Archiwa: Phishing - Strona 124 z 132 - Security Bez Tabu

Tag: Phishing

Mem3nt0 mori: jak Kaspersky powiązał APT ForumTroll ze szpiegowskim Dante od Memento Labs (ex-Hacking Team)

Wprowadzenie do problemu / definicja luki

Kaspersky opisał dziś kulisy kampanii Operation ForumTroll (marzec 2025), w której kliknięcie spersonalizowanego linku phishingowego prowadziło do cichej infekcji przez przeglądarkę Chrome. Badacze wykryli i zgłosili nową podatność CVE-2025-2783 (sandbox escape w komponencie Mojo), którą Google załatał w stabilnym wydaniu 134.0.6998.177/.178 z 25 marca 2025 r.

W toku dalszej analizy Kaspersky powiązał tę kampanię i pokrewny arsenał z komercyjnym spyware “Dante” rozwijanym przez Memento Labs — firmę, którą świat znał wcześniej jako Hacking Team.

W skrócie

  • Wejście: e-mail phishingowy ze spersonalizowanym, krótkotrwałym URL-em; sama wizyta w witrynie uruchamiała exploit 0-day na Chrome (Windows).
  • Eksploit: CVE-2025-2783 — eskalacja z sandboksa (Mojo/IPC), potwierdzona przez Google i NVD; poprawka 25.03.2025.
  • Łańcuch: validator → exploit → persistent loader → etap LeetAgent → właściwe moduły szpiegowskie (Dante).
  • Atrybucja: zbieżności kodu, TTP, ścieżek FS, mechanizmów trwałości oraz jawne ciągi “Dante” w binariach; kontynuacja linii RCS (Da Vinci/Galileo) po rebrandingu Hacking Team → Memento Labs.

Kontekst / historia / powiązania

Hacking Team to jedna z najbardziej rozpoznawalnych marek rynku spyware (RCS: Da Vinci/Galileo). Po wycieku ~400 GB danych w 2015 r. firma została w 2019 r. przejęta przez InTheCyber i przemianowana na Memento Labs. W 2023 r. na konferencji ISS World MEA firma ujawniła nazwę nowego produktu: DANTE. Według Kaspersky’ego kod RCS ewoluował do 2022 r., gdy został zastąpiony przez Dante.

Szersze mapowanie rynku komercyjnego spyware (NSO/Intellexa/Candiru/Paragon/Quadream/RCS Labs/Memento Labs itd.) potwierdza ciągłość działalności dostawców po rebrandingu.

Analiza techniczna / szczegóły luki

Łańcuch ataku (high-level)

  1. Phishing URL (krótko żyjący, spersonalizowany) → 2. Validator (sprawdza środowisko) → 3. Exploit CVE-2025-2783 (ucieczka z sandboksa Chrome/Windows) → 4. Persistent loader (utrwalenie) → 5. LeetAgent (staging/koordynacja) → 6. Dante (moduły szpiegowskie).

CVE-2025-2783 (Chrome Mojo)

  • Błąd klasy incorrect handle w Mojo IPC na Windows umożliwiający sandbox escape przy udziale złośliwego pliku/strony.
  • Status: wykryty in-the-wild, załatany 25.03.2025; zgłaszający: Boris Larin, Igor Kuznetsov (Kaspersky); wektor CVSS3.1 wg CISA-ADP: AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H (8.3).

Artefakty i IOCs (wybrane wzorce)

  • Folder modułów: w %LocalAppData%, nazwy katalogu i plików bez rozszerzeń to 8-bajtowe Base64; jeden z plików ma nazwę równą katalogowi — to pomocny wzorzec detekcyjny aktywnej infekcji.
  • Próbki: Kaspersky publikuje skróty (loader/LeetAgent/Dante) w sekcji IOCs.

Atrybucja do Dante / Memento Labs

  • Po zdjęciu VMProtect odkryto ciągi “Dante” oraz odniesienie do wersji “2.0” zgodne z nazwą prelekcji ISS World MEA 2023; wykryto liczne podobieństwa kodowe między późnymi próbkami RCS a Dante. Wniosek: nowy produkt zastąpił dotychczasową bazę w 2022 r.

Praktyczne konsekwencje / ryzyko

  • Ataki bezklikalne po kliknięciu linku: samo otwarcie strony w Chrome wystarczało do naruszenia (brak dodatkowej interakcji).
  • Ryzyko pełnego przejęcia hosta: sandbox escape w Chrome połączony z loaderem i modułami daje zdolności pełnego szpiegostwa (zrzuty ekranu, exfiltracja, keylogging, audio/wideo — typowe dla linii RCS/Dante).
  • Cele wysokoprofilowe: charakter kampanii (APT, spear-phishing, krótkotrwała infrastruktura) wskazuje na ukierunkowaną cyber-szpiegowską operację.

Rekomendacje operacyjne / co zrobić teraz

1) Natychmiastowe działania IT/SecOps

  • Zaktualizuj Chrome do ≥ 134.0.6998.177/.178 (Windows); sprawdź kanał Extended Stable.
  • Hunting po artefaktach: przeszukaj %LocalAppData% pod kątem katalogów/plików nazwanych 8-bajtowym Base64 (bez rozszerzeń) oraz zbieżnych mechanizmów trwałości. Zweryfikuj hosty z podejrzanymi folderami.
  • Weryfikacja IOCs: porównaj próbki z hashami opublikowanymi przez Kaspersky (loader/LeetAgent/Dante).

2) Detekcja i twardnienie

  • EDR/XDR: reguły pod CVE-2025-2783 (Mojo/handle dup), ładowanie niezaufanych DLL, nietypowe child-procesy Chrome → LOLBins, tworzenie trwałości przez rzadko używane ścieżki użytkownika. (Wzorce zgodne z opisem łańcucha Kaspersky).
  • Gateway/Proxy: czasowo-ograniczone, spersonalizowane URL-e — wzmacniać detekcję na krótko żyjące domeny, TLS fingerprinting, anomalię HTTP.
  • Kontrola przeglądarki: polityki blokujące ładowanie Mojo IPC z nieznanych źródeł, ograniczanie rozszerzeń, izolacja profili uprzywilejowanych.

3) Zarządzanie podatnościami

  • CVE-2025-2783 znajduje się w CISA KEV — egzekwuj priorytetową poprawkę zgodnie z terminem BOD 22-01 (organizacje publiczne/regulated).

4) Świadomość i procedury

  • Trenuj rozpoznawanie spear-phishingu i politykę bezpiecznego otwierania linków (otwieranie w przeglądarce izolowanej/VDI dla wrażliwych ról).

Różnice / porównania z innymi przypadkami

  • Pegasus/Intellexa/Candiru vs. Dante: ekosystemy różnią się łańcuchami eksploatacji (mobilne vs. desktopowe), ale model biznesowy (ofensywne zdolności dla rządów) i ukrywanie tożsamości w kodzie są wspólne. W przypadku Dante rzadki jest wprost odnaleziony znacznik nazwy w binariach, co ułatwiło atrybucję.
  • RCS (Da Vinci/Galileo) → Dante: ciągłość kodowa i TTP sugeruje ewolucję produktu po rebrandingu Hacking Team → Memento Labs (2022: przejście na Dante).

