Pomagamy Zrozumieć i Wdrażać Bezpieczeństwo
Ten artykuł jest częścią serii „Bezpłatny Kurs LPI Security Essentials”, w ramach której znajdziesz wszystko, co potrzeba, aby zdać egzamin LPI Security Essentials 020-100 już za pierwszym razem.
Każdy moduł zawiera praktyczne przykłady, wyjaśnienia i materiały pomocnicze – wszystko po polsku, zrozumiale i konkretnie.
Czytaj dalej „LPI Security Essentials (Moduł 021.1) – Triada CIA W Praktyce”
W ostatnich miesiącach badacze zaobserwowali gwałtowny wzrost kampanii z wykorzystaniem tzw. NFC relay malware – złośliwych aplikacji, które nadużywają funkcji Host Card Emulation (HCE) w Androidzie, by przechwytywać i przekazywać w czasie rzeczywistym dane potrzebne do realizacji transakcji zbliżeniowych. Analizy wskazują na szczególnie dużą skalę zjawiska w Europie Środkowo-Wschodniej, co pokrywa się z najnowszymi doniesieniami branżowymi.
Pierwsze głośne przypadki nadużyć NFC/HCE w Europie raportowano już pod koniec 2023 r. – m.in. w Czechach, gdzie ESET opisał scenariusz łączący phishing, malware na Androida i przekazywanie ruchu NFC do wypłat z bankomatów. W 2024 r. badacze ESET nazwali komponent NGate i ostrzegali przed eskalacją metod. Wiosną 2025 r. włoski CERT-INCIBE opisał SuperCard X, narzędzie używane w kampanii przeciwko klientom banków we Włoszech. Równolegle firmy analityczne odnotowały dynamiczny wzrost zagrożeń mobilnych, w tym wariantów łączących NFC relay z innymi modułami finansowymi.
Model ataku NFC relay na Androidzie (HCE):
Dlaczego to działa?
Relay „oszukuje” zaufanie do krótkiego zasięgu NFC. Terminal płatniczy „widzi” prawidłową sekwencję wymiany APDU, chociaż karta/telefon ofiary znajduje się zupełnie gdzie indziej – co utrudnia wykrycie anomalii przez klasyczne reguły antifraudowe.
Dla użytkowników (Android):
Dla banków, fintechów i akceptantów:
W klasycznych trojanach bankowych dominują overlay + SMS/ats. W NFC relay kluczowe jest zdalne „przedłużenie” kanału zbliżeniowego, co pozwala płacić bez posiadania karty/urządzenia i bez typowych wskaźników kompromitacji (brak logowania do bankowości na urządzeniu atakującego). Nowsze kampanie łączą oba światy (relay + ATS), podnosząc skuteczność i trudność detekcji.
30 października 2025 r. opisano kampanię phishingową wykorzystującą wiadomości bezpośrednie na LinkedIn, w której napastnicy podszywają się pod rekruterów/partnerów inwestycyjnych i „zapraszają” dyrektorów finansowych do dołączenia do zarządu nowo powstałego funduszu. Kliknięcie w link prowadzi do łańcucha przekierowań kończącego się stroną typu Adversary-in-the-Middle (AiTM) kradnącą zarówno dane logowania, jak i tokeny sesyjne Microsoft 365 — skutecznie omijając MFA. Kampanię zidentyfikował i zablokował zespół Push Security; szczegóły opisał BleepingComputer.
To druga w ciągu ~6 tygodni kampania LinkedIn-owa opisana przez Push Security, po wrześniowych spear-phishingach na kadrę kierowniczą firm technologicznych, gdzie użyto podobnych technik: legalnych usług (Google Sites, Microsoft Dynamics), wielowarstwowych przekierowań i mechanizmów antybotowych. Trend wpisuje się w szersze nadużycia „zaufanych” usług (link wrapping, hostingi chmurowe) do maskowania ładunków phishingowych.
1) Przynęta socjotechniczna
Wiadomość na LinkedIn obiecuje prestiżową funkcję w radzie nowego funduszu inwestycyjnego, ukierunkowaną na CFO/VP Finance. Tego typu narracja mocno rezonuje z profilami finansowymi, minimalizując czujność i zwiększając CTR.
2) Łańcuch przekierowań i hosting na legalnych domenach
Atak wykorzystuje otwarte przekierowania Google, a następnie domeny jednorazowe (m.in. payrails-canaccord[.]icu, boardproposalmeet[.]com, sqexclusiveboarddirect[.]icu) i finalnie Firebase Storage stylizowany na „LinkedIn Cloud Share”. Taki miks utrudnia analizę URL i reputacji domen.
3) Anty-sandbox / anty-bot
Przed załadowaniem treści ofierze prezentowana jest bramka Cloudflare Turnstile. Rozwiązania tego typu blokują crawlery i automatyczną analizę proxy/SWG, wydłużając żywotność infrastruktur phishingowych.
4) AitM i kradzież sesji
Po przejściu Turnstile serwowana jest strona logowania Microsoft obsługiwana przez zestaw AiTM. Wprowadzenie hasła i przejście MFA skutkuje przechwyceniem cookies / tokenów i możliwością natychmiastowego przejęcia konta oraz downstream SSO (SharePoint, OneDrive, Teams, aplikacje SaaS).
5) TTP: nadużycia „zaufanych” łańcuchów linków
Badania Cloudflare z 2025 r. pokazują, że przestępcy coraz częściej kaskadują przekierowania przez rozpoznawalne usługi (nawet bezpieczeństwa/marketingu), aby zmylić filtry i analitykę. Obserwacja ta dobrze koreluje z bieżącą kampanią. (wniosek na podstawie zewnętrznego raportu)
Dla SecOps/Blue Team
.icu/.xyz/.top → *.firebasestorage.googleapis.com → bramki Turnstile → nietypowe logowania do Microsoft po „MFA success”.Dla IT/Entra ID/M365
Dla użytkowników VIP (CFO, VP Finance)
Arctic Wolf Labs opisało aktywną kampanię cyber-szpiegowską przypisywaną grupie UNC6384 ukierunkowaną na podmioty dyplomatyczne w Belgii i na Węgrzech (oraz inne cele w Europie). Ataki datowane są na wrzesień–październik 2025 r. i wykorzystują spreparowane skróty Windows (.lnk), które nadużywają podatności ZDI-CAN-25373 – techniki pozwalającej ukryć wykonanie poleceń poprzez manipulację argumentami w plikach LNK. Końcowym ładunkiem jest PlugX (SOGU) – znany trojan zdalnego dostępu często łączony z grupami powiązanymi z ChRL.
W sierpniu 2025 r. Google Threat Intelligence Group (GTIG) ujawniła wcześniejszą odsłonę kampanii UNC6384 wymierzoną w dyplomatów w Azji Południowo-Wschodniej. Tam atakujący przejmowali captive portal, podszywali się pod „Adobe plugin update” i w końcu dostarczali SOGU/PlugX przy użyciu side-loadingu komponentów Canona (STATICPLUGIN → MSI → CANONSTAGER).
Równocześnie PlugX pozostaje w centrum zainteresowania organów ścigania: 14 stycznia 2025 r. Departament Sprawiedliwości USA ogłosił operację usunięcia tej rodziny malware z ~4 258 komputerów w USA, wiążąc infekcje z Mustang Panda/Twill Typhoon.
The Record podkreśla, że PlugX od lat jest używany przez szereg chińskich grup, a działania DoJ to kontynuacja globalnych wysiłków po wcześniejszych przejęciach infrastruktury C2.
Łańcuch ataku (wariant europejski obserwowany przez Arctic Wolf):
COMMAND_LINE_ARGUMENTS). rjnlzlkfe.ta) do katalogu %AppData%\Local\Temp.cnmplog.dat). ZDI-CAN-25373 (aka ZDI-25-148): Trend Micro/ZDI opisuje wieloletnie i szerokie nadużycia tej słabości przez co najmniej 11 ugrupowań APT (KR/IR/RU/CN). Microsoft – według ZDI – nie wydał poprawki, co wymusza polityki ograniczania LNK i detekcje behawioralne.
PlugX/SOGU: wielofunkcyjny RAT znany od co najmniej 2008 r., zapewniający m.in. keylogging, exfiltrację plików, trwałość i zdalne sterowanie; stale ewoluuje (warianty Korplug/TIGERPLUG/SOGU).
Wybrane wskaźniki (IOC) z kampanii UNC6384 (Arctic Wolf):
Agenda_Meeting 26 Sep Brussels.lnk (SHA-256: 911cccd2…5fca539), cnmpaui.exe (Canon, legit), cnmpaui.dll (loader), cnmplog.dat (zaszyfrowany PlugX), rjnlzlkfe.ta (TAR).racineupci[.]org, dorareco[.]net, naturadeco[.]net, cseconline[.]org. Prewencja i twardnienie:
cnmpaui.exe) i blokowanie side-loadingu z niestandardowych ścieżek. Wykrywanie i hunting (przykłady):
cmd.exe/powershell.exe z rodzicem .lnk (reguły/hunty wg Trend Micro). %AppData%) i współwystępowanie plików cnmpaui.exe/.dll/.dat. gstatic → redirect → „plugin update” (artefakty kampanii GTIG/captive portal). Reakcja i ograniczanie skutków:
Ribbon Communications — dostawca rozwiązań sieciowych i usług komunikacji chmurowej dla operatorów telekomunikacyjnych oraz klientów rządowych — ujawnił, że jego sieć IT została naruszona przez grupę przypisywaną aktorowi państwowemu. Firma wykryła incydent na początku września 2025 r., a ślady wskazują, że pierwszy dostęp mógł nastąpić już w grudniu 2024 r. Firma zakończyła nieautoryzowany dostęp i prowadzi dochodzenie z udziałem zewnętrznych ekspertów i organów ścigania.
Incydent wpisuje się w serię ujawnionych w latach 2024–2025 operacji cyberszpiegowskich przeciw operatorom telekomunikacyjnym i powiązanym dostawcom infrastruktury. Amerykańskie agencje (CISA, FBI, NSA) ostrzegały m.in. przed kampanią Salt Typhoon wymierzoną w dostawców telekomunikacyjnych w USA i na świecie, obejmującą długotrwałe utrzymywanie dostępu i wykradanie metadanych połączeń oraz treści niezaszyfrowanych komunikacji.
O sprawie Ribbon pisały również serwisy branżowe i agencje prasowe, potwierdzając skalę i charakter ataku (aktor państwowy, długie utrzymanie się w środowisku).
Publiczna dokumentacja ujawnia kluczowe fakty operacyjne, ale nie zawiera szczegółów TTPs (narzędzia, techniki, procedury). Na podstawie zgłoszenia SEC wiadomo, że:
Biorąc pod uwagę wcześniejsze kampanie przeciw telkomom (np. Salt Typhoon), realistyczny scenariusz obejmuje mieszankę technik: spear-phishing i/lub nadużycie dostawcy zewnętrznego (Initial Access), długotrwałe living-off-the-land, kradzież poświadczeń, pivotowanie do zasobów z danymi klientów oraz ostrożną eksfiltrację porcji danych, by nie wywoływać alarmów. Jest to inferencja na podstawie publicznych porad bezpieczeństwa dot. tej klasy kampanii.
Dla klientów i partnerów Ribbon (CISO, SecOps, GRC):
Dla samych operatorów telco i dostawców infrastruktury:
W przeciwieństwie do głośnych wycieków z 2024–2025, gdzie agencje USA potwierdzały kradzież danych podsłuchowych i metadanych u wielu operatorów (kampania Salt Typhoon), w sprawie Ribbon nie ma obecnie dowodów na eksfiltrację informacji materialnych spółki; potwierdzono natomiast wgląd w wybrane pliki klientów na endpointach poza główną siecią. Innymi słowy: charakter szkód wygląda bardziej na punktowy incydent w łańcuchu dostaw niż bezpośrednie zagnieżdżenie się w core’owych sieciach telekomowych.
W popularnej wtyczce Anti-Malware Security and Brute-Force Firewall (GOTMLS) dla WordPressa wykryto podatność CVE-2025-11705, która umożliwia użytkownikom o niskich uprawnieniach (np. „Subscriber”) odczyt dowolnych plików na serwerze. W praktyce oznacza to możliwość wykradzenia m.in. zawartości wp-config.php (dane dostępowe do bazy), kluczy/saltów oraz innych prywatnych plików. Luka dotyczy wersji ≤ 4.23.81 i została poprawiona w 4.23.83 z 15 października 2025 r. Szacuje się, że wtyczka działa na 100 000+ witrynach.
GOTMLS_. Efekt: arbitrary file read dla zalogowanych użytkowników (od poziomu Subscriber).Zgłoszenie trafiło do zespołu Wordfence (Threat Intelligence) na początku października; 14 października przekazano je dalej przez WordPress.org Security Team do autora wtyczki. Dzień później pojawiło się wydanie 4.23.83 z poprawką. Publiczne ujawnienie – 29 października 2025 r. – opisało wektor i ryzyko dla serwisów z otwartą rejestracją użytkowników.
GOTMLS_ajax_scan() i pokrewnych akcjach AJAX GOTMLS_*. Weryfikacja opierała się na noncie, który użytkownik o niskich uprawnieniach mógł legalnie pozyskać, co pozwalało obejść intencję ograniczenia dostępu. wp-config.php, klucze/solty, logi, kopie konfiguracji itp. W konsekwencji możliwy jest dostęp do bazy danych i eksfiltracja skrótów haseł, e-maili, metadanych, treści wpisów.wp-config.php → poświadczenia bazy → dostęp do tabel użytkowników → pętle resetów/masowe logowania, phishing ukierunkowany (np. na redaktorów/adminów). wp-config.php (pole AUTH_KEY itp.) i rozważ reset haseł wybranym rolom, jeśli pliki mogły zostać odczytane. admin-ajax.php związanych z akcjami GOTMLS_* oraz nietypowych pobrań plików.Ta luka wymaga autoryzacji (loginu) i daje odczyt plików – to inny profil ryzyka niż ostatnie przypadki pełnych przejęć przez auth bypass/RCE. W praktyce jednak odczyt wp-config.php bywa wystarczający do dalszej kompromitacji (kradzież poświadczeń DB → pivot). Wordfence od miesięcy sygnalizuje, że wektorem nr 1 ekosystemu WordPress są wtyczki i ich endpointy (AJAX/REST), nie zaś sam core.
GOTMLS_* oraz potencjalnego wycieku wp-config.php.Grupa APT Cloud Atlas (znana także jako Inception) przeprowadziła kolejną kampanię cyberszpiegowską wymierzoną w rosyjski sektor rolno-spożywczy. Ataki wykorzystują przynęty związane z programem nadchodzącego forum rolniczego w Moskwie (30 października 2025 r.) oraz klasyczną podatność CVE-2017-11882 w edytorze równań MS Office, co umożliwia zdalne wykonanie kodu po otwarciu spreparowanego dokumentu. Kampanię jako pierwsza publicznie opisała redakcja The Record, na podstawie analiz rosyjskiej firmy F6.
Cloud Atlas jest aktywna co najmniej od 2014 r., konsekwentnie stosując kampanie spear-phishingowe wobec podmiotów rządowych i sektorów strategicznych w regionie Europy Wschodniej i Azji Centralnej. W ostatnich latach grupa była regularnie łączona z celami w Rosji i Białorusi.
Wejście i przynęta. W październiku 2025 r. F6 zarejestrowało wiadomości z konta mkrutij@list[.]ru z załącznikiem „Программа Форум Зерно и масличные.doc”, który faktycznie zawiera program konferencji. Analogiczna fala ze września używała tematu „Бланк ТЧ” i innego nadawcy (glotovao56@yandex[.]ru).
Łańcuch eksploatacji. Dokument-loader pobiera przez mechanizm RTF template plik RTF z exploitem CVE-2017-11882, po czym dociąga droppera (us.txt) i uruchamia VBShower z C2 ukrytym za ścieżkami URL na domenie kommando[.]live. Wcześniejsze łańcuchy korzystały również z hostów regioninvest[.]net i news-freebase[.]com.
CVE-2017-11882. To przepełnienie bufora w Equation Editor (EQNEDT32.exe), pozwalające na RCE bez interakcji poza otwarciem dokumentu. Mimo łatki z 2017 r. podatność pozostaje powszechnie nadużywana.
Moduły po infekcji. W arsenal Cloud Atlas od lat obserwuje się VBShower/PowerShower; w 2024 r. Kaspersky opisał nowy backdoor VBCloud ładowany właśnie przez VBShower (z opcją dociągania pluginów i komunikacją przez chmurę).
Infrastruktura i TTP. F6 wskazuje na nietypowe dla grupy strefy domen (np. .live, .online, .cfd) oraz łączenie ról domen (ładowanie szablonu i C2 na jednym hostu), podczas gdy historycznie rozdzielano etapy (template/C2/PowerShower) między różne domeny.
WINWORD.exe -> eqnedt32.exe -> powershell.exe/cscript.exe + nietypowe ruchy do domen podobnych do kommando[.]live, regioninvest[.]net. %TEMP%, harmonogramie zadań i RunKeys; nietypowe User-Agent w Invoke-RestMethod. W porównaniu z wcześniejszymi opisami kampanii Cloud Atlas (2019–2024) obecna fala nadal opiera się na dobrze znanym łańcuchu (phish → RTF/CVE-2017-11882 → VBShower), ale wyraźniej eksperymentuje z etapami dostarczania i strefami domen. Zbieżne obserwacje pojawiały się w materiałach Kaspersky (stabilne TTP + nowe implanty) oraz Check Point (utrzymanie stałych technik, zmiana przynęt wg bieżącego kontekstu).