONTAINS http/https OR *.hta. (MITRE T1218.005)
  • powershell.exe z ciągami FromBase64String, GZIP, AES, Expand-Archive, New-Object Net.WebClient.
  • Tworzenie skrótów w %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\.
  • Połączenia do domen/ścieżek podobnych do */call/phone.js i nietypowych hostów wskazanych w analizie.

Higiena i reagowanie:

  • Hardening przeglądarek i serwerów WWW, skan integracyjny pod kątem wstrzyknięć JS/iframe.
  • Playbook IR dla NetSupport/RMM nadużywanych – odcięcie hosta, usunięcie autostartu, inwentaryzacja kont i sesji, rotacja poświadczeń, przegląd ruchu proxy/VPN. (wspierane wcześniejszymi obserwacjami kampanii z NetSupport)
  • Uświadamianie użytkowników w zakresie fałszywych „napraw kliknięciem” (ClickFix) oraz ostrzeżeń o skryptach PowerShell.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W odróżnieniu od mailowych kampanii z NetSupport (częste u graczy finansowo motywowanych), JS#SMUGGLER omija e-mail i wchodzi przez skompromitowane strony oraz łańcuch web-owy (JS→HTA→PowerShell). To zbliża go do ataków fake update/ClickFix, ale tutaj kluczową rolę gra mshta.exe jako signed binary oraz warunkowe branching po stronie JS (mobile vs desktop), co utrudnia replikację i detekcję.

Podsumowanie / kluczowe wnioski

  • JS#SMUGGLER to dojrzała, warstwowa operacja web-malware z naciskiem na stealth i selektywność ekzekucji.
  • Krytycznym elementem jest nadużycie mshta.exe (T1218.005) i zaszyfrowane stager’y PowerShell, które dostarczają NetSupport RAT.
  • Obrona musi łączyć polityki wykonywania, telemetrię PowerShell, kontrole przeglądarkowe (CSP) i monitoring LoLBin – same blokady domen nie wystarczą.

Źródła / bibliografia

  1. The Hacker News – „Experts Confirm JS#SMUGGLER Uses Compromised Sites to Deploy NetSupport RAT”, 8 grudnia 2025. (The Hacker News)
  2. Securonix Threat Research – „JS#SMUGGLER: Multi-Stage – Hidden iframes, Obfuscated JavaScript, Silent Redirectors & NetSupport RAT Delivery”, 3 grudnia 2025. (Securonix)
  3. MITRE ATT&CK – „T1218.005 Mshta (Signed Binary Proxy Execution)”. (attack.mitre.org)
  4. Proofpoint – „Remote Monitoring and Management (RMM) tooling increasingly attackers’ first choice”, 7 marca 2025. (kontekst NetSupport/RMM) (proofpoint.com)
  5. eSentire – „Unpacking NetSupport RAT Loaders Delivered via ClickFix”, 23 października 2025. (tło i taktyki z 2025) (eSentire)

Portugalia tworzy „safe harbor” dla badaczy bezpieczeństwa. Nowe wyjątki w prawie o cyberprzestępczości

Wprowadzenie do problemu / definicja luki

Portugalia zaktualizowała ustawę o cyberprzestępczości (Lei n.º 109/2009), dodając nowy art. 8.º-A: „Akty niepodlegające karze ze względu na interes publiczny w cyberbezpieczeństwie”. Przepis wprowadza prawny „safe harbor” dla badań bezpieczeństwa w dobrej wierze, ograniczając ryzyko karne dla researcherów działających proporcjonalnie i w interesie publicznym. Zmiana została przyjęta w Dekrecie-Ustawie nr 125/2025, który jednocześnie transponuje dyrektywę NIS2 i wchodzi w życie po 120 dniach od publikacji.

W skrócie

  • Co się zmienia? Działania, które normalnie podpadałyby pod „nieuprawniony dostęp” lub „nielegalną intercepcję”, mogą być niekaralne, jeśli spełnione są surowe warunki „good-faith research”.
  • Warunki kluczowe: cel publiczny (ujawnienie i poprawa bezpieczeństwa), brak korzyści majątkowej, niezwłoczne zgłoszenie luki właścicielowi/administratorowi i autorytetowi ds. cyberbezpieczeństwa, działania ściśle proporcjonalne, zakaz DoS, socjotechniki, phishingu, instalacji malware itd.
  • Kiedy prawo zacznie obowiązywać? 120 dni po publikacji (tj. 3 kwietnia 2026 r.).

