Archiwa: Phishing - Strona 78 z 98 - Security Bez Tabu

Tag: Phishing

CISA ostrzega: aktywne kampanie szpiegowskie przejmują konta w Signal i WhatsApp. Co wiemy i jak się bronić

Wprowadzenie do problemu / definicja luki

Amerykańska agencja CISA wydała 24 listopada 2025 r. alert ostrzegający przed aktywnym wykorzystaniem komercyjnego spyware oraz RAT-ów do przejmowania komunikatorów mobilnych, w szczególności Signal i WhatsApp. Napastnicy używają socjotechniki, złośliwych kodów QR do „połączonych urządzeń”, fałszywych aplikacji oraz – w wybranych przypadkach – łańcuchów zero-click. Celem są osoby o wysokiej wartości wywiadowczej w USA, Europie i na Bliskim Wschodzie.

W skrócie

  • Techniki: phishing/QR do funkcji „Połączone urządzenia” w Signal, fałszywe aplikacje udające Signal/ToTok/WhatsApp, zero-click przez spreparowane obrazy (DNG) w komunikatorach.
  • Kampanie:
    • ProSpy/ToSpy – szkodliwe APK podszywające się pod Signal/ToTok, kradnące SMS-y, kontakty, pliki i backupy czatów.
    • ClayRat – spyware dystrybuowany z Telegrama i stron-klonów, rozprzestrzeniający się poprzez wiadomości SMS do kontaktów ofiary.
    • LANDFALL – komercyjnej klasy spyware na Androida, wykorzystywał zero-day CVE-2025-21042 w bibliotekach Samsunga i był dostarczany złośliwymi obrazami DNG (prawdopodobnie przez WhatsApp).
  • Kogo celują: wysocy urzędnicy, wojskowi, politycy, dziennikarze, NGO, działacze społeczni.
  • Co robić teraz (TL;DR): klucze FIDO2, rezygnacja z SMS-MFA, przegląd „połączonych urządzeń”, aktualizacje, Play Protect/Enhanced Protection, ograniczenie uprawnień aplikacji, Lockdown Mode na iOS, weryfikacja źródeł APK.

Kontekst / historia / powiązania

W 2025 r. Google Threat Intelligence opisał kampanie grup powiązanych z Rosją, które nadużywały funkcji Linked Devices w Signal – ofiara była nakłaniana do zeskanowania złośliwego kodu QR, co dodawało urządzenie atakującego do jej konta i pozwalało czytać zaszyfrowane rozmowy w czasie rzeczywistym. Signal wdrożył dodatkowe zabezpieczenia potwierdzające nowe urządzenia.

Równolegle badacze publikowali analizy mobilnych kampanii spyware: ESET (ProSpy/ToSpy) w ZEA, Zimperium (ClayRat) w Rosji oraz Unit 42 (Palo Alto Networks) – LANDFALL uderzający w urządzenia Samsung Galaxy poprzez podatność CVE-2025-21042 i no-click DNG wysyłane w komunikatorach. Te raporty tworzą spójny obraz, na który właśnie powołuje się CISA.

Analiza techniczna / szczegóły luki

1) Przejęcia kont Signal przez „połączone urządzenia”

  • Wektor: podszywanie się pod zaproszenia/grupy i wysyłka złośliwych QR.
  • Efekt: do konta ofiary zostaje dodane urządzenie kontrolowane przez atakującego, co daje pełny podgląd wiadomości bez łamania E2EE.
  • Mitigacje producenta: dodatkowe kroki potwierdzające i przypomnienia o nowo dodanym urządzeniu.

2) ProSpy / ToSpy (Android)

  • Dystrybucja: fałszywe strony i „wtyczki” Signal Encryption Plugin oraz ToTok Pro poza oficjalnymi sklepami.
  • Zdolności: wykradanie SMS, kontaktów, listy aplikacji, szerokie zbieranie plików (dokumenty, multimedia) oraz polowanie na backupy czatów ToTok (.ttkmbackup).
  • Ukrywanie: zmiana ikony/nazwy na „Google Play Services” i przekierowania do prawdziwych stron, by uwiarygodnić instalację.

3) ClayRat (Android)

  • Dystrybucja: kanały Telegram + domeny-sobowtóry WhatsApp/YouTube/TikTok/Google Photos; zachęcanie do włączenia instalacji z „nieznanych źródeł”.
  • Zdolności: exfiltracja SMS, logów połączeń, powiadomień, zdjęć, wykonywanie zdjęć z przedniej kamery, a także samorozprzestrzenianie przez masową wysyłkę SMS do wszystkich kontaktów.
  • Skala: setki wariantów i dziesiątki „dropperów” w kilka miesięcy.

4) LANDFALL (Android/Samsung)

  • Wektor zero-click: złośliwe obrazy DNG zawierające załączony ZIP; exploit na CVE-2025-21042 w bibliotece przetwarzania obrazu Samsunga; ślady dostarczenia przez WhatsApp (nazwy plików).
  • Zdolności: nagrywanie mikrofonu, lokalizacja, zdjęcia, kontakty, logi połączeń – komercyjnej klasy modułowy implant.
  • Zasięg i profil ofiar: ukierunkowane operacje w Bliskim Wschodzie; próbki widoczne w VirusTotal już w 2024 r. (przed łatką).

Praktyczne konsekwencje / ryzyko

  • Eskalacja dostępu: przejęcie konta komunikatora = dostęp do treści, kontaktów, grup, tokenów sesji, a w Androidzie nierzadko do SMS/telefonii (obsługa 2FA).
  • Trwałość: parowanie urządzeń i ukryte ikony utrudniają wykrycie; spyware potrafi utrzymywać się po restarcie i automatycznie dosyłać ładunki.
  • Ryzyko wtórne: przejęte konto staje się wektorem do dalszych ofiar (rodzina, współpracownicy, źródła dziennikarskie).