Podsumowanie / kluczowe wnioski

  • Operation ForumTroll to przykład APT-grade browser exploit chain: phishing → Chrome 0-day (CVE-2025-2783) → staged spyware. Google załatał błąd 25.03.2025.
  • Atrybucja do Dante/Memento Labs została potwierdzona kombinacją cech kodu, TTP i artefaktów — to “powrót” Hacking Team w nowej odsłonie.
  • Organizacje powinny patchować, huntować wg wzorców FS/IOC, wzmacniać EDR/XDR i segmentować ryzyko przeglądarki.

Źródła / bibliografia

  1. Kaspersky Securelist – “Mem3nt0 mori – The Hacking Team is back! / How we linked ForumTroll APT to Dante spyware” (analiza łańcucha, IOCs, atrybucja do Dante/Memento Labs), 27.10.2025. (Securelist)
  2. Google – Chrome Releases: Stable Channel Update for Desktop 134.0.6998.177/.178 (potwierdzenie CVE-2025-2783; “exploited in the wild”), 25.03.2025. (Chrome Releases)
  3. NVD (NIST) – CVE-2025-2783 (opis, odwołanie do CISA KEV, wektor CVSS), aktual. 24.10.2025. (NVD)
  4. Kaspersky Blog – Operation ForumTroll: APT attack with Google Chrome zero-day exploit chain, 25.03.2025. (Securelist)
  5. Atlantic Council – “Mythical Beasts and where to find them: Mapping the global spyware market…” (kontekst rynku, Memento Labs/Hacking Team), 04.09.2024. (Atlantic Council)

Qilin (Agenda) – jak działa jedna z najaktywniejszych operacji ransomware w 2025 r. według Cisco Talos

Wprowadzenie do problemu / definicja luki

Cisco Talos opisał szereg incydentów z 2025 r., które ujawniają aktualny łańcuch ataku Qilin (dawniej Agenda) – jednego z najbardziej „produktywnych” gangów ransomware. Zespół IR Talosa obserwuje ponad 40 publikacji ofiar miesięcznie na stronie wycieków Qilin, ze szczytami aktywności sięgającymi ~100 przypadków (czerwiec i sierpień 2025). Najmocniej cierpi produkcja, a dalej usługi profesjonalne i handel hurtowy.

W skrócie

  • Model RaaS: Qilin działa jako usługa, rozwijając platformę i udostępniając ją afilantom; podwójny szantaż (szyfrowanie + wyciek).
  • Początkowy dostęp: w badanych sprawach częste są nadużycia ważnych kont/VPN bez MFA, czasem zmiany GPO w AD w celu włączenia RDP; obserwowano także spear-phishing i wykorzystanie wycieków haseł.
  • Eksfiltracja: paczkowanie WinRAR, przesył przez legalne narzędzia (np. Cyberduck do Backblaze), „ręczne” przeglądanie danych nawet notatnikiem/mspaint.
  • Ruch boczny i utrzymanie: PsExec, modyfikacje zapory i RDP, instalacje wielu RMM (AnyDesk, ScreenConnect, Chrome Remote Desktop itd.).
  • Szyfrowanie: wariant Qilin.B (Rust) używa AES-256-CTR lub ChaCha20 + RSA-4096 (OAEP), terminacja usług backup/DB/AV, czyszczenie logów i niszczenie VSS.
  • Skala zagrożenia: w II kw. 2025 Qilin był najaktywniejszym ransomware wobec podmiotów SLTT w USA (MS-ISAC).

Kontekst / historia / powiązania

Qilin (wcześniej Agenda) działa od lipca 2022 r., oferując RaaS i prowadząc wycieki danych na własnym portalu. Z czasem ewoluował technicznie (m.in. przepisany na Rust; utrzymano też wersje Linux/ESXi) i organizacyjnie (aktywny rekrut na forach). W 2024 r. HHS/HC3 publikował profil zagrożenia wskazujący na spear-phishing i warianty Windows/Linux; w 2024/2025 Halcyon śledził wariant Qilin.B z usprawnioną kryptografią i ewakuacją kluczowych artefaktów.

W 2025 r. incydenty przypisywane Qilin odnotowano w różnych sektorach i krajach; przykładem jest głośny atak na japoński Asahi Group (zakłócenia produkcji i publikacja danych).

Analiza techniczna / szczegóły luki

Wejście / inicjalny dostęp

  • Nadużycie ważnych kont i brak MFA na VPN; wzmożone próby NTLM po pojawieniu się haseł w darknecie; możliwe zmiany GPO w celu ułatwienia RDP.
  • (Historycznie) spear-phishing, w tym złośliwe załączniki i kradzież poświadczeń.

Rozpoznanie i zbieranie

  • nltest, net user, whoami /priv, tasklist; narzędzia skanowania sieci; dedykowany pakiet do zrzutu haseł (NirSoft, Mimikatz). Modyfikacja WDigest (UseLogonCredential=1) ułatwiająca pozyskanie plaintextów. Dane agregowane skryptami i eksportowane (SMTP, pliki wynikowe z kodowaniem Windows-1251).

Eksfiltracja

  • Archiwizacja WinRAR, inspekcja dokumentów nawet przez notepad.exe/mspaint.exe/iexplore.exe; nadużycie Cyberduck do chmury (Backblaze) z podziałem na części.

Eskalacja uprawnień i ruch boczny

  • Dodawanie napastniczych kont do Local Administrators, wymuszanie RDP, tworzenie udziałów typu net share c=c:\ /grant: everyone,full; rozproszenie przez PsExec. Obserwacje wielu RMM (AnyDesk, ScreenConnect, Distant Desktop, QuickAssist, Chrome Remote Desktop).

Unikanie obrony

  • Silnie zaciemniony PowerShell z wyłączeniem AMSI, obejściem walidacji TLS oraz włączeniem Restricted Admin dla RDP (hash-based auth).

Przygotowanie środowiska i trwałość

  • Wyłączanie/ubijanie procesów AV/backup/DB, czyszczenie logów, tworzenie Scheduled Task („TVInstallRestore”) i wpisów Run podszywających się pod TeamViewer.

Szyfrowanie (Qilin.B)

  • Kombinacja AES-256-CTR (jeśli dostępne AES-NI) / ChaCha20 (fallback) + RSA-4096/OAEP do ochrony kluczy; noty okupu README-RECOVER-[company_id].txt; rozszerzenia plików wg unikalnego ID ofiary. Wykrywana enumeracja udziałów i dysków, ukierunkowanie na ClusterStorage/CSV (Hyper-V/VM/VHDX) przy jednoczesnym unikaniu pętli po symlinkach. Usuwanie VSS i autodestrukcja binarium.

IOCs i detekcje

  • Talos publikuje wykazy IOC (GitHub), Snort SID oraz ClamAV (np. Win.Ransomware.Qilin, SystemBC, Cobalt Strike).