Kontekst / historia / powiązania

Zmiana jest częścią szerszej reformy wdrażającej NIS2: Dekret-Ustawa 125/2025 ustanawia nowy reżim cyberbezpieczeństwa, rozszerza zakres podmiotowy i kompetencje CNCS (narodowego centrum cyberbezpieczeństwa), a także modyfikuje m.in. prawo o łączności elektronicznej i bezpieczeństwie wewnętrznym. W tym pakiecie rząd po raz drugi nowelizuje ustawę o cyberprzestępczości (109/2009), dodając wspomniany art. 8.º-A. Informację o „safe harbor” nagłośniły media branżowe.

Analiza techniczna / szczegóły luki

Nowy art. 8.º-A precyzuje, kiedy badania bezpieczeństwa nie są karalne (streszczenie najważniejszych punktów):

  1. Cel i intencja – jedynym celem jest identyfikacja podatności w systemach/produktach/usługach IT w celu zwiększenia bezpieczeństwa (m.in. poprzez odpowiedzialne ujawnienie).
  2. Brak korzyści ekonomicznej – badacz nie działa w celu uzyskania zysku ani obietnicy zysku (poza wynagrodzeniem z tytułu zwykłej działalności zawodowej).
  3. Obowiązek niezwłocznego powiadomienia – po odkryciu luki należy natychmiast poinformować właściciela/administratora systemu lub usługodawcę oraz krajową władzę ds. cyberbezpieczeństwa; ta ostatnia kieruje sprawę do Polícia Judiciária (policji sądowej), jeśli zachodzi istotność karna. Należy też przestrzegać RODO/GDPR przy przetwarzaniu danych.
  4. Proporcjonalność i minimalizacja szkód – działania ogranicza się do tego, co niezbędne do identyfikacji luki; zakazane są w szczególności:
    • DoS/DDoS,
    • socjotechnika i wprowadzanie w błąd użytkowników/administratorów,
    • phishing,
    • kradzież haseł lub innych danych wrażliwych,
    • usuwanie/zmiana danych,
    • wyrządzanie szkód systemowi,
    • instalacja i dystrybucja złośliwego oprogramowania.
  5. Dane uzyskane podczas testów – podlegają zasadom ochrony danych; jeśli je pozyskano, należy je usunąć w ciągu 10 dni od usunięcia luki i utrzymać poufność do końca procedury.
  6. Zgoda właściciela – działania wykonane za zgodą właściciela/administratora systemu również są niekaralne, przy zachowaniu obowiązków notyfikacyjnych.

Wejście w życie: Dekret wchodzi w życie po 120 dniach od publikacji w Dzienniku Ustaw; lokalne media wyliczają datę na 3 kwietnia 2026.

Praktyczne konsekwencje / ryzyko

  • Dla researcherów: to realna, ustawowa „bezpieczna przystań”, ale z istotnymi ograniczeniami: zero DoS/socjotechniki, pełna proporcjonalność, brak zysku i twardy reżim zgłaszania. Przekroczenie tych ram może ponownie wprowadzić działania w sferę karną.
  • Dla organizacji: rośnie znaczenie procesu przyjmowania zgłoszeń podatności (VDP) i gotowości do współpracy z CNCS. Brak procedur może skutkować opóźnieniami, wyciekami oraz karami administracyjnymi z reżimu NIS2.
  • Dla rynku: formalizacja „good-faith research” powinna poprawić czas reakcji na luki i jakość komunikacji, o ile firmy ustanowią jasne kanały disclosure. Media branżowe przewidują pozytywny wpływ na ekosystem bezpieczeństwa.

Rekomendacje operacyjne / co zrobić teraz

Dla organizacji w Portugalii i podmiotów obsługujących portugalskich klientów:

  1. Ustanów VDP (Vulnerability Disclosure Policy) z jasnym kanałem kontaktu, SLA triage i polityką prywatności danych badawczych. Odnieś VDP do wymogów art. 8.º-A (powiadomienia, poufność, usuwanie danych).
  2. Wyznacz rolę „VDP ownera” po stronie bezpieczeństwa/IT i powiąż ją z zespołem prawnym oraz kontaktami do CNCS (krajowa władza ds. cyberbezpieczeństwa).
  3. Zaktualizuj wewnętrzne procedury NIS2: klasyfikacja incydentów, progi zgłoszeń i koordynacja z CSIRT – tak, by obsłużyć napływ zgłoszeń od researcherów po wejściu prawa w życie.
  4. Zabroń DoS/socjotechniki w regulaminach testów (np. programy bug bounty), aby nie zachęcać do działań wyłączonych z ochrony.
  5. Przygotuj klauzule prawne (NDA „limited”), które pozwolą na poufność do czasu naprawy i wykazanie usunięcia danych w 10 dni od załatania luki.