Rekomendacje operacyjne / co zrobić teraz

Dla osób wysokiego ryzyka (VIP, dziennikarze, NGO, urzędnicy):

  1. Uwierzytelnianie odporne na phishing: klucze FIDO2 (np. do kont e-mail/chmury), zrezygnuj z SMS-MFA tam, gdzie to możliwe.
  2. Higiena „połączonych urządzeń”: w Signal/WhatsApp sprawdź i usuń nieznane urządzenia; włącz powiadomienia o nowych sesjach.
  3. iOS: włącz Lockdown Mode dla osób szczególnie narażonych; regularnie aktualizuj.
  4. Android: korzystaj z telefonów producentów z dobrymi praktykami aktualizacji; włącz Google Play Protect, w Chrome Enhanced Protection, audytuj i cofaj uprawnienia aplikacjom. Nie instaluj APK spoza oficjalnych sklepów.
  5. WhatsApp/Samsung: upewnij się, że urządzenie ma poprawki CVE-2025-21042/CVE-2025-21043 (Samsung – kwiecień/wrzesień 2025). Jeśli otrzymasz „dziwne zdjęcie DNG/RAW” – nie otwieraj; aktualizuj natychmiast.
  6. Szkolenia i SOP: w organizacji wdroż procedurę reagowania na podejrzane QR i fake’owe zaproszenia do grup/kanalów; centralny Mobile Threat Defense i monitorowanie instalacji z nieznanych źródeł.

Różnice / porównania z innymi przypadkami

  • ProSpy/ToSpy vs ClayRat: oba to Android spyware z silnym komponentem socjotechniki i sideloadingu, ale ClayRat dodatkowo samonamiaża się przez SMS i intensywnie korzysta z Telegrama do dystrybucji.
  • LANDFALL odróżnia wektor zero-click poprzez DNG i wykorzystanie podatności producenta (Samsung) – to poziom PSOA/komercyjnych dostawców spyware, a nie „czyste” kampanie phishingowe.
  • Ataki na Signal Linked Devices to bypassy operacyjne, które nie łamią E2EE, ale przejmują endpoint poprzez dołączony klient.

Podsumowanie / kluczowe wnioski

CISA oficjalnie łączy w całość kilka świeżych wątków: szeroko zakrojone oszustwa QR na Signal, kampanie podszywania się pod komunikatory (ProSpy/ToSpy, ClayRat) i zaawansowane łańcuchy zero-click (LANDFALL). Wspólny mianownik: atak na użytkownika i jego urządzenie, nie na kryptografię. Obrona wymaga połączenia hardeningu urządzenia, dobrych nawyków, oraz szybkiego patchowania – zwłaszcza w ekosystemie Android/Samsung.

Źródła / bibliografia

  1. CISASpyware Allows Cyber Threat Actors to Target Users of Messaging Applications (24 XI 2025). (cisa.gov)
  2. Google Threat IntelligenceRussia targeting Signal Messenger via Linked Devices (19 II 2025). (Google Cloud)
  3. ESET WeLiveSecurityNew spyware campaigns target privacy-conscious Android users in the UAE (ProSpy/ToSpy) (2 X 2025). (welivesecurity.com)
  4. ZimperiumClayRat: A New Android Spyware Targeting Russia (9 X 2025). (zimperium.com)
  5. Unit 42 (Palo Alto Networks)LANDFALL: New Commercial-Grade Android Spyware in Exploit Chain Targeting Samsung Devices (7 XI 2025). (Unit 42)

Iberia ujawnia wyciek danych klientów po incydencie u dostawcy: co wiemy i jak się chronić

Wprowadzenie do problemu / definicja luki

Iberia, narodowy przewoźnik Hiszpanii, poinformowała o naruszeniu bezpieczeństwa danych wynikającym z kompromitacji systemu jednego z zewnętrznych dostawców. W wycieku znalazły się dane identyfikacyjne części klientów (m.in. imię, nazwisko, adres e-mail; w mniejszym zakresie numer telefonu i numer programu lojalnościowego Iberia Plus). Firma podkreśla, że hasła i dane płatnicze nie zostały naruszone. Incydent został zgłoszony do Guardia Civil (UCO), AEPD oraz INCIBE.

W skrócie

  • Przyczyna: nieautoryzowany dostęp do systemu komunikacyjnego hostowanego przez zewnętrznego dostawcę (third party).
  • Zakres danych: imię, nazwisko, e-mail; sporadycznie telefon i numer Iberia Plus; bez haseł i pełnych danych kart.
  • Skala (roszczenia hakerów): na forach przestępczych pojawiła się oferta dostępu do 77 GB rzekomo skradzionych danych związanych z Iberią. Trwa weryfikacja.
  • Działania Iberii: powiadomienia do klientów, wzmocnienie mechanizmów weryfikacji (m.in. dodatkowy kod przy zmianie e-maila), uruchomienie kanałów informacyjnych.

Kontekst / historia / powiązania

Sektor lotniczy od lat jest na celowniku grup cyberprzestępczych: ataki na łańcuch dostaw, systemy rezerwacyjne i dostawców usług wsparcia (CRM, contact center, marketing automation) potrafią pośrednio odsłaniać dane przewoźników. W przypadku Iberii mamy do czynienia właśnie z takim incydentem u podmiotu zewnętrznego, a nie w core’owej infrastrukturze linii. Doniesienia branżowe i media hiszpańskie są w tym zbieżne.

Dodatkowo, na krótko przed komunikatem Iberii, na forach pojawiały się anonse o rzekomej sprzedaży pakietów danych związanych z hiszpańskimi liniami — co wzmacnia hipotezę o ukierunkowanych atakach na dostawców obsługujących ten rynek. (Uwaga: to korelacja, nie dowód na ten sam wektor.)

Analiza techniczna / szczegóły luki

Publicznie dostępne informacje wskazują na „system komunikacji” hostowany przez podmiot trzeci. Tego typu środowiska to zwykle:

  • platformy e-mail/CRM (kampanie, powiadomienia),
  • narzędzia ticketowe/helpdesk,
  • rozwiązania do obsługi programów lojalnościowych.