Praktyczne konsekwencje / ryzyko

  • Czas przestoju: ataki celują w środowiska wirtualizacji i plików współdzielonych (CSV/Hyper-V), co zwiększa wpływ na produkcję i usługi krytyczne.
  • Ryzyko reputacyjne i prawne przez systematyczną ekfiltrację (Backblaze/Cyberduck) oraz publikację na stronie wycieków.
  • Trend rynkowy: Qilin był w Q2 2025 najaktywniejszą rodziną wobec SLTT w USA, co potwierdza jego dojrzałość operacyjną i tempo działania.
  • Incydenty głośne medialnie (np. Asahi) pokazują realny wpływ na produkcję i łańcuch dostaw.

Rekomendacje operacyjne / co zrobić teraz

Kontrole prewencyjne

  1. MFA bez wyjątków na VPN, RDP, poczcie i aplikacjach krytycznych; wymuś klient-based MFA dla kont uprzywilejowanych.
  2. Higiena tożsamości: rotacja haseł po wyciekach, blokady na „password spraying” (T1110.003), monitorowanie NTLM.
  3. Twardnienie RDP: wyłącz zdalne logowanie tam, gdzie zbędne; kontrola fDenyTSConnections, ograniczenia sieciowe/Jump Host; Restricted Admin tylko jeśli świadomie zarządzany.
  4. Egress/Exfil kontrola: DLP/CTI-driven blokady dla Backblaze i nietypowych klientów S3/WebDAV; monitoruj użycie Cyberduck, WinRAR w trybie archiwizacji masowej.
  5. Backup i odzyskiwanie: izolowane kopie, testy odtwarzania, ochrona VSS przed usuwaniem; segmentacja Hyper-V/CSV.

Detekcja i reagowanie (SOC/SIEM/EDR)

  • Reguły: Snort/ClamAV zgodnie z publikacją Talos; korelacje dla PsExec, net share c=, WDigest UseLogonCredential=1, zaciemnionego PowerShell wyłączającego AMSI, nietypowego schtasks /Create /SC ONLOGON.
  • Artefakty RMM: wykrywaj instalacje/połączenia AnyDesk/ScreenConnect/Chrome Remote Desktop/QuickAssist poza listą zatwierdzonych rozwiązań.
  • Kryptonotatki/rozszerzenia: alarmy na README-RECOVER-[company_id].txt oraz nowe rozszerzenia „.[company_id]”.

Procedury IR

  • Izolacja i triage hostów z aktywnością WinRAR/Cyberduck, ścieżkami Backblaze, masową terminacją usług bezpieczeństwa/backup.
  • Łańcuch dowodowy: zabezpieczenie logów przed czyszczeniem (wczesna centralizacja, forward-only, write-once).
  • Komunikacja kryzysowa i ocena ryzyka wycieku (PII, IP, dane produkcyjne).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Qilin vs. „typowy” RaaS 2025: podobnie jak inne operacje, Qilin intensywnie eksfiltruje i używa RMM/LOLBINs; odróżnia go ukierunkowanie na CSV/Hyper-V i szerokie wykorzystanie legalnych narzędzi do eksfiltracji (Cyberduck).
  • Qilin.B (Rust) wyróżnia kombinowany wybór szyfru (AES-NI → AES-CTR, fallback → ChaCha20) i mocną ochronę kluczy RSA-4096/OAEP, co komplikuje odzysk bez kluczy.
  • Wieloplatformowość: raporty z 2025 r. pokazują nawet wdrażanie binarek Linux na systemach Windows przez RMM/BYOVD, co utrudnia detekcję.

Podsumowanie / kluczowe wnioski

Qilin utrzymuje wysokie tempo kampanii i dojrzały łańcuch ataku: kradzież poświadczeń (WDigest/Mimikatz/NirSoft), ruch boczny (PsExec/RDP/RMM), eksfiltracja przez chmurę (Cyberduck→Backblaze), a następnie szyfrowanie zoptymalizowane dla środowisk wirtualnych (CSV/Hyper-V) i agresywna ewakuacja artefaktów. Obrona wymaga dyscypliny IAM/MFA, twardnienia RDP/VPN, kontroli egress/exfil, oraz predefiniowanych detekcji TTP. Publikacje Cisco Talos i analizy branżowe (HHS/HC3, Halcyon, CIS, Trend Micro) dostarczają praktycznych wskaźników i reguł do natychmiastowego wdrożenia.

Źródła / bibliografia

  1. Cisco Talos – Uncovering Qilin attack methods exposed through multiple cases, 26 października 2025 (TTP, IOCs, Snort/ClamAV). (Cisco Talos Blog)
  2. Halcyon – New Qilin.B Ransomware Variant…, 24 października 2024 (kryptografia, mechanika szyfrowania). (Halcyon)
  3. HHS/HC3 – Qilin (aka Agenda) Threat Profile, 18 czerwca 2024 (wektory wejścia, Windows/Linux). (hhs.gov)
  4. CIS (MS-ISAC) – Qilin: Top Ransomware Threat to SLTTs in Q2 2025, 11 września 2025 (trend aktywności). (CIS)
  5. Trend Micro – Agenda Ransomware Deploys Linux Variant on Windows Systems…, 23 października 2025 (nietypowe wdrożenia Linux przez RMM/BYOVD). (www.trendmicro.com)

SafePay atakuje Xortec: grupa ransomware grozi publikacją danych niemieckiego dostawcy monitoringu wizyjnego

Wprowadzenie do problemu / definicja luki

Grupa ransomware SafePay dodała Xortec GmbH (niemiecki dystrybutor i integrator systemów profesjonalnego monitoringu wizyjnego oraz infrastruktury IP) na swoją stronę wyciekową i twierdzi, że wykradła dane spółki. Według pierwszych doniesień termin spełnienia żądań przypada na 27 października 2025 r. (dzisiaj), co ma zwiększyć presję negocjacyjną na ofierze. Na ten moment brak publicznych dowodów ujawnionych plików, lecz wpis na DLS (Data Leak Site) zwykle poprzedza publikację „dowodu życia” lub pakietów danych.

W skrócie

  • Kto? SafePay – jedna z najbardziej aktywnych grup ransomware 2025 r.
  • Co? Roszczenie ataku na Xortec; wpis na stronie wyciekowej (double extortion).
  • Kiedy? Wpis wykryto 24–27 października 2025 r.; deadline wyznaczony na 27.10.2025.
  • Dlaczego to ważne? Xortec obsługuje rozwiązania dla monitoringu i infrastruktury sieciowej – ewentualny wyciek może ujawnić dane projektowe, konfiguracje, schematy klientów i dostęp serwisowy.
  • Kontekst rynkowy: SafePay od końca 2024 r. konsekwentnie rośnie, celując w organizacje w DE/UK/US; raporty branżowe plasują ją w czołówce operacji ransomware 2025 r.

Kontekst / historia / powiązania

SafePay pojawił się jesienią 2024 r. i szybko stał się jedną z najaktywniejszych operacji, budując reputację dzięki agresywnemu double extortion (szyfrowanie + kradzież danych) i głośnym kampaniom przeciw dużym podmiotom. Analitycy zwracają uwagę na szybkie tempo publikacji ofiar oraz presję czasową w żądaniach okupu.