Dla researcherów:

  • Dokumentuj intencję i proporcjonalność, prowadź dziennik czynności.
  • Natychmiast zgłaszaj lukę właścicielowi/administratorowi i władzy ds. cyberbezpieczeństwa; zachowuj zgodność z RODO.
  • Unikaj wszystkich technik wyraźnie zakazanych (DoS, phishing, malware itd.).
  • Nie przyjmuj korzyści majątkowych za sam fakt nieautoryzowanego testu (bug bounty po zaproszeniu/uregulowane – tak; wymuszenia – nie).

Różnice / porównania z innymi przypadkami

Nowy portugalski przepis przypomina praktykę „safe harbor” znaną z programów bug bounty, ale ma rangę ustawową i precyzyjnie określone wyłączenia (DoS, socjotechnika, phishing). To bardziej formalne i restrykcyjne rozwiązanie niż ogólne, niepisane zasady „co jest OK” w branży – dzięki temu daje większą pewność prawną zarówno badaczom, jak i organizacjom. Jednocześnie ciężar dowodu dobrej wiary i proporcjonalności spoczywa na researcherze.

Podsumowanie / kluczowe wnioski

Portugalia wprowadza rzadko spotykany, ustawowy parasol ochronny dla badań bezpieczeństwa – ale ściśle skrojony i podporządkowany interesowi publicznemu. Jeśli firmy przygotują VDP i dostosują procesy NIS2, a researcherzy zachowają proporcjonalność, transparentność i zgodność z RODO, ekosystem zyska na szybszym i bezpieczniejszym ujawnianiu podatności.

Źródła / bibliografia

  1. Diário da República – Decreto-Lei n.º 125/2025 (oficjalny tekst; art. 7 dodaje art. 8.º-A do prawa o cyberprzestępczości; wejście w życie po 120 dniach).
  2. BleepingComputer – omówienie zmian i kontekstu dla researcherów. (BleepingComputer)
  3. ANACOM – nota o publikacji dekretu-ustawy i transpozycji NIS2. (Anacom)
  4. DataGuidance – informacja o transpozycji NIS2 w Portugalii. (DataGuidance)
  5. ECO SAPO – termin wejścia w życie: 3 kwietnia 2026 r. (ECO)

LockBit 5: „nowa, bezpieczna domena bloga” i… błyskawiczny wyciek infrastruktury

Wprowadzenie do problemu / definicja luki

LockBit 5.0 ogłosił „nową, bezpieczną domenę bloga z wielowarstwową ochroną przed wszechmocnym FBI”. Zaledwie kilkadziesiąt godzin później OSINT-owcy i media branżowe powiązali tę infrastrukturę z konkretną domeną i adresem IP, ujawniając wrażliwe szczegóły konfiguracji serwera. To kolejny przykład kompromitacji higieny operacyjnej (opsec) gangu po jego powrocie na scenę.

W skrócie

  • Nowa infrastruktura LockBit 5.0 została powiązana z domeną karma0[.]xyz oraz adresem IP 205.185.116.233 (AS53667 – PONYNET/FranTech).
  • Serwer wykazywał otwarte porty wysokiego ryzyka (m.in. 3389/TCP – RDP, 5985 – WinRM), co przeczy narracji o „wielowarstwowej ochronie”.
  • Na nowym DLS (data leak site) pojawiły się recyklingowane wpisy ofiar – część ofiar miała pochodzić z wcześniejszych wycieków i innych grup (Weyr0/RansomHouse).
  • Równolegle monitorujący leak-sitów odnotowali nowy onion dla „bezpiecznego bloga”.
  • W szerszym tle: po Operation Cronos (luty 2024) gang odbudował się i w 2025 r. wypuścił LockBit 5.0 z technicznymi usprawnieniami.

Kontekst / historia / powiązania

Operacja służb „Cronos” w lutym 2024 r. uderzyła w infrastrukturę i panele LockBit, co znacząco ograniczyło jego możliwości – ale nie zakończyło działalności afiliantów. W 2025 r. gang ogłosił wersję 5.0 i stopniowo odbudował ekosystem RaaS. Dzisiejsza wpadka z domeną i IP wpisuje się w pasmo problemów opsec po serii wcześniejszych ekspozycji zaplecza grupy.