Najbardziej prawdopodobne wektory w takim kontekście to:

  1. Ujawnione lub ponownie użyte poświadczenia dostawcy (credential stuffing) i brak MFA na kontach serwisowych.
  2. Błędne uprawnienia w chmurze (misconfiguration) – nadmiernie szerokie role lub publiczne buckety z eksportami kampanii.
  3. Tokeny API bez właściwego scope’u/rotacji, umożliwiające enumerację rekordów kontaktowych.
  4. Zagrożenia łańcucha dostaw (np. kompromitacja narzędzia do masowej komunikacji i pivot na klientów).

Iberia podkreśla, że operacje lotnicze nie ucierpiały, a charakter „systemu komunikacji” sugeruje separację od systemów krytycznych (DCS, PSS).

Praktyczne konsekwencje / ryzyko

Choć nie ma sygnałów o nadużyciach, ekspozycja danych kontaktowych i identyfikatorów lojalnościowych podnosi ryzyko:

  • spear-phishingu podszywającego się pod Iberię (np. „potwierdź zmianę lotu”, „dopłać za bagaż”),
  • przejęć kont lojalnościowych poprzez reset e-mail i socjotechnikę u supportu,
  • inżynierii społecznej na podstawie numeru rezerwacji (PNR) – media wskazują, że część kodów rezerwacji mogła być uwidoczniona; Iberia monitoruje nadużycia.

Rekomendacje operacyjne / co zrobić teraz

Dla klientów Iberii:

  1. Zachowaj ostrożność wobec e-maili/SMS-ów rzekomo od Iberii; nie klikaj linków z prośbą o płatność/logowanie. Wejdź ręcznie na iberia.com lub aplikację.
  2. Włącz MFA (gdzie dostępne) i ustaw silne, unikalne hasło do konta Iberia/Iberia Plus.
  3. Sprawdź ustawienia konta i historię aktywności; rozważ zmianę e-maila/hasła używanego w wielu usługach.
  4. Monitoruj punkty/mile i ustaw alerty transakcyjne w programie lojalnościowym.
  5. Zgłaszaj phishing do Iberii/INCIBE; korzystaj z oficjalnych kanałów wsparcia udostępnionych przez firmę.

Dla organizacji (wnioski dla bezpieczeństwa łańcucha dostaw):

  • Egzekwuj MFA i least privilege dla kont dostawców; izoluj tenanty/środowiska komunikacyjne.
  • Token hygiene: krótkie TTL, rotacja, ograniczony scope; rejestrowanie i DLP na eksportach list mailingowych.
  • Kontrole konfiguracji chmury (CSPM) i reguły prewencyjne (SCP/organizational policies).
  • Skanuj wycieki danych (dark web monitoring) i automatyzuj blokady/ostrzeżenia dla anomalii w PNR/loyalty.
  • Ćwicz playbook phishingowy dla zespołów obsługi klienta (fraudy „dopłata do lotu”, „błąd płatności”).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W ostatnich latach linie lotnicze częściej padają ofiarą incydentów związanych z dostawcami (np. systemy płatności, PSS, narzędzia marketingowe). W porównaniu z niektórymi wcześniejszymi zdarzeniami w sektorze, Iberia raportuje brak wpływu na dane kart i hasła oraz szybkie uruchomienie procedur z AEPD/INCIBE, co ogranicza bezpośrednie ryzyko finansowe, ale nie eliminuje ryzyka nadużyć socjotechnicznych.

Podsumowanie / kluczowe wnioski

  • To incydent łańcucha dostaw w systemie komunikacji u zewnętrznego dostawcy, z ekspozycją podstawowych danych kontaktowych klientów.
  • Hasła i płatności pozostają — według obecnych informacji — nienaruszone, ale rośnie ryzyko phishingu oraz nadużyć na kontach lojalnościowych.
  • W przestrzeni przestępczej krążą twierdzenia o 77 GB danych związanych z Iberią; skala i autentyczność są przedmiotem analizy.
  • Klienci powinni wdrożyć podstawowe praktyki OPSEC, a organizacje – utwardzić integracje z dostawcami i monitoring wycieków.

Źródła / bibliografia

  1. BleepingComputer: „Iberia discloses customer data leak after vendor security breach” (23 listopada 2025). (BleepingComputer)
  2. Cadena SER: „Iberia denuncia ante la UCO un ciberataque…” (23 listopada 2025). (Cadena SER)
  3. Cinco Días (El País): „Iberia sufre un ciberataque que filtra datos personales…” (23 listopada 2025). (Cinco Días)
  4. Security Affairs: „Iberia discloses security incident tied to supplier breach” (23 listopada 2025). (Security Affairs)
  5. Tło (łączone): wzmianki o wcześniejszych ofertach danych hiszpańskich linii na forach/darknecie. (Part-IS.eu –)

WhatsApp: luka w API pozwoliła zeskrobać 3,5 mld kont. Co to oznacza dla prywatności?

Wprowadzenie do problemu / definicja luki

Zespół badawczy z Uniwersytetu Wiedeńskiego wykazał, że mechanizm contact discovery w WhatsApp (czyli sprawdzanie, czy dany numer jest zarejestrowany) można było automatycznie „odpytywać” na masową skalę, bez skutecznych limitów zapytań. To umożliwiło enumerację numerów i zbudowanie katalogu ok. 3,5 mld kont wraz z publicznie dostępnymi metadanymi profili (np. zdjęcie, opis „O mnie”, znacznik konta firmowego). Meta (właściciel WhatsAppa) po zgłoszeniu wprowadziła dodatkowe ograniczenia tempa zapytań (rate limiting).

W skrócie

  • Zakres: możliwa enumeracja ~3,5 mld numerów powiązanych z kontami WhatsApp i pobranie publicznych danych profili.
  • Wektor: nadużycie funkcji contact discovery przez automatyczne testowanie dużych zakresów numerów (brak skutecznego rate limiting).
  • Status naprawy: Meta wdrożyła dodatkowe zabezpieczenia po zgłoszeniu badaczy.
  • E2EE: Szyfrowanie wiadomości end-to-end nie zostało złamane, ale ekspozycja numerów i metadanych zwiększa ryzyko nadużyć (phishing, doxing, OSINT).