Analiza techniczna / szczegóły luki

TTPs SafePay (wybór, na podstawie raportów publicznych):

  • Wektory dostępu początkowego: częste wykorzystanie słabych/kompromitowanych poświadczeń i ekspozycji zdalnego dostępu (VPN/RDP), a także spear-phishing i „call-back” (vishing) do eskalacji uprawnień.
  • Ekfiltracja i przygotowanie wycieku: exfil danych przed szyfrowaniem; strukturyzacja listingów na DLS z twardymi deadline’ami; użycie wskaźników (mutexy) zapobiegających wielokrotnemu uruchomieniu ładunku.
  • Model operacyjny: niezależna operacja (nie klasyczny RaaS), szybkie „time-to-encrypt”, elementy kodu i praktyk znane z ekosystemu LockBit (modyfikacje narzędzi i taktyk).

Uwaga: w przypadku Xortec szczegóły wektora wejścia i zakres potencjalnie wykradzionych danych nie zostały publicznie potwierdzone w momencie publikacji; jedynym twardym artefaktem jest wpis na stronie wyciekowej przypisany SafePay.

Praktyczne konsekwencje / ryzyko

  • Ryzyko dla klientów i partnerów Xortec: możliwe ujawnienie dokumentacji projektowej, topologii sieci, konfiguracji kamer/NVR, kont serwisowych oraz danych kontaktowych partnerów i klientów. Taki wyciek ułatwia ransomware z wtórnej kompromitacji i atak łańcucha dostaw (pivotowanie do środowisk klientów). W branży bezpieczeństwa fizycznego ekspozycja konfiguracji bywa równoznaczna z ułatwieniem sabotażu systemów CCTV. (Wniosek analityczny na podstawie profilu biznesowego Xortec i modus operandi SafePay).
  • Ryzyko ciągłości działania: presja czasu (deadline 27.10.2025) zwiększa prawdopodobieństwo publikacji paczek „proof-pack” i eskalacji taktyk wymuszających kontakt.

Rekomendacje operacyjne / co zrobić teraz

Dla Xortec i podmiotów pokrewnych (dystrybutorzy/integratorzy security-tech):

  1. Zarządzanie incydentem: izolacja segmentów, rotacja poświadczeń uprzywilejowanych, przegląd kont serwisowych i dostępów klientowskich; weryfikacja dzienników VPN/IdP pod kątem anomalii.
  2. Redukcja ekspozycji zdalnej: wymusić MFA na wszystkich kanałach zdalnych (VPN/RDP/SSH), odciąć przestarzałe profile i nieużywane konta.
  3. Kontrola danych klientów: poinformować partnerów o potencjalnym wycieku, udostępnić wskaźniki kompromitacji (IoC) i rekomendacje rotacji haseł/API.
  4. Twarde zabezpieczenia endpointów/serwerów: blokady wykonywalnych w ścieżkach użytkownika, deny-by-default dla skryptów i makr, polityki application allow-listing/ring-fencing dla narzędzi administracyjnych.
  5. Przygotowanie na publikację danych: plan PR/obsługi prawnej, monitoring DLS/paste-sites; gotowe playbooki de-tokenizacji/rotacji kluczy, natychmiastowe unieważnianie certyfikatów i kluczy dostępowych, jeśli pojawią się w wycieku.
  6. Współpraca z organami i zespołami CSIRT: raport do właściwych służb i skorzystanie z publicznych wytycznych dot. reakcji na ransomware.

Dla klientów końcowych (używających rozwiązań dystrybuowanych/serwisowanych przez Xortec):

  • Zmień poświadczenia (lokalne i chmurowe) powiązane z usługami serwisowymi Xortec; przejrzyj listy zaufanych adresów IP i kluczy API.
  • Audyt konfiguracji CCTV/NVR/VMS: wyłącz domyślne konta, włącz logowanie i alertowanie o nieudanych logowaniach, wymuś TLS i segmentację sieci (oddziel CCTV od sieci biurowej).
  • Śledź publikacje wyciekowe przypisywane do Xortec – szybka rotacja sekretów minimalizuje okno nadużycia.

Różnice / porównania z innymi przypadkami

W porównaniu z klasycznymi operacjami RaaS, SafePay działa bardziej „jednolicie” (mniej afiliantów, bardziej spójne TTPs), częściej stosuje agresywną presję czasową oraz dużą liczbę ofiar miesięcznie. Raporty z 2025 r. potwierdzają wysoką dynamikę (dziesiątki ofiar/miesiąc), co zbliża SafePay do topowych graczy ubiegłych lat pod względem skali, choć zestaw narzędzi i procedur wskazuje na adaptacje znanych technik (np. elementy z ekosystemu LockBit).

Podsumowanie / kluczowe wnioski

  • Incydent nie został jeszcze oficjalnie potwierdzony przez Xortec, ale wpis SafePay na DLS oraz monitoring niezależnych serwisów śledzących ransomware zwiększają wiarygodność roszczenia.
  • Ryzyko wtórne dotyczy partnerów i klientów – szczególnie jeśli w wycieku znajdą się konfiguracje systemów i dane dostępowe.
  • Organizacje w ekosystemie security-tech powinny od razu wykonać rotację sekretów i twarde utwardzenie zdalnych dostępów, bazując na sprawdzonych guideline’ach reagowania na ransomware.

Źródła / bibliografia

  1. Security Affairs – „Safepay ransomware group claims the hack of Xortec (DE)” (27.10.2025). (Security Affairs)
  2. Ransomware.live – wpis ofiary „xortec.de” (24.10.2025). (ransomware.live)
  3. Quorum Cyber – SafePay Ransomware Report (TTPs, aktywność 2025). (Quorum Cyber)
  4. Bitdefender – „SafePay Ransomware: How a Non-RaaS Group Executes…” (analiza trendów 2025). (Bitdefender)
  5. CISA – Ransomware Guide (wytyczne reagowania i prewencji). (CISA)

Nowa technika „CoPhish”: kradzież tokenów OAuth przez agentów Microsoft Copilot Studio

Wprowadzenie do problemu / definicja luki

Badacze Datadog Security Labs opisali nową technikę phishingu — CoPhish — która wykorzystuje agentów Microsoft Copilot Studio jako „wrapper” do dostarczania fałszywych żądań zgody OAuth z legalnej domeny Microsoftu (copilotstudio.microsoft.com). Atak kończy się uzyskaniem tokenu dostępu użytkownika i może prowadzić do przejęcia skrzynki pocztowej, OneNote czy innych zasobów przez Microsoft Graph. Microsoft potwierdził, że pracuje nad poprawkami w produktach, podkreślając jednocześnie element socjotechniczny ataku.

W skrócie

  • Wejście: ofiara trafia na udostępnioną stronę „demo” agenta Copilot Studio hostowaną w domenie Microsoftu i klika Login.
  • Przebieg: przycisk logowania przekierowuje do złośliwej aplikacji OAuth (wewnętrznej lub zewnętrznej), a po akceptacji uprawnień agent automatycznie ekfiltruje User.AccessToken np. przez żądanie HTTP do serwera atakującego (np. Burp Collaborator). Żądanie wychodzi z IP Microsoftu, więc ruch ofiary nie zdradza exfiltracji.
  • Zasięg uprawnień: nawet po niedawnych zmianach w Entra ID, konta z rolami administracyjnymi nadal mogą nadać szerokie uprawnienia aplikacjom; zwykli użytkownicy wciąż mogą zgodzić się na pewne zakresy (np. OneNote).
  • Status: Microsoft zapowiada dodatkowe zabezpieczenia i „utwardzenie” doświadczeń związanych ze zgodą/zarządzaniem aplikacjami.