Analiza techniczna / szczegóły luki

  • Punkty wiązania (pivoty): badacze powiązali „nowy bezpieczny blog” z domeną karma0[.]xyz (zwracała stronę z brandingiem „LOCKBITS.5.0”) oraz adresem 205.185.116.233 w AS53667 (PONYNET/FranTech). Dane te zostały publicznie opublikowane na X (Twitter) przez analityka OSINT i następnie opisane w serwisach branżowych.
  • Konfiguracja usług: skany zewnętrzne wskazywały na wiele otwartych portów, m.in. 21/FTP, 80/HTTP (Apache/2.4.58 + PHP 8.0.30), 3389/RDP, 5000/HTTP, 5985/WinRM, 47001/HTTP i 49666 (usługa plików). Obecność RDP/3389 i WinRM/5985 na hostach przestępczych to rzadko spotykany błąd opsec, ułatwiający identyfikację, fingerprinting i potencjalne zakłócenia. (Uwaga: lista portów pochodzi z publikacji branżowej; nie stanowi niezależnie zweryfikowanego skanu.)
  • Metadane rejestracyjne: w materiałach pojawia się rozbieżność dat WHOIS (część źródeł podaje rejestrację 2 listopada 2025, inne – 12 kwietnia 2025 i użycie nameserverów Cloudflare). To typowe w przypadku prywatności WHOIS i zmian rejestratora; należy traktować te daty jako niejednoznaczne.
  • Nowy onion / DLS: wpis monitorujący leak-sity wskazuje nowy adres .onion opisany przez LockBit jako „new secure blog domain with a multi-layered protection system”.

Praktyczne konsekwencje / ryzyko

  • Ryzyko eskalacji DDoS i ingerencji: publiczne powiązanie adresu IP i domeny zwiększa szansę na działania obronne (blokady, zgłoszenia nadużyć) oraz kolizję z innymi gangami/crowd-sourcowanymi atakami.
  • Podważona wiarygodność DLS: sygnały o recyklingu ofiar podkopują presję negocjacyjną LockBit (ofiary i negocjatorzy mogą uznać nowe „publikacje” za blef).
  • Wymierne IOCs dla obrony: karma0[.]xyz, 205.185.116.233, AS53667 i nowy onion to artefakty do blokowania i korelacji w telemetrii SOC/TI.
  • Nieprzerwany rozwój narzędzi TTP: mimo wpadek opsec, LockBit 5.0 pozostaje technicznie dojrzały (wieloplatformowość: Windows/Linux/ESXi, obfuscation, utrudnianie analizy, szybkie szyfrowanie), co przekłada się na wciąż wysokie ryzyko dla organizacji.

Rekomendacje operacyjne / co zrobić teraz

Blokady i detekcje (prewencja):

  • Dodać do polityk blokowania: karma0[.]xyz, 205.185.116.233, segmenty AS53667; monitorować ewentualne rotacje IP/domen.
  • Aktualizować listy domen/URL DLS/CS w secure web gateway/EDR/NDR.
  • W regułach IDS/IPS oraz SIEM dodać korelację na nowy onion (jeśli telemetrycznie widoczny w ruchu TOR).

Twardnienie środowisk:

  • Egzekwować MFA + restrykcje sieciowe na RDP/WinRM/SSH/VPN; dla RDP – preferować RD Gateway + Just-In-Time + przesiadka na tunelowane połączenia bastionowe.
  • Wyłączyć SMB v1, ograniczyć „shadow copy” i włączyć tamper protection w EDR.
  • Wdrożyć application allowlisting dla hostów serwerowych, segmentację sieci (zwłaszcza ESXi/hiperwizory) i kopie zapasowe 3-2-1 z testem odtwarzania.

Detekcje TTP (przykłady):

  • Wykrywanie masowego rename + nietypowe rozszerzenia plików, wyłączenia ETW, zabijania usług AV/EDR, zrzutów LSASS, eksfiltracji poprzez tunelowanie HTTP(S)/TOR.
  • Korelowanie artefaktów LockBit 5.0 ze wskaźnikami znanymi z badań (np. obfuskacja, dynamiczne rozwiązywanie API, wsparcie ESXi).

Reakcja i komunikacja:

  • Przy incydentach z „LockBit 5.0” ocenić autentyczność wpisu na DLS – weryfikować, czy nie jest to recykling. Nie płacić za „stare” dane.

Różnice / porównania z innymi przypadkami

W przeszłości wycieki infrastruktury dotyczyły m.in. paneli afiliańckich i czatów LockBit (2025), ale obecny incydent jest nietypowy, bo uderza w „nową, wzmocnioną” domenę PR-owo reklamowaną przez gang – i to niemal natychmiast po starcie. W materialne technicznym 5.0 widać progres po stronie malware’u, podczas gdy opsec i warstwa publikacyjna pozostają piętą achillesową operacji.