Kontekst / historia / powiązania

Enumeracja poprzez „sprawdzanie dostępności” numeru to znany problem projektowy w aplikacjach opartych o telefon jako identyfikator. Podobne zjawiska obserwowano w przeszłości w innych komunikatorach i serwisach społecznościowych; ostrzegano też, że telefon jako główny identyfikator ułatwia łączenie tożsamości i tworzenie baz OSINT. Sprawa WhatsAppa jest jednak wyjątkowa skalą — badacze mówią o „najszerszej ekspozycji numerów telefonów w historii”.

Analiza techniczna / szczegóły luki

Badacze generowali i testowali masowo zakresy numerów telefonów z wielu krajów. Każde zapytanie do mechanizmu contact discovery pozwalało ustalić, czy numer jest kontem WhatsApp — a jeśli tak, zaciągnąć publicznie udostępnione dane profilu (np. avatar, opis, znacznik „Business”), znaczniki czasu i inne elementy. Brak twardych limitów zapytań umożliwiał bardzo szybkie tempo enumeracji. Po odpowiedzialnym ujawnieniu Meta uszczelniła ograniczenia (rate limiting), utrudniając masowe skanowanie.

Dlaczego to działa?

  • WhatsApp musi odpowiedzieć, czy kontakt istnieje — inaczej nie da się wygodnie budować list znajomych.
  • Jeśli endpoint odpowiada bez adekwatnych limitów i heurystyk anty-automatyzacyjnych, napastnik może „przelecieć” ogromne przestrzenie numeracji.
  • Każdy dodatkowy bit publicznej informacji (avatar, opis) zwiększa entropię identyfikacyjną i wartość danych dla ataków socjotechnicznych.

Praktyczne konsekwencje / ryzyko

  • Targetowany phishing/Smishing: precyzyjne listy numerów WhatsApp, z lokalizacją krajową i metadanymi profilu, ułatwiają kampanie podszywania.
  • Doxing i nękanie: skojarzenie numeru z wizerunkiem i statusem konta pomaga w identyfikacji osoby.
  • Fraudy „na firmę”: oznaczenia Business mogą prowadzić do podszywania się pod firmy/klientów w łańcuchach dostaw.
  • OSINT na masową skalę: budowa grafów społecznych i wzbogacanie baz marketingowych/szpiegowskich.

Uwaga: według Meta, treść komunikacji pozostała zaszyfrowana E2E; mówimy o wycieku informacji o kontach/identyfikatorach, nie o odszyfrowaniu rozmów.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników:

  1. Ustawienia prywatności → ogranicz widoczność zdjęcia profilowego, „O mnie”, statusu i informacji „Kto może zobaczyć…?” do „Moje kontakty” lub „Nikt”.
  2. Rozważ oddzielenie numeru do komunikatorów od numeru „urzędowego”/bankowego.
  3. Weryfikuj wiadomości: nie klikaj linków z nieznanych źródeł; potwierdzaj tożsamość innym kanałem.
  4. Zgłaszaj nadużycia w aplikacji; blokuj nieznane numery.

Dla firm/SOC:

  1. Polityka BYOD/komunikatorów: ograniczaj użycie numerów pracowników jako oficjalnych identyfikatorów; rozważ konta firmowe z kontrolami prywatności.
  2. Reguły detekcji: w SIEM/SOAR dodaj wzorce smishingu i kampanii podszywania z WhatsApp (URL shortenery, popularne domeny phishingowe).
  3. Szkolenia phishingowe ukierunkowane na WhatsApp/sms.
  4. DLP/OSINT: monitoruj paste’y i rynki danych pod kątem list „WhatsApp leads”.
  5. Weryfikacja klientów: w procesach obsługi klienta nie polegaj wyłącznie na identyfikacji numerem/WhatsApp.

Różnice / porównania z innymi przypadkami

  • Projekt vs. exploit: To nie był „remote code execution”, lecz problem projektowy (design flaw) + niedostateczny rate limiting — podobnie jak znane w przeszłości wycieki z mechanizmów „czy ten e-mail istnieje?”.
  • Unikalna skala: rzadko spotykamy możliwość enumeracji globalnej bazy użytkowników popularnego komunikatora w tak krótkim czasie.

Podsumowanie / kluczowe wnioski

  • WhatsApp naprawił lukę po zgłoszeniu, jednak numer telefonu jako identyfikator pozostaje podatnym punktem wielu usług.
  • Organizacje powinny zakładać, że „publiczne metadane” (avatar, opis, obecność w usłudze) mogą zostać zebrane hurtowo i wykorzystane w atakach.
  • Twarde rate limiting + heurystyki anty-botowe + telemetryjne sygnały nadużyć to obowiązek przy funkcjach „discovery”.

Źródła / bibliografia

  • BleepingComputer: „WhatsApp API flaw let researchers scrape 3.5 billion accounts” (22 listopada 2025). (BleepingComputer)
  • University of Vienna — komunikat o badaniach (listopad 2025). (Universität Wien)
  • WIRED: „A Simple WhatsApp Security Flaw Exposed 3.5 Billion Phone Numbers” (listopad 2025). (WIRED)
  • SecurityWeek: „Vulnerability Allowed Scraping of 3.5 Billion WhatsApp Accounts” (20 listopada 2025). (SecurityWeek)
  • CSO Online: „WhatsApp flaw allowed discovery of the 3.5 billion mobile numbers…” (listopad 2025). (csoonline.com)

APT31 (Violet Typhoon/Zirconium) prowadzi ciche cyberataki na rosyjski sektor IT. Cloud C2, CloudyLoader i nowe backdoory na celowniku

Wprowadzenie do problemu / definicja kampanii

Chińsko-powiązana grupa APT31 (znana także jako Violet Typhoon/Zirconium/Judgement Panda) została powiązana z długofalową kampanią cyberszpiegowską przeciw rosyjskiemu sektorowi IT. Ataki miały trwać co najmniej w latach 2024–2025, a w jednym przypadku utrzymanie dostępu sięgało końcówki 2022 r. Kluczową cechą operacji jest wykorzystanie popularnych usług chmurowych (w tym Yandex Cloud oraz Microsoft OneDrive) jako kanałów C2 i exfiltracji, co utrudniało detekcję w ruchu „legitnym” dla ofiar.