Kontekst / historia / powiązania

CoPhish to wariant dobrze znanego „consent phishing” (MITRE ATT&CK T1528 – Steal Application Access Token), w którym ofiara sama przyznaje dostęp złośliwej aplikacji. W 2025 r. Microsoft zaostrzał domyślne polityki zgody w Entra ID, ograniczając możliwość nadawania niektórych uprawnień przez użytkowników końcowych. Jednak wektor pozostaje aktualny, zwłaszcza wobec administratorów aplikacji i w scenariuszach wewnętrznych.

Analiza techniczna / szczegóły luki

  1. Host zaufany przez użytkowników
    Atakujący tworzy agenta Copilot Studio (we własnym tenantcie lub w skompromitowanym) i włącza „Demo website”, uzyskując URL w domenie Microsoftu. To znacząco zwiększa wiarygodność kampanii.
  2. Backdoor w systemowym „Sign-in topic”
    Wbudowany temat logowania można modyfikować. Po akcji „Authenticate” badacze dodali krok „HTTP Request”, który wysyła zawartość zmiennej User.AccessToken w nagłówku (np. Token) do kontrolowanego endpointu.
  3. Złośliwa aplikacja OAuth (multi-tenant)
    Atakujący rejestruje aplikację z odpowiednimi zakresami Graph i redirect URL https://token.botframework.com/.auth/web/redirect, po czym wpisuje client ID/secret do konfiguracji uwierzytelniania agenta. Kliknięcie „Login” kieruje ofiarę do workflow zgody.
  4. Tokeny i zakresy
    W scenariuszu użytkownika wewnętrznego badacze uzyskali token z Mail.ReadWrite, Mail.Send, Notes.ReadWrite. Dla Application Administrator możliwe są nawet zakresy aplikacyjne (Application.ReadWrite.All) i szerokie Files/Sites.*.All.
  5. Ślady w logach
    • Entra ID Audit: „Consent to application”.
    • Microsoft 365 Audit: operacja „Consent to application”.
    • Copilot Studio (Power Platform): BotCreate, BotComponentUpdate na *.topic.Signin.

Praktyczne konsekwencje / ryzyko

  • Business Email Compromise-as-a-Service: token daje atakującemu możliwość czytania/wykonywania akcji w imieniu użytkownika (np. wysyłka spear-phishingu z wewnętrznego konta).
  • Uprawnienia administracyjne: jeśli ofiarą jest Application Administrator, konsekwencje obejmują szerokie uprawnienia w Graph i potencjalne trwałe mechanizmy utrzymania dostępu.
  • Efekt „zaufanej domeny”: link w domenie Microsoftu zmniejsza czujność użytkowników i może obchodzić proste filtry reputacyjne.

Rekomendacje operacyjne / co zrobić teraz

  1. Zaostrz polityki zgody w Entra ID
    • Ustal niestandardową politykę ograniczającą, kto i na jakie zakresy może wyrażać zgodę; przypisz ją jako domyślną.
    • Minimalnie: „Allow user consent for apps from verified publishers, for selected permissions (Recommended)” albo surowiej — wyłącz zgodę użytkownika i włącz workflow żądań od użytkowników.
  2. Odbierz wszystkim możliwość rejestracji aplikacji
    Domyślnie każdy członek może tworzyć aplikacje. Zablokuj to ustawienie, aby utrudnić wewnętrzny „consent phishing”.
  3. Monitoring i detekcja
    • Alerty na „Consent to application” (Entra/M365 Audit).
    • Zdarzenia Power Platform: BotCreate, BotComponentUpdate z *.topic.Signin.
    • Korelacje z anomaliami w Graph (np. wysyłka z konta, nietypowe dostępy do OneNote/Files).
  4. Ogranicz powierzchnię ataku w Copilot Studio
    • Przeglądaj modyfikacje systemowego Sign-in topic.
    • Wyłącz i usuwaj nieużywane lub dziwnie nazwane boty/„demo websites”.
  5. Zasady dla kont uprzywilejowanych
    • MFA phishing-resistant, PIM/JIT dla ról Application/Cloud Application Admin.
    • Oddzielne konta admin-only (bez licencji do codziennej pracy), zasady CA blokujące „risky consent”. (Najlepsze praktyki zgodne z dokumentacją Microsoft).
  6. Edukacja użytkowników i zespół helpdesk
    • Szkolenia dot. zgody na aplikacje i rozpoznawania UX Copilot Studio vs. Microsoft 365 Copilot.
    • Procedura szybkiego cofania zgody i unieważniania tokenów (w tym odwołanie grantów w Entra).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Typowy „consent phishing” wykorzystuje link do strony zgody z domen niezwiązanych z Microsoftem lub z generics. CoPhish „owija” go w zaufaną domenę Copilot Studio i automatyzuje exfiltrację tokenu po stronie agenta (serwer Microsoft), co zaciemnia ślady w sieci ofiary.
  • Zmiany w Entra utrudniają część kampanii — ale nie dotyczą ról administracyjnych i niektórych wewnętrznych zakresów, więc powierzchnia ataku pozostaje.

Podsumowanie / kluczowe wnioski

CoPhish to nie „magiczna” luka w kryptografii OAuth, lecz sprytne nadużycie funkcji Copilot Studio i procesu zgody. Siłą ataku jest legitymizacja (domena Microsoft) i automatyzacja wycieku tokenu. Krytyczne są polityki zgody, odebranie prawa rejestracji aplikacji, monitoring zdarzeń oraz higiena ról administracyjnych. Microsoft zapowiada dalsze utwardzenie mechanizmów — nie zwalnia to jednak z wdrożenia kontroli po stronie tenantów.

Źródła / bibliografia

  1. Datadog Security Labs — CoPhish: Using Microsoft Copilot Studio as a wrapper for OAuth phishing (analiza techniczna, IoC, detekcje). (securitylabs.datadoghq.com)
  2. BleepingComputer — New CoPhish attack steals OAuth tokens via Copilot Studio agents (komentarz Microsoft, kontekst). (BleepingComputer)
  3. Microsoft Learn — Manage app consent policies (Entra ID; konfiguracja polityk zgody). (Microsoft Learn)
  4. Microsoft Learn — Configure how users consent to applications (ustawienia zgody użytkownika; zalecenia). (Microsoft Learn)
  5. MITRE ATT&CK — T1528: Steal Application Access Token (mapowanie techniki). (MITRE ATT&CK)

ONZ przyjmuje „Hanoi Convention”: globalny traktat przeciw cyberprzestępczości otwarty do podpisu. Co to oznacza dla SOC-ów i compliance?

Wprowadzenie do problemu / definicja luki

25 października 2025 r. ONZ otworzyła w Hanoi do podpisu pierwszy globalny traktat przeciw cyberprzestępczości („UN Convention against Cybercrime”, nieformalnie: Hanoi Convention). Wydarzenie zgromadziło delegacje dziesiątek państw i ma usprawnić współpracę międzynarodową w sprawach takich jak phishing, ransomware, handel ludźmi online czy mowa nienawiści. Już podczas ceremonii podpisania dokument zyskał szerokie poparcie – choć towarzyszą mu poważne zastrzeżenia dotyczące praw człowieka i wolności badań bezpieczeństwa.