Podsumowanie / kluczowe wnioski

  • LockBit 5.0 traci narrację o „nietykalności”: domena karma0[.]xyz i 205.185.116.233 szybko trafiły do publicznych IOCs, a serwer wyglądał na słabo utwardzony.
  • Recykling ofiar dodatkowo podważa presję szantażową gangu.
  • Dla obrońców to moment na blokady, korelacje i hunting z użyciem świeżych wskaźników, pamiętając, że technicznie LockBit 5.0 pozostaje niebezpieczny.

Źródła / bibliografia

  1. DataBreaches.net: „LockBit 5’s ‘new secure blog domain’ infra leaked already” (07.12.2025). (DataBreaches.Net)
  2. CyberSecurityNews: „LockBit 5.0 Infrastructure Exposed in New Server, IP, and Domain Leak” (07.12.2025). (Cyber Security News)
  3. Ransomware.live: wpis „new blog domain lockbit 5.0” (05.12.2025). (Ransomware Live)
  4. Europol: „Law enforcement disrupt world’s biggest ransomware operation” (20.02.2024). (Europol)
  5. Trend Micro Research: „New LockBit 5.0 Targets Windows, Linux, ESXi” (25.09.2025). (www.trendmicro.com)

PRC „Brickstorm”: chińskie grupy APT z backdoorem na vSphere i Windows. Co wiemy i jak się bronić

Wprowadzenie do problemu / definicja luki

4 grudnia 2025 r. CISA, NSA i kanadyjski Cyber Centre opublikowały raport analizy złośliwego oprogramowania (MAR) opisujący BRICKSTORM – niestandardowy backdoor (Go/ELF) używany przez państwowo wspieranych aktorów z ChRL do długotrwałej obecności w sieciach ofiar. Główne cele to sektor publiczny (Government Services & Facilities) oraz firmy IT. Malware obsługuje środowiska VMware vSphere (vCenter/ESXi) i ma również warianty dla Windows.

W skrócie

  • Wejście i trwałość: implant na hostach vCenter/ESXi, modyfikacja plików startowych, watchdog autorestartu/reinstalacji. Średnia „dwell time” w wykrytych operacjach liczona była w miesiącach, a w niektórych przypadkach przekraczała rok.
  • C2 i ukrywanie: wielowarstwowe szyfrowanie (HTTPS/WebSockets/nested TLS), DNS-over-HTTPS do rozwiązywania adresów C2, imitacja ruchu serwerów.
  • Cele i skala: rząd i IT w USA/Kanadzie; media i badacze informują o dziesiątkach organizacji i działaniach o charakterze szpiegowskim z potencjałem sabotażu.
  • Środowiska wirtualne: po przejęciu vCenter napastnicy klonują snapshoty VM (ekstrakcja poświadczeń) i mogą tworzyć ukryte, „rogue” VM.

Kontekst / historia / powiązania

Kampania wpisuje się w długofalową aktywność APT z Chin opisywaną wspólnie przez CISA/NSA (np. wcześniejsze CSA nt. kompromitacji sieci krytycznych), ale BRICKSTORM to świeży komponent zwiększający trwałość w warstwie wirtualizacji. Niezależnie, Google Threat Intelligence (GTIG) i Mandiant raportowały jesienią 2025 r. aktywność „Brickstorm”/pokrewnych narzędzi z długim czasem utrzymania dostępu (~393 dni), szczególnie w branżach prawnej, SaaS i BPO.

Analiza techniczna / szczegóły luki

Wejście i ruch boczny. W incydencie IR opisanym przez CISA napastnicy:

  • dostali się na serwer web w DMZ (poprzez web shell),
  • użyli kont usługowych do RDP na kontrolery domeny (kopie NTDS.dit),
  • zdobyli poświadczenia MSP i przeszli do vCenter,
  • eskalowali uprawnienia (sudo), zrzucili BRICKSTORM do /etc/sysconfig/ i zmodyfikowali plik init rozruchu vSphere, aby uruchamiać implant przy starcie,
  • uzyskali dostęp do dwóch DC oraz serwera ADFS (eksport kluczy kryptograficznych). Z persystencją co najmniej od kwietnia 2024 do 3 września 2025.

Funkcje BRICKSTORM.

  • Backdoor (Go/ELF): interaktywny shell, operacje na plikach (upload/download/list/create/delete), tryb SOCKS proxy do tunelowania i ruchu bocznego.
  • C2 i maskowanie: HTTPS/WebSockets + DoH do rozwiązywania C2, „web server mimicry” do wtapiania się w normalny ruch.
  • Trwałość: watchdog samonaprawy (restart/reinstalacja po zakłóceniu).
  • Warianty: próbki dla vSphere; istnieją raporty o wersjach Windows.
  • Reguły detekcji: pakiet YARA/Sigma do pobrania z MAR.