W skrócie

  • Cele: rosyjskie firmy IT – integratorzy i kontraktorzy dla administracji publicznej.
  • Taktyki: C2 i staging w usługach chmurowych i… w profilach serwisów społecznościowych; operacje intensyfikowane w weekendy i święta.
  • Wejście: phishing z archiwami RAR/ZIP zawierającymi LNK oraz „DLL side-loading” do uruchomienia CloudyLoader (loader Cobalt Strike).
  • Nowe narzędzia w arsenale: OneDriveDoor, VtChatter (C2 via VirusTotal comments), COFFProxy (Golang), AufTime (Linux, wolfSSL), YaLeak (exfil do Yandex Cloud), a także LocalPlugX do ruchu bocznego.
  • Utrzymanie: harmonogram zadań podszywający się pod legalne aplikacje (np. YandexDisk/Chrome), tunelowanie przez Tailscale i Microsoft Dev Tunnels.

Kontekst / historia / powiązania

APT31 działa co najmniej od 2010 r., a na jej koncie są operacje przeciw instytucjom rządowym, finansom, obronności i high-tech na wielu kontynentach. W 2025 r. grupa była łączona m.in. z incydentami wobec czeskiego MSZ oraz z wcześniejszymi operacjami w Europie. Zestaw aliasów obejmuje m.in. Violet Typhoon (Microsoft), Zirconium, Judgement Panda.

Analiza techniczna / szczegóły kampanii

Wejście (Initial Access).
Udokumentowano spear-phishing z archiwami zawierającymi skróty .LNK. Po uruchomieniu następował łańcuch DLL side-loading bazujący na legalnym pliku BsSndRpt64.exe, który ładował bibliotekę BugSplatRc64.dll z wbudowanym CloudyLoaderem (loader Cobalt Strike). Warianty socjotechniki obejmowały „zapytania zakupowe” oraz przynęty stylizowane na dokumenty ministerstw (np. Peru).

Dowodzenie i kontrola (C2).
Komendy i payloady były „stage’owane” w profilach mediów społecznościowych (lokalnych i zagranicznych), a w komunikacji wykorzystywano powszechne usługi chmurowe (Yandex, Microsoft OneDrive), co maskowało ruch. Wybrane narzędzia:

  • OneDriveDoor – backdoor używający OneDrive jako C2;
  • VtChatter – narzędzie komunikujące się co 2 godz. przez zakodowane komentarze do pliku na VirusTotal;
  • YaLeak – .NET do wysyłki danych do Yandex Cloud.

Ruch boczny i utrzymanie.
Zaobserwowano LocalPlugX (odmiana PlugX do poruszania się wewnątrz sieci), COFFProxy (Golang: tunelowanie/komendy/zarządzanie plikami), AufTime (Linux backdoor z wolfSSL), Tailscale VPN i Microsoft Dev Tunnels do szyfrowanego P2P, a także liczne zadania w Harmonogramie Zadań Windows, których nazwy imitują legalne procesy (np. YandexDisk_Servers, GoogleUpdater). Wykryto też technikę tworzenia ukrytych zadań przez manipulację TaskCache\Tree\ i plikami XML.

Techniki ukrywania (Defense Evasion) i „timing”.
Operacje „pod święta/weekendy” oraz generowanie ruchu do legalnych serwisów utrudniało korelację i triage. Dodatkowo opisywano nietypowe wykorzystanie oobe\Setup.exe /ui do odpalenia łańcucha z własnym ErrorHandler.cmd.

Powiązane obserwacje branżowe.
Niezależne badania Kaspersky z lipca 2025 roku dokumentowały kampanie z Cobalt Strike i hostingiem komend/payloadów na platformach społecznościowych/GitHub, co spójnie wpisuje się w TTPs widoczne u APT31.

Praktyczne konsekwencje / ryzyko

  • Detekcja utrudniona: ruch C2/outbound do chmur i popularnych serwisów jest zwykle dozwolony, co obniża skuteczność klasycznych list kontroli, proxy i filtrów reputacyjnych.
  • Długotrwałe utrzymanie: potwierdzono przypadki „zagnieżdżenia” od końca 2022 r. i eskalacji aktywności podczas długich przerw świątecznych.
  • Różnorodny arsenał: miks living-off-the-land, narzędzi publicznych (SharpChrome, SharpDir) oraz custom backdoorów utrudnia budowę jednego wzorca IOC.

Rekomendacje operacyjne / co zrobić teraz

  1. Egress i kontrola chmury
    • Stwórz granularne zasady dla wyjściowego ruchu HTTP(S) do usług: OneDrive, Yandex Cloud, Paste/VT i wybranych social-media. Wymuś tenant allow-list dla Microsoft 365/OneDrive i monitoruj nietypowe identyfikatory aplikacji oraz User-Agent. Loguj i alertuj o transferach nietypowych dla profilu użytkownika/systemu.
  2. Hunting na zadania i „DLL side-loading”
    • Cycliczny hunting Scheduled Tasks: nazwy podobne do YandexDisk, GoogleUpdater, Crashpad_Server; sprawdzaj brakujące wpisy SecurityDescriptor w HKLM\...TaskCache\Tree\ vs. fizyczne pliki XML.
    • Szukaj BsSndRpt64.exe uruchamianego spoza domyślnych ścieżek oraz towarzyszących bibliotek BugSplatRc64.dll.
  3. Zasady czasu pracy (blue-team ops)
    • Podnieś wrażliwość alertów w weekendy i święta; wprowadź „holiday surge playbooks” (IR on-call, szybsza triage exfilu, czasowe zaostrzenie egressu).
  4. EDR/Proxy detections & telemetry
    • Reguły na nietypowe użycie Tailscale, Dev Tunnels, tunelowanie z hostów serwerowych; detekcje na narzędzia SharpADUserIP/SharpChrome/StickyNotesExtract. W proxy: wywołania do znanych end-pointów graph.microsoft.com, api.onedrive.com, storage.yandexcloud.net z hostów, które normalnie tego nie robią.
  5. Hardening poczty i stacji roboczych
    • Blokada uruchamiania .LNK z archiwów, polityki „mark of the web”, ASR dla „Office/shortcut LNK child processes”, ograniczenie DLL search order (WDAC/Applocker) dla znanych binariów podatnych na side-loading.
  6. Łańcuchy wskaźników i TTP-mapa
    • Zmapuj kontrole do MITRE ATT&CK dla APT31 (T1566.002 Spearphishing Link; T1053.005 Scheduled Task/Job; T1105 Exfil via C2; T1572 Protocol Tunneling itp.) i wdrażaj detekcje oparte na zachowaniu (behavioural).

Różnice / porównania z innymi przypadkami

  • Nietypowy wektor geopolityczny: raporty o chińskich operacjach przeciw rosyjskim podmiotom pojawiają się rzadko – ten przypadek potwierdzają niezależnie źródła branżowe.
  • C2 na platformach społecznościowych: trend widoczny w szerszym krajobrazie (Kaspersky) – ale u APT31 jest szczególnie przemyślany i łączony z chmurą lokalną (Yandex).

Podsumowanie / kluczowe wnioski

APT31 kontynuuje ewolucję: łączy „stare” techniki (phishing + Cobalt Strike) z nowymi backdoorami i C2 ukrytym w chmurze/publicznych serwisach. Dla obrońców oznacza to przejście z detekcji opartej na domenach/IP na kontrolę kontekstową i behawioralną (tenant enforcement, model ryzyka dla egressu, hunting na zadania i side-loading). Kampania pokazuje również, że „okna operacyjne” (weekendy/święta) pozostają skutecznym narzędziem aktorów APT – i wymagają dedykowanych playbooków IR.

Źródła / bibliografia

  1. The Hacker News: „China-Linked APT31 Launches Stealthy Cyberattacks on Russian IT Using Cloud Services” (22 listopada 2025). (The Hacker News)
  2. Positive Technologies, „Атаки разящей панды: APT31 сегодня” (20 listopada 2025) – raport techniczny. (ptsecurity.com)
  3. Kaspersky Securelist, „Cobalt Strike Beacon z dostawą przez GitHub i social media” (30 lipca 2025). (securelist.ru)
  4. The Record (Recorded Future News), „China’s APT31 linked to hacks on Russian tech firms” (21 listopada 2025). (The Record from Recorded Future)
  5. MITRE ATT&CK: „ZIRCONIUM (APT31) – G0128” (profil grupy i technik). (MITRE ATT&CK)

Qilin ransomware na warsztacie: jak śledczy odtworzyli atak z jednego końcowego hosta

Wprowadzenie do problemu / definicja luki

Qilin (znany również jako Agenda) to operacja Ransomware-as-a-Service (RaaS) aktywna od 2022 r., zasilana afiliantami i ukierunkowana na organizacje z wielu sektorów – od ochrony zdrowia po przemysł. Grupa stosuje podwójny wymus (szyfrowanie + wyciek danych) oraz elastyczne techniki dostępu początkowego (phishing, nadużycia RMM, wykorzystywanie narzędzi „living off the land”).

W skrócie

  • Zespół Huntress pokazał, jak z jednego zainfekowanego endpointu odtworzyć cały łańcuch ataku Qilin: od nieautoryzowanego dostępu przez ScreenConnect po próbę wdrożenia ransomware. Analiza opierała się na szczątkowych logach i artefaktach systemowych.
  • Qilin ewoluuje: afilianci tej operacji obserwowani są również przy uruchamianiu linuksowych szyfratorów w Windows za pomocą WSL, co utrudnia detekcję przez klasyczne narzędzia EDR.
  • Kontekst ryzyka potwierdzają realne skutki – m.in. głośny atak na laboratoria NHS/Synnovis w 2024 r., powiązany z Qilin.

Kontekst / historia / powiązania

Qilin wyłonił się jako RaaS w połowie 2022 r., z czasem rozbudowując ekosystem afiliantów i technikę operacyjną. Profil zagrożenia publikowany przez FortiGuard oraz noty sektorowe (HHS) opisują warianty w Go i Rust, podkreślają nadużycia narzędzi zdalnego zarządzania (RMM) i typowy schemat double-extortion. W 2024–2025 r. raporty i doniesienia prasowe przypisywały Qilin incydenty o znacznym wpływie – szczególnie w ochronie zdrowia.

Analiza techniczna / szczegóły luki

Wejście do środowiska (Initial Access):

  • Phishing i kradzież poświadczeń, a także nadużycia platform RMM (np. ScreenConnect) jako kanał „legitymizacji” ruchu i eksekucji. W analizowanym incydencie śledczym wykryto nieautoryzowany dostęp ScreenConnect jako punkt zwrotny.

Wykorzystanie WSL / obniżanie widoczności:

  • Część afiliantów Qilin uruchamia szyfratory ELF w środowisku Windows Subsystem for Linux, co omija niektóre heurystyki i telemetrykę narzędzi skupionych na binariach PE. To wymusza korelację telemetrii między Windows i komponentami WSL.

Eskalacja i przygotowanie środowiska:

  • Wyłączanie usług AV/EDR, czyszczenie logów zdarzeń, zatrzymywanie usług i procesów utrudniających szyfrowanie. Nowsze warianty (np. Qilin.B) dodają techniki antyforensyczne, włącznie z autodelecją plików wykonywalnych.

Szyfrowanie i exfiltracja:

  • Qilin stosuje model „szyfruj + wykradnij”, aby spotęgować presję na ofiarę. Exfiltracja odbywa się przed uruchomieniem szyfratora; następnie następuje notatka okupu i komunikacja na kanałach kontrolowanych przez grupę.

Artefakty i telemetria z jednego hosta (case study):

  • Huntress zrekonstruował oś czasu na podstawie lokalnych logów, śladów RMM, rejestru i plików tymczasowych, wykazując, że nawet limitowana widoczność pozwala zidentyfikować taktyki i pivoty atakujących. Dla SOC to praktyczny dowód, że „host-centric DFIR” może skutecznie odtworzyć łańcuch zdarzeń.

Praktyczne konsekwencje / ryzyko

  • Sektory wrażliwe (szczególnie ochrona zdrowia) narażone są na przerwy w świadczeniu usług, opóźnienia procedur medycznych oraz ryzyko ujawnienia danych pacjentów – co pokazał incydent NHS/Synnovis.
  • Nadużycia RMM zwiększają „szum tła” i utrudniają rozróżnienie legalnej administracji od działań wroga.
  • WSL-based encryptors wymagają rozszerzenia monitoringu poza tradycyjne PE/Windows API.

Rekomendacje operacyjne / co zrobić teraz

Prewencja i hardening

  1. Zabezpiecz RMM (ScreenConnect itp.): SSO, MFA bez wyjątków, allowlisting z IP/VPN, least privilege, segmentacja sesji, rejestrowanie i alerty na nietypowe działania operatorów.
  2. WSL pod lupą: wyłącz WSL, jeśli niepotrzebny; w przeciwnym razie loguj instalację/aktywację, monitoruj procesy wsl.exe, mounty, tworzenie plików ELF w profilach użytkowników.
  3. Polityki EDR/AV: blokowanie masowego otwierania/zamykania usług, czyszczenia logów, zatrzymywania serwisów bezpieczeństwa; ochrona przed autodelecją artefaktów.
  4. DLP + egress filtering: ogranicz exfiltrację przed szyfrowaniem (monitoring dużych transferów, blokady kanałów chmurowych/domen DGA).

Detekcja i telemetria

  • Koreluj dane Windows + WSL (Sysmon dla Windows i zdarzenia WSL), zdarzenia RMM, logi Security/System, rejestr usług oraz ślady tworzenia zadań. Buduj reguły na: uruchomienia wsl.exe poza oknami serwisowymi, instalację dystrybucji WSL, nietypowe sesje ScreenConnect, użycie narzędzi do wyłączania EDR, masowe WriteFile/Rename.

IR i odporność

  • Backupy 3-2-1 (air-gap/immutability), testy odtwarzania, runbooki IR dla RaaS; szybkie odłączenie RMM, credential hygiene, rotacja sekretów po incydencie.
  • W sektorze zdrowia – zgodność z wytycznymi branżowymi i procedurami ciągłości działania.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W porównaniu z wieloma rodzinami RaaS (np. LockBit, ALPHV), Qilin wyróżnia rosnąca adopcja taktyk ukrywania się w legalnych narzędziach (RMM) oraz przenikanie między platformami (ELF przez WSL na Windows). To zmniejsza skuteczność klasycznych, sygnaturowych detekcji i wymaga telemetrii obejmującej zarówno warstwę zarządczą, jak i subsystemy zgodności (WSL).

Podsumowanie / kluczowe wnioski

  • Qilin/Agenda pozostaje aktywnym i elastycznym RaaS, który łączy nadużycia RMM z technikami antyforensycznymi i – u części afiliantów – szyfratorami ELF uruchamianymi przez WSL.
  • Nawet ograniczona widoczność z jednego hosta pozwala zrekonstruować incydent i zidentyfikować punkty kontrolne – co pokazała analiza Huntress.
  • Organizacje, szczególnie z ochrony zdrowia, powinny traktować Qilin jako wysokie ryzyko operacyjne i wdrożyć specyficzne kontrole dla RMM i WSL.

Źródła / bibliografia

  1. BleepingComputer – „Piecing Together the Puzzle: A Qilin Ransomware Investigation” (studium przypadku Huntress). (BleepingComputer)
  2. FortiGuard – Threat Actor: Qilin Ransomware (profil grupy, RaaS, aktywność od 2022 r.). (fortiguard.com)
  3. U.S. HHS – Qilin Threat Profile (TLP:CLEAR) (wektory wejścia, podwójny wymus, Go/Rust). (HHS)
  4. TechRadar (na podstawie badań Trend Micro) – WSL wykorzystywany do uruchamiania szyfratorów ELF w Windows. (TechRadar)
  5. ComputerWeekly / The Guardian – incydent NHS/Synnovis 2024 przypisywany Qilin, skutki operacyjne i wyciek danych. (Computer Weekly)

VPN Hardening Cookbook

Dlaczego to ma znaczenie?

VPN jest bramą do firmowej sieci – ułatwia pracę zdalną, ale dla atakujących stanowi atrakcyjny cel. Wystarczy jedno przejęte konto lub luka w VPN, by intruz zyskał dostęp do zasobów wewnętrznych. Przykładowo, głośny atak na Colonial Pipeline w 2021 rozpoczął się od wykradzionych danych dostępowych VPN bez wymuszonego MFA, co sparaliżowało krytyczną infrastrukturę. To pokazuje, że kompromitacja VPN niesie poważne konsekwencje – od wycieku danych po zatrzymanie działalności firmy.

Czytaj dalej „VPN Hardening Cookbook”

Matrix Push C2: nowa platforma C2 nadużywa powiadomień przeglądarki do bezplikowych, wieloplatformowych kampanii phishingowych

Wprowadzenie do problemu / definicja luki

Badacze opisali nową usługę przestępczą Matrix Push C2, która zamienia powiadomienia przeglądarki w kanał dowodzenia i kontroli (C2) do dostarczania linków phishingowych i złośliwych przekierowań – bez konieczności początkowej infekcji plikowej. Atak jest wieloplatformowy (działa na dowolnym systemie z przeglądarką), a wektor bazuje na socjotechnice wymuszającej akceptację notyfikacji przez ofiarę. Usługa jest sprzedawana w modelu MaaS (malware-as-a-service) z abonamentami i obsługiwana m.in. przez kanały Telegram.

W skrócie

  • Jak wygląda atak: ofiara jest nakłaniana do włączenia powiadomień strony (złośliwej lub skompromitowanej). Napastnik wysyła potem „systemowo” wyglądające alerty (np. „weryfikacja logowania”, „aktualizacja przeglądarki”), które prowadzą do stron phishingowych lub pobierają malware. Całość dzieje się w przeglądarce, bez wstępnego droppera.
  • Cechy C2: panel www z telemetrią ofiar w czasie rzeczywistym, szablony podszywające się pod MetaMask, Netflix, Cloudflare, PayPal, TikTok, skracacz linków i rejestrowanie rozszerzeń (np. portfeli krypto).
  • Monetyzacja: subskrypcje ok. $150 / m-c, $405 / 3 m-ce, $765 / 6 m-cy, $1,500 / rok; płatność w krypto. Pierwsze obserwacje: początek października 2025 r.
  • Podobieństwo do „ClickFix”: ofiara sama „klika się” w kompromitację, obchodząc klasyczne kontrole.

Kontekst / historia / powiązania

W ostatnich miesiącach widać trend wykorzystywania legalnych funkcji i narzędzi do działań po stronie atakujących. Równolegle raportowano nadużycia narzędzia Velociraptor (DFIR) po włamaniu przez lukę CVE-2025-59287 w WSUS, co pokazuje, że grupy mieszają autorskie frameworki C2 z dostępnymi narzędziami.

Analiza techniczna / szczegóły luki

Jak to działa od strony przeglądarki

  • Push API i Notifications API pozwalają stronom, po wyraźnej zgodzie użytkownika, dostarczać wiadomości nawet, gdy karta nie jest aktywna. Te same mechanizmy – w złych rękach – stają się kanałem C2 do wyświetlania wiarygodnie wyglądających powiadomień na poziomie systemu.
  • Po subskrypcji napastnik może wypychać (push) komunikaty i kierować ofiarę na spreparowane landing pages. Brak wstępnego pliku = bezplikowość (fileless), co utrudnia wykrywanie przez klasyczne AV/EDR.

Funkcje Matrix Push C2 z perspektywy operatora

  • Dashboard kampanii: lista „klientów” (przeglądarek), skuteczność dostarczania, zbieranie interakcji (kliknięcia), wykrywanie rozszerzeń, w tym portfeli krypto.
  • Szablony/tematy: gotowe wzorce podszywające się pod popularne marki poprawiają konwersję phishingu.
  • Skracacz URL z analityką: ułatwia kamuflaż i pomiar skuteczności.

Sprzedaż i model usługowy

  • Dostęp MaaS z cennikiem abonamentowym i komunikacją przez fora/Telegram; kryptopłatności. Pierwsze ślady: październik 2025 r.

Praktyczne konsekwencje / ryzyko

  • Wieloplatformowość: każdy system z przeglądarką i włączonymi powiadomieniami może zostać „klientem” tego C2.
  • Omijanie kontroli: brak droppera i działanie „w kanale” przeglądarki utrudniają korelację alertów i sygnatur.
  • Krótka droga do eskalacji: po pierwszym kliknięciu – kradzież danych logowania, instalacja trwalszego malware, ataki na portfele krypto.

Rekomendacje operacyjne / co zrobić teraz

Dla zespołów bezpieczeństwa / IT:

  1. Twarde polityki powiadomień przeglądarki w organizacji:
    • W Chromium/Firefox ograniczaj lub wyłącz globalnie Web Push/Notifications dla niezatwierdzonych domen (policies/GPO, allow-list).
    • Wymuś „quiet notification UI” albo pełny opt-out tam, gdzie to możliwe. (Podstawy działania i ryzyka: MDN).
  2. Higiena uprawnień w przeglądarkach: skryptowe czyszczenie zgód na powiadomienia i Service Workerów dla użytkowników, regularny reset site permissions. (Mechanizmy i best practices: MDN).
  3. Filtracja ruchu wychodzącego i kontrola skracaczy linków (proxy/SWG/NGFW), z korelacją do źródeł powiadomień.
  4. Uwierzytelnianie odporne na phishing (np. FIDO2/WebAuthn, klucze sprzętowe), aby zminimalizować skutki przejęcia haseł.
  5. Playbook IR: dodaj scenariusz „nadużycie powiadomień” – kroki:
    • inwentaryzacja zgód i SW,
    • blokowanie domen kampanii z panelu C2 (IOC z telemetrii),
    • wymuszenie zmiany haseł/oflagowanie sesji. (Opis działania kampanii: BlackFog/THN).

Dla użytkowników końcowych:

  • Nie zezwalaj na powiadomienia z nieznanych stron; cofaj zgody w ustawieniach przeglądarki.
  • Nie klikaj „aktualizacji”/„weryfikacji” z powiadomień – aktualizacje uruchamiaj wyłącznie z menu przeglądarki. (Charakterystyka fałszywych alertów: BlackFog/THN).

Różnice / porównania z innymi przypadkami

  • „ClickFix” vs. Matrix Push C2: oba wektory wykorzystują interakcję użytkownika do ominięcia zabezpieczeń, ale Matrix Push opiera się na legitymizacji kanału powiadomień (UI systemowe), co zwiększa wiarygodność i zasięg (wiele OS/przeglądarek).
  • Nadużycia narzędzi DFIR (Velociraptor): inny etap „kill chain” – po włamaniu (np. przez WSUS CVE-2025-59287) napastnicy używają legalnych narzędzi do C2; w Matrix Push C2 wejście następuje z poziomu przeglądarki bez RCE.

Podsumowanie / kluczowe wnioski

Matrix Push C2 to pragmatyczna ewolucja phishingu: uderza w zaufany interfejs powiadomień, dostarcza fileless i cross-platform kampanie oraz daje operatorom mierzalny, automatyzowany kanał C2. Organizacje powinny ograniczyć Web Push, wdrożyć MFA odporne na phishing i zaktualizować playbooki IR o scenariusze nadużycia powiadomień.

Źródła / bibliografia

  1. The Hacker News — „Matrix Push C2 Uses Browser Notifications for Fileless, Cross-Platform Phishing Attacks”, 22 listopada 2025. (The Hacker News)
  2. BlackFog — „New Matrix Push C2 Abuses Push Notifications to Deliver Malware”, 20 listopada 2025. (BlackFog)
  3. MDN Web Docs — „Push API”. (MDN Web Docs)
  4. MDN Web Docs — „Using the Notifications API”. (MDN Web Docs)
  5. Huntress — „Velociraptor Misuse, Pt. I: WSUS-Up?”, 2 dni temu. (Huntress)