W skrócie

  • Status: traktat otwarty do podpisu 25 października 2025 r. w Hanoi; 65 państw podpisało w pierwszym dniu. Wejście w życie: po złożeniu 40 dokumentów ratyfikacyjnych. Okno podpisów pozostaje otwarte do 31 grudnia 2026 r.
  • Cel: ujednolicenie przestępstw, procedur dowodowych i kanałów współpracy transgranicznej w sprawach cyber.
  • Kto podpisuje: m.in. UE oraz państwa członkowskie (zgoda na podpis wyrażona wcześniej przez Radę UE).
  • Kontrowersje: branżowe porozumienie Cybersecurity Tech Accord (m.in. Microsoft, Meta) i organizacje praw człowieka ostrzegają przed ryzykiem nadużyć („traktat nadzoru”) i penalizacją etycznych badań.

Kontekst / historia / powiązania

Negocjacje konwencji prowadziło UNODC po latach dyskusji nad potrzebą globalnych, a nie tylko regionalnych (np. europejskich), ram walki z cyberprzestępczością. Sekretarz Generalny ONZ podkreślił koszt cyberprzestępczości liczony w „bilionach dolarów rocznie” i konieczność ułatwienia współpracy między organami ścigania.
Strona konwencji prowadzona przez UNODC potwierdza harmonogram: podpis w Hanoi, a następnie możliwość podpisywania w siedzibie ONZ w Nowym Jorku, z wejściem w życie 90 dni po 40. ratyfikacji.

Analiza techniczna / szczegóły traktatu

Choć pełny tekst jest obszerny, trzon instrumentu obejmuje trzy bloki, które mają największe znaczenie dla praktyków cyberbezpieczeństwa i zespołów prawnych:

  1. Katalog przestępstw – od oszustw (phishing), przez ataki z użyciem malware/ransomware, po przestępstwa związane z treścią (np. mowa nienawiści) definiowane według standardów ONZ. To rozszerzenie tradycyjnych ujęć „komputerowych” czynów zabronionych o kategorie, które w wielu jurysdykcjach są nadal rozproszone.
  2. Procedury dowodowe i e-dowody – zharmonizowane zasady zabezpieczania, utrwalania i udostępniania danych elektronicznych (logi, metadane, treści), ułatwiające szybką i zgodną z prawem wymianę materiału dowodowego między państwami. UNODC wskazuje, że konwencja ma promować „legalne badania” i zawiera klauzule ochrony praw człowieka.
  3. Współpraca transgraniczna – kanały pomocy prawnej, tryb „nagłych wniosków” i punkty kontaktowe 24/7, aby skrócić czas reakcji w incydentach transgranicznych. UE potwierdziła zamiar podpisu i wdrażania zgodnie z własnymi standardami praw człowieka.

Praktyczne konsekwencje / ryzyko

Dla firm (CISO, SOC, DPO):

  • Więcej wezwań międzynarodowych o dane: krótsze terminy na „preservation” i przekazanie logów/treści organom zagranicznym – zwłaszcza dla usług chmurowych i platform o zasięgu globalnym.
  • Zwiększona interoperacyjność procedur dowodowych – potencjalnie mniej „tarć” prawnych przy przekazywaniu e-dowodów do państw sygnatariuszy.
  • Ryzyka praw człowieka i R&D – Tech Accord ostrzega, że nieprecyzyjne definicje mogą ułatwić nadmierny nadzór i kryminalizować testy penetracyjne/bezpieczeństwa prowadzone w dobrej wierze, jeśli lokalne prawo implementujące będzie restrykcyjne. Potrzebne będą wyraźne wyjątki i bezpieczne przystanie dla badaczy (np. coordinated vulnerability disclosure).

Dla organów ścigania i CERT/CSIRT:

  • Szybszy dostęp do danych transgranicznych i łatwiejsze wspólne operacje w sprawach ransomware czy oszustw finansowych.

Rekomendacje operacyjne / co zrobić teraz

  1. Mapa jurysdykcyjna & readiness: zidentyfikuj, które kraje kluczowe dla Twojej działalności podpisały konwencję i śledź proces ratyfikacji (próg 40). Zaktualizuj playbooki SOC/LERT o tryby współpracy transgranicznej.
  2. Retencja i łańcuch dowodowy: ustandaryzuj politykę data preservation (czas, zakres, integralność), aby spełnić oczekiwania nowych kanałów pomocy prawnej.
  3. Legal & privacy by design: oceniaj wnioski o dane pod kątem zgodności z lokalnym prawem, RODO oraz klauzulami praw człowieka przewidzianymi przez konwencję; dokumentuj podstawy prawne i proporcjonalność.
  4. Program CVD/bug bounty: wprowadź/wyraźnie opisz zasady coordinated vulnerability disclosure i zakres „dozwolonych testów” (safe harbor) – to ogranicza ryzyko penalizacji etycznych badań w krajach o ostrzejszej implementacji. (Obawy branży: Cybersecurity Tech Accord).
  5. Ćwiczenia purple team: przetestuj scenariusze żądań danych z państw trzecich (różne formaty, SLA, szyfrowanie end-to-end), uwzględniając eskalacje do DPO/Legal.

Różnice / porównania z innymi przypadkami

Konwencja ONZ ma ambicję globalnego zasięgu i wspólnych, minimalnych standardów. W porównaniu z dotychczasową mozaiką porozumień i instrumentów regionalnych, stawia mocny akcent na ułatwienie dostępu do e-dowodów i mechanizmy 24/7. Jednocześnie zakres kategorii przestępstw i możliwe ingerencje w prywatność są szersze niż w wielu dotychczasowych reżimach – stąd krytyka NGO i sektora technologicznego, by implementacje krajowe nie prowadziły do nadużyć.

Podsumowanie / kluczowe wnioski

  • To się dzieje teraz: 25 października 2025 r. w Hanoi ruszył proces podpisywania; 65 podpisów na starcie podnosi szansę na szybkie przekroczenie progu 40 ratyfikacji.
  • Dla biznesu: przygotuj się na więcej i szybsze żądania o dane z zagranicy oraz audyty łańcucha dowodowego.
  • Dla bezpieczeństwa i prywatności: zadbaj o jasne wyjątki dla badań i procesy oceny proporcjonalności – inaczej istnieje ryzyko „efektu mrożącego” dla społeczności security.