Cele specyficzne dla wirtualizacji. Po wejściu do vCenter aktorzy:

  • klonują snapshoty wrażliwych VM dla ekstrakcji haseł/kluczy,
  • tworzą ukryte VM, które bywają pomijane przez standardowe monitorowanie,
  • utrwalają obecność modyfikując ścieżki startowe usług vSphere.

Praktyczne konsekwencje / ryzyko

  • Ryzyko utraty integralności tożsamości (eksport kluczy ADFS, kradzież biletów/claims) i długotrwałe „życie w chmurze” atakującego w środowiskach wirtualnych.
  • Utrata widoczności SOC: DoH, WebSockets i „mimikra” HTTP utrudniają klasyczne IOCs/IDS.
  • Potencjał sabotażu: dostęp uprzywilejowany do warstwy wirtualizacji umożliwia szybkie, szerokie skutki (np. wyłączanie klastrów, manipulacja storage). Organy USA i Kanady ostrzegają, że operacje mają wymiar szpiegowski, ale niosą ryzyko zakłóceń.

Rekomendacje operacyjne / co zrobić teraz

Detekcja i polowanie

  1. Wdróż reguły z MAR (YARA/Sigma); przejrzyj wyniki retro (24+ m-ce) w SIEM/EDR/NDR.
  2. Analityka DoH: wyłapuj nietypowe zapytania DoH (destynacje niezwiązane z Twoim resolverem), koreluj z WebSockets i długimi połączeniami TLS.
  3. Telemetry vSphere:
    • zmiany w /etc/sysconfig/ i skryptach init na ESXi/vCenter,
    • nietypowe operacje clone/snapshot VM,
    • tworzenie nierejestrowanych/ukrytych VM,
    • użycie sudo na appliance’ach vCenter.
  4. AD/ADFS: hunting pod kątem kopiowania NTDS.dit, dostępu do ADFS i eksportu kluczy.

Hardening i kontrola powierzchni ataku

  1. Segmentacja i zasada „rzadkich rąk” do vCenter (MFA, PAM/JIT, brak stałych kont usługowych MSP w prod).
  2. Monitoring i kontrola DoH: preferuj własne, autoryzowane resolvery DoH/DNS; blokuj „dzikie” endpointy DoH na brzegu.
  3. Zasady snapshotów: ogranicz prawo do clone/snapshot, alertuj o masowych/pozaschematowych operacjach.
  4. Łatanie i konfiguracja vSphere/Windows, w tym aktualne appliance’y, rotacja certyfikatów i HSTS/TLS hardening na brzegach proxy. (Inference na bazie wytycznych CISA/NSA dot. krytycznej infrastruktury.)

Odpowiedź na incydent (IR) – minimalny playbook

  • Izolacja vCenter/ESXi (odseparowane sieci zarządzające, odcięcie dostępu z kont zewnętrznych/MSP).
  • Zrzuty i triage: pamięć + dysk vCenter/ESXi; weryfikacja plików init i ścieżek w /etc/sysconfig/.
  • AD/ADFS: natychmiastowa rotacja kluczy ADFS, przegląd trustów, audyt kont usługowych i SPN.
  • Korekta polityk DoH/HTTP proxy, wymuszanie resolwera korporacyjnego.
  • Zgłoszenie do CISA/Cyber Centre; użycie udostępnionych IOC/Sigma.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W porównaniu do wcześniejszych kampanii PRC opisywanych przez CISA/NSA (routery, urządzenia brzegowe), BRICKSTORM celuje w warstwę wirtualizacji i tożsamość (AD/ADFS), łącząc długą persystencję z trudnym do wykrycia C2 (DoH/WebSockets). To przesunięcie „w dół” stosu (hypervisor/zarządzanie) zwiększa wpływ i utrudnia odzyskanie środowiska.

Podsumowanie / kluczowe wnioski

  • BRICKSTORM to ukierunkowany backdoor na vSphere/Windows pozwalający APT z ChRL na wielo-miesięczną obecność.
  • Operacje na vCenter/ESXi (clone/snapshot, rogue VM) i kradzież kluczy ADFS podnoszą ryzyko eskalacji domenowej i łańcuchowych kompromitacji.
  • Widoczność na DoH/WebSockets i telemetria vSphere to teraz krytyczne obszary detekcji.
  • Wdrożenie reguł YARA/Sigma z MAR, hardening tożsamości i segmentacji vCenter to „must-do” dla SOC/IT.

