Archiwa: Phishing - Strona 92 z 97 - Security Bez Tabu

Tag: Phishing

Microsoft Digital Defense Report 2025: AI przyspiesza ewolucję ataków. Czas porzucić wyłącznie „tradycyjne” zabezpieczenia

Wprowadzenie do problemu / definicja luki

Microsoft opublikował najnowszy Digital Defense Report 2025 (MDDR), obejmujący trendy od lipca 2024 do czerwca 2025. Konkluzja jest jasna: AI stała się mnożnikiem siły zarówno dla obrońców, jak i napastników, a poleganie wyłącznie na klasycznych, „perymetrycznych” kontrolach nie wystarczy wobec skali i szybkości współczesnych kampanii. Ponad połowa ataków z ustalonym motywem była napędzana ekstorcją i ransomware, podczas gdy operacje czysto szpiegowskie to zaledwie kilka procent spraw.

W skrócie

  • Ekstorcja/ransomware >50% incydentów z ustalonym motywem (co najmniej 52%); szpiegostwo ~4%.
  • „Nie włamują się — logują się”: wzrost ataków tożsamościowych i roli infostealerów; 97% ataków na tożsamość to ataki hasłowe.
  • AI przyspiesza: generowanie treści socjotechnicznych, automatyzacja ruchu bocznego, wyszukiwanie luk, real-time evasions; jednocześnie same systemy AI stają się celem (prompt injection, data poisoning).
  • Najczęściej atakowane sektory: administracja publiczna i IT; w TOP10 także badania/akademia, NGO, produkcja krytyczna, transport.
  • Najmocniej dotknięte kraje (H1 2025): USA, UK, Izrael, Niemcy.
  • Wniosek strategiczny: modernizacja zabezpieczeń (identity-first, phishing-resistant MFA), odporność chmury, łańcuchy dostaw i współpraca publiczno-prywatna.

Kontekst / historia / powiązania

Tegoroczny raport to szósta edycja MDDR i odzwierciedla przesunięcie ciężaru z incydentów „czysto technicznych” na zdarzenia wpływające na usługi krytyczne oraz codzienne życie (od szpitali po transport). Microsoft akcentuje, że to już problem całospołeczny, wymagający zarówno