Źródła / bibliografia

  • Reuters: „UN cybercrime treaty to be signed in Hanoi to tackle global offences” (25 października 2025). (Reuters)
  • UNODC (press): „UN Convention against Cybercrime opens for signature in Hanoi, Viet Nam” (25 października 2025). (UNODC)
  • UNODC (status): „United Nations Convention against Cybercrime — status & entry into force”. (UNODC)
  • Rada UE: „Fighting cybercrime: EU to sign UN Convention on cybercrime” (13 października 2025). (Consilium)
  • Cybersecurity Tech Accord: „Calls for changes to new UN treaty…” (29 lipca 2024) – stanowisko branży. (Cybersecurity Tech Accord)

ChatGPT Atlas: luka w „omniboxie” pozwala na jailbreaky i nadużycia agentów

Wprowadzenie do problemu / definicja luki

Badacze z NeuralTrust opisali nową technikę ataku na przeglądarkę ChatGPT Atlas, w której złośliwy ciąg wygląda jak adres URL, ale jest celowo sformatowany niepoprawnie. Atlas traktuje taki input w pasku adresu („omnibox”) najpierw jak URL, a gdy walidacja nawigacji zawodzi, degraduje go do polecenia tekstowego – jednak z wyższym zaufaniem i słabszymi kontrolami, co umożliwia cichy jailbreak i przejęcie zachowania agenta.

OpenAI w materiałach o Atlasie podkreśla, że bezpieczeństwo agentów było priorytetem – jednak opisana technika pokazuje, że granica między „zaufaną” intencją użytkownika a nieufnym inputem bywa w praktyce rozmyta.

W skrócie

  • Wejście przypominające URL wklejone do omniboxa może zostać potraktowane jako wysokozaufany prompt, jeśli nie przejdzie walidacji URL.
  • To pozwala omijać warstwy ochronne i wymuszać działania agenta (np. phishing, destrukcyjne operacje na kontach w chmurze).
  • Luka wpisuje się w szerszą klasę zagrożeń prompt injection dla „agenticznych” przeglądarek (Atlas, Comet, itp.).

Kontekst / historia / powiązania

Badania Brave pokazały systemowe problemy pośredniego prompt injection w przeglądarkach z agentami – złośliwe instrukcje mogą być ukryte nie tylko w tekście strony, lecz nawet w obrazach/screenshotach. Dyskusja ta rozgorzała w tym samym tygodniu, w którym zadebiutował Atlas.

Media branżowe i technologiczne zwracały uwagę na nowe wektory ryzyka wynikające z możliwości działania w imieniu użytkownika (dostępy do zalogowanych serwisów, historii, plików).

Analiza techniczna / szczegóły luki

NeuralTrust opisuje łańcuch zdarzeń:

  1. Przygotowanie ładunku – ciąg zaczyna się jak URL („https:” + domenopodobny fragment), ale zawiera język naturalny z imperatywami („follow these instructions…”) i celowe błędy (spacje, znaki, literówki).
  2. Wyzwolenie – użytkownik kopiuje/wkleja „link” do omniboxa (np. po kliknięciu „Copy link”).
  3. Iniekcja – walidacja URL nie przechodzi; Atlas traktuje treść jako prompt o pochodzeniu „od użytkownika”, z mniejszą liczbą kontroli.
  4. Eksploatacja – agent wykonuje instrukcje: od otwarcia fałszywego Google (phishing) po operacje na Google Drive (np. kasowanie plików) przy użyciu sesji uwierzytelnionej użytkownika.

SecurityWeek streszcza ten sam mechanizm i podaje przykładowy „URL-prompt”, ilustrując eskalację zaufania wynikającą z błędu parsowania pomiędzy trybem „Nawiguj” a „Zapytać/Wykonaj”.

Praktyczne konsekwencje / ryzyko

  • Phishing i kradzież sesji/poświadczeń poprzez otwieranie stron podszywających się pod zaufane serwisy.
  • Operacje krzyżodomenowe w kontekście zalogowanego użytkownika (np. Drive, poczta) – tradycyjne SOP/CSRF nie chronią przed intencją agenta.
  • Degradacja polityk bezpieczeństwa (RL, guardraily) – prompt traktowany jako „intencja” może ominąć filtry treści.

Szerszy ekosystem agentów przeglądarkowych już wcześniej wykazał podatność na injection (w tym z obrazów), co dowodzi, że to problem systemowy, a nie pojedynczy bug.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników końcowych (od razu):

  • Nie wklejaj do omniboxa „linków” z nieznanych źródeł; traktuj przycisk „Copy link” jak potencjalny wektor ataku.
  • Wyłącz/ogranicz automatyczne akcje agenta i wymagaj potwierdzenia przed dostępem do poczty, dysków, formularzy płatniczych.
  • Oddziel przeglądanie wrażliwe (bankowość, praca) od eksperymentów z agentem (np. osobny profil/konto).

Dla zespołów SecOps/AppSec (krótkoterminowo):

  • W politykach EDR/DLP i proxy oznaczaj ruch Atlas oraz monitoruj anomalie na kontach SaaS (Drive, O365).
  • Wprowadź kontrole kontekstowe (step-up MFA, reautoryzacja narzędzi) przy akcjach inicjowanych przez agentów.
  • Edukuj użytkowników: „URL ≠ URL” – pokaż przykłady obfuskacji i mechanizm degradacji do promptu. (na bazie case’u NeuralTrust).

Dla vendorów/pracujących nad agentami (średnioterminowo):

  • Twarde parsowanie i normalizacja URL; jeśli są niejednoznaczności – odrzuć, bez cichego fallbacku do trybu prompt.
  • Jawny wybór trybu (Navigate vs Ask/Act) i widoczny stan UI; brak automatycznych przełączeń.
  • Zasada najmniejszych uprawnień dla promptów z omniboxa; potwierdzenie użytkownika przy narzędziach/akcjach krzyżodomenowych.
  • Stripping instrukcji z inputów „URL-opodobnych” i tagowanie pochodzenia tokenów w rozmowie z LLM.

Różnice / porównania z innymi przypadkami

  • Comet / „niewidzialne” injekcje w obrazach: wektor to kontekst strony/screenshot, a nie omnibox; w Atlasie wektor siedzi w pasku adresu i podszywa się pod intencję użytkownika.
  • Klasyczne XSS/CSRF: atak nie łamie przeglądarkowego SOP – agent wykonuje akcje „w dobrej wierze”, co omija wiele klasycznych barier. (por. szersze omówienie w The Register i literaturze nt. agentów webowych).

Podsumowanie / kluczowe wnioski

  • Luka w omniboxie Atlasu to błąd granicy zaufania: URL-opodobny ciąg staje się wysokozaufanym promptem.
  • Efekt: jailbreaky i aktywne nadużycia w kontekście zalogowanego użytkownika.
  • Rozwiązania: twarde parsowanie, jawne tryby, potwierdzenia i proweniencja tokenów – do wdrożenia zarówno po stronie vendorów, jak i w politykach organizacji.

Źródła / bibliografia

  • NeuralTrust: „OpenAI Atlas Omnibox Prompt Injection: URLs That Become Jailbreaks” (24 paź 2025). (NeuralTrust)
  • SecurityWeek: „OpenAI Atlas Omnibox Is Vulnerable to Jailbreaks” (25 paź 2025). (SecurityWeek)
  • OpenAI: „Introducing ChatGPT Atlas” – sekcja o zabezpieczeniach agenta. (OpenAI)
  • Brave: „Unseeable prompt injections… more vulnerabilities in Comet and other AI browsers”. (Brave)
  • The Register: „OpenAI defends Atlas as prompt injection attacks surface”. (The Register)

Smishing Triad powiązana z 194 tys. złośliwych domen. Globalna operacja smishingowa uderza także w Europę

Wprowadzenie do problemu / definicja luki

Chińskojęzyczna grupa przestępcza znana jako Smishing Triad prowadzi trwającą kampanię phishingu SMS (smishing), w której zidentyfikowano ponad 194 000 złośliwych domen zarejestrowanych od 1 stycznia 2024 r. Celem jest wyłudzanie danych płatniczych i tożsamości poprzez fałszywe powiadomienia o opłatach drogowych, niedoręczonych paczkach i usługach rządowych. Infrastruktura rejestracyjna i DNS jest powiązana m.in. z rejestratorem w Hongkongu, natomiast hosting w dużej mierze działa na popularnych chmurach w USA.

W skrócie

  • Skala: 194 345 FQDN w 136 933 domenach bazowych; dzienny churn tysięcy nowych domen.
  • Infrastruktura: DNS po stronie chińskich dostawców (np. AliDNS), hosting i IP głównie w USA (np. AS13335/Cloudflare).
  • Wejścia socjotechniczne: SMS-y o mandatach za bramki/autostrady, niedoręczonych przesyłkach, a coraz częściej – logowanie do kont maklerskich.
  • Zyski grupy: szacunkowo >1 mld USD w ciągu 3 lat – wg śledztwa prasowego.
  • Zasięg: kampania globalna; podszywanie się pod banki, giełdy krypto, poczty państwowe i usługi w krajach UE (m.in. Polska, Litwa).

Kontekst / historia / powiązania

O Smishing Triad informowano już w 2023–2025 r. jako o ekosystemie PhaaS (Phishing-as-a-Service), który sprzedaje kity phishingowe i usługi na Telegramie, umożliwiając wielu podwykonawcom realizację kampanii na skalę przemysłową. Nowsze analizy pokazują rozszerzenie celów poza pocztę i opłaty drogowe na finanse i maklerkę.

Analiza techniczna / szczegóły kampanii

  • Domeny i wzorce: popularne prefiksy typu com-, rosnący udział gov- w ostatnich miesiącach; krótkie, mylące łańcuchy z myślnikami mają udawać znane TLD/brand (np. imitacje serwisów rządowych). 71,3% domen żyje <7 dni, a <6% przetrwa 3 miesiące. Taki churn utrudnia blokowanie.
  • Rejestracja/DNS/Hosting: ~68% domen zarejestrowanych w Dominet (HK) Limited; serwery głównie w USA (m.in. Cloudflare), natomiast zarządzanie DNS często przez AliDNS i Cloudflare. ~43,5 tys. unikalnych adresów IP.
  • Najczęściej podszywane marki/kategorie: USPS (~28 tys. FQDN) oraz toll services (~90 tys. FQDN). Kampanie dotyczą też banków, krypto, e-commerce, policji i spółek państwowych w wielu krajach (w tym w Polsce i na Litwie).
  • Łańcuch dostaw PhaaS: deweloperzy kitów, brokerzy danych (sprzedaż numerów), sprzedawcy domen, dostawcy hostingu, spamerzy SMS/RCS/IM, skanery „liveness” numerów, skanery blocklist – każdy element można „zamówić”.

Praktyczne konsekwencje / ryzyko

  • Kradzież danych i środków: wyłudzenia kart, danych osobowych, kodów OTP; dodawanie kart do portfeli mobilnych i szybkie wypłaty.
  • Ataki na konta maklerskie: po przejęciu kont sprawcy stosują „ramp & dump” (szybkie przeniesienie i pompowanie walorów niskiej płynności, a następnie realizacja zysków i cash-out).
  • Ryzyko dla organizacji: podszywanie się pod brandy (brand abuse), utrata zaufania klientów, koszty chargebacków i wsparcia.

Rekomendacje operacyjne / co zrobić teraz

Dla SOC/CSIRT i zespołów bezpieczeństwa

  1. Blokady DNS/URL: wdrażajcie feedy oparte na pDNS + wzorcach domenowych (prefiksy com-, gov- i hyfenizacja), z automatycznym wygaszaniem/aktualizacją z powodu krótkiego TTL życia domen.
  2. Polityki SMS: EDR/Mobile Threat Defense z detekcją linków w SMS/RCS/IM; regexy na słowa kluczowe dot. opłat drogowych/paczek i landingi z imitacjami CAPTCHy/ClickFix.
  3. Ochrona kont finansowych: wymuście FIDO2/U2F (klucze sprzętowe) dla dostępu do usług finansowych i paneli klienta – minimalizuje skuteczność smishingu i kradzieży OTP.
  4. Monitoring brand abuse: ciągły typosquatting + doppelganger hunt z fokusami na TLD .com/.gov-imitacje oraz nagły przyrost rejestracji prefixów.
  5. Współpraca z dostawcami: szybka eskalacja do Cloudflare/hosterów i rejestratorów (Dominet HK itd.) w celu zdejmowania serwisów phishingowych; automatyzacja zgłoszeń.

Dla banków/domów maklerskich i fintechów

  • MFA odporne na phishing (FIDO2), risk-based auth, „step-up” przy dodawaniu kart do portfeli mobilnych i większych przelewach; geofencing dla provisioningów walletów.
  • Detekcja anomalii giełdowych związanych z „ramp & dump” z kont detalicznych (niskopłynne tickery, krótkie okna).

Dla użytkowników końcowych

  • Nie klikaj w linki z SMS-ów o dopłatach, mandatach, paczkach; wpisuj adres ręcznie lub używaj oficjalnej aplikacji.
  • Włącz klucze bezpieczeństwa do logowania (gdzie to możliwe) i unikaj podawania kodów 2FA na stronach z linków z SMS.

Różnice / porównania z innymi przypadkami

W odróżnieniu od typowych kampanii smishingowych opartych na pojedynczych kitach i stałych domenach, Smishing Triad to zdecentralizowany ekosystem PhaaS z intensywną rotacją domen (churn), podziałem ról i globalnym zasięgiem. Warto porównać to z wcześniejszymi falami podszywania się wyłącznie pod przewoźników – dziś ciężar przesuwa się na finanse i maklerkę, co zwiększa bezpośrednie straty finansowe.

Podsumowanie / kluczowe wnioski

  • Mamy do czynienia z operacją przemysłową, a nie pojedynczą kampanią.
  • Automatyzacja detekcji na poziomie DNS/URL, krótki cykl TTP-based takedown oraz MFA odporne na phishing są krytyczne.
  • Organizacje w UE (w tym w Polsce) również znajdują się w wektorze podszywania – należy nasilić monitoring brand abuse i edukację klientów.

Źródła / bibliografia

  1. Palo Alto Networks Unit 42 – „The Smishing Deluge: China-Based Campaign Flooding Global Text Messages” (23 października 2025). (Unit 42)
  2. The Hacker News – „Smishing Triad Linked to 194,000 Malicious Domains…” (24 października 2025). (The Hacker News)
  3. Fortra – „Fortra Tracks Fivefold Increase in Brokerage Attacks YoY” (21 października 2025). (fortra.com)
  4. The Wall Street Journal – „Chinese Criminals Made More Than $1 Billion From Those Scam Texts” (14 października 2025). (The Wall Street Journal)
  5. Silent Push – „Threat Report: Smishing Triad” (26 czerwca 2025). (Silent Push)