Źródła / bibliografia

  1. CISA/NSA/Cyber CentreMalware Analysis Report: BRICKSTORM Backdoor, 4 grudnia 2025 (TLP:CLEAR). Najpełniejszy opis próbek, TTP, IOC, reguły YARA/Sigma.
  2. CISA – komunikat: CISA, NSA and Cyber Centre Warn Critical Infrastructure of BRICKSTORM malware…, 4 grudnia 2025. (cisa.gov)
  3. Google Threat IntelligenceBrickstorm espionage campaign (analiza GTIG/Mandiant), 24 września 2025. (Google Cloud)
  4. CyberScoopExpansive, ongoing China espionage threat riding on Brickstorm, 4 grudnia 2025. (CyberScoop)
  5. ReutersChinese-linked hackers use ‘Brickstorm’ back door…, 4 grudnia 2025 (kontekst medialny i skala). (Reuters)

Microsoft „po cichu” łagodzi zero-day w Windows (.LNK) aktywnie wykorzystywany przez APT i cyberprzestępców

Wprowadzenie do problemu / definicja luki

Microsoft w listopadowych aktualizacjach 2025 r. wprowadził ciche zmiany w sposobie wyświetlania właściwości skrótów Windows (.LNK), co ogranicza skuteczność aktywnie wykorzystywanej luki CVE-2025-9491. Błąd pozwalał atakującym ukrywać złośliwe argumenty poleceń w polu Target tak, by użytkownik (lub analityk) nie widział rzeczywiście wykonywanego łańcucha polecenia. Microsoft wcześniej twierdził, że z uwagi na wymaganą interakcję użytkownika i ostrzeżenia „Mark of the Web”, problem „nie spełnia progu dla serwisowania”, ale mimo to w systemie pojawiła się mitygacja interfejsowa.

W skrócie

  • Identyfikator: CVE-2025-9491 (wcześniej ZDI-CAN-25373 / ZDI-25-148), CWE-451 (UI Misrepresentation). CVSS: 7.0 (High).
  • Wektor: złośliwe pliki .LNK z ukrytymi argumentami poleceń; zwykle dostarczane w archiwach ZIP/RAR w kampaniach phishingowych.
  • Eksploatacja: potwierdzona od co najmniej 2017 r. przez 11 grup APT i gangi cyberprzestępcze (m.in. Mustang Panda/UNC6384, Kimsuky/APT43, APT37, RedHotel, SideWinder, Evil Corp).
  • „Patch” Microsoftu: zmiana UI – teraz okno Właściwości pokazuje cały łańcuch Target (nie tylko pierwsze 260 znaków), co utrudnia ukrycie złośliwych argumentów. Nie jest to pełny „kodowy” fix.
  • Micropatch 0patch: dodatkowa, nieoficjalna mitygacja skracająca Target >260 znaków i ostrzegająca użytkownika; dostępna głównie dla starszych/niewspieranych wersji Windows.

Kontekst / historia / powiązania

Trend Micro ZDI opublikowało w marcu 2025 r. analizę, dokumentując prawie 1000 złośliwych skrótów .LNK i szerokie wykorzystanie luki przez aktorów sponsorowanych przez państwa. Microsoft – po kilku rundach komunikacji – uznał wówczas, że problem „nie spełnia progu” na łatkę bezpieczeństwa. Jesienią 2025 r. Arctic Wolf Labs opisało świeże kampanie UNC6384 (Mustang Panda) przeciw europejskim dyplomatom, dystrybuujące PlugX przez spreparowane .LNK. W efekcie temat wrócił, a w listopadzie interfejs Windows został zmieniony.

Analiza techniczna / szczegóły luki

  • Sedno podatności: UI misrepresentation – Windows w Właściwościach skrótu wyświetlał tylko pierwsze 260 znaków pola Target. Atakujący wypełniali początek długiego łańcucha białymi znakami (spacje, tabulatory), spychając właściwe, złośliwe argumenty poza widoczny fragment. Użytkownik mógł więc zobaczyć „niewinne” powershell.exe/cmd.exe bez realnych parametrów wywołujących pobranie i uruchomienie malware.
  • Wejście do ekosystemu LOLBins: Parametry często uruchamiały living-off-the-land binaria (PowerShell, rundll32, cmd, conhost) do pobrania i uruchomienia ładunku (np. PlugX, Gh0st RAT, Ursnif).
  • „Cicha” zmiana w Windows: po aktualizacjach z listopada 2025 UI pokazuje cały łańcuch Target (teoretycznie do ~32k znaków). To utrudnia socjotechniczne ukrycie argumentów, ale nie blokuje wykonania polecenia per se.

Praktyczne konsekwencje / ryzyko

  • Ataki phishingowe z archiwami zawierającymi .LNK, często stylizowane na dokumenty konferencyjne/urzędowe (tematy NATO/KE itp.), pozostają skuteczne, jeśli użytkownicy nadal uruchamiają skróty.
  • Eskalacja i utrzymanie dostępu: po kliknięciu skrótu następuje łańcuch pobrania i uruchomienia RAT/loadera, często z mechanizmami trwałości.
  • Widoczność w SOC: sama zmiana UI pomaga człowiekowi to zauważyć, ale nie zastępuje kontroli technicznych – IOC/telemetria EDR nadal kluczowe.

Rekomendacje operacyjne / co zrobić teraz

  1. Polityki poczty i bramek: blokuj załączniki .LNK oraz archiwa zawierające .LNK (ZIP/RAR/7z). Włącz sandboxing i detekcję zawartości w archiwach.
  2. Kontrola uruchamiania skrótów:
    • GPO/AppLocker/WDAC: ogranicz uruchamianie .LNK z lokalizacji użytkownika (Downloads, %TEMP%, %AppData%).
    • Blokuj uruchomienia PowerShell/cmd/rundll32 z argumentami z niezaufanych ścieżek. (Technika mapowana do MITRE ATT&CK T1204/T1059).
  3. Defender/EDR:
    • Włącz ASR (blokowanie procesów child z Office/niezaufanych miejsc, blokowanie podejrzanych skryptów PowerShell).
    • Monitoruj zdarzenia „process creation” z bardzo długimi łańcuchami poleceń i obecnością nietypowych białych znaków.
  4. Higiena plików z Internetu: enforce’uj Mark-of-the-Web i blokuj znane MOTW bypassy w Twojej flocie przeglądarek/klientów archiwów.
  5. Sygnatury/YARA: skorzystaj z reguł opublikowanych przez Trend Micro ZDI do wykrywania „padded LNK”. (Dostosuj do własnych pipeline’ów skanowania plików).
  6. Aktualizacje systemu: zainstaluj listopadowe aktualizacje 2025 na wspieranych wydaniach Windows, by uzyskać pełne wyświetlanie Target. Dla starszych wersji rozważ 0patch (micropatch: limit 260 znaków + alert) – po ocenie ryzyka i zgodności.
  7. Szkolenia i playbooki SOC: uaktualnij runbooki analityczne: przy incydentach z plikami .LNK zawsze sprawdzaj cały Target i historię pochodzenia pliku (strefa Internet/MOTW).

Różnice / porównania z innymi przypadkami

  • Stuxnet (CVE-2010-2568) vs CVE-2025-9491: Stuxnet wykorzystywał RCE w parserze .LNK (brak interakcji). Tu problemem jest ukrycie informacji w UI, a RCE wynika z uruchomienia „zaufanego” skrótu przez użytkownika. Inne klasy zagrożeń; wspólny mianownik: .LNK jako nośnik.
  • Nowsze kampanie APT: bieżące operacje (UNC6384) to spear-phishing + .LNK + PlugX i motyw szpiegowski, a nie masowa cyberprzestępczość.

Podsumowanie / kluczowe wnioski

  • CVE-2025-9491 to realny wektor w rekonesansie i intruzjach APT – wykorzystywany od lat, często niezauważany przez człowieka, bo UI wprowadzało w błąd.
  • Microsoft nie wydał klasycznej poprawki bezpieczeństwa, ale zmienił UI tak, by ujawniać pełen łańcuch poleceń. To pomaga, ale nie eliminuje ryzyka – twarde polityki wykonania, EDR i bramki pocztowe pozostają kluczowe.
  • Organizacje powinny wdrożyć warstwowe mitygacje: kontrolę .LNK w mailu/endpointach, ASR/WDAC, monitoring długich command lines i edukację użytkowników.

Źródła / bibliografia

  1. BleepingComputer: „Microsoft ‘mitigates’ Windows LNK flaw exploited as zero-day” (03.12.2025). (BleepingComputer)
  2. Trend Micro ZDI: „ZDI-CAN-25373: Windows Shortcut Exploit Abused as Zero-Day in Widespread APT Campaigns” (18.03.2025, aktualizacje). (www.trendmicro.com)
  3. Zero Day Initiative – Advisory ZDI-25-148 (CVE-2025-9491) i timeline korespondencji z Microsoft. (zerodayinitiative.com)
  4. Arctic Wolf Labs: „UNC6384 Weaponizes ZDI-CAN-25373 to Deploy PlugX Against European Diplomatic Entities” (30.10.2025). (Arctic Wolf)
  5. 0patch (ACROS Security): „Microsoft Silently Patched CVE-2025-9491 – We Think Our Patch Provides More Security” (02.12.2025). (blog.0patch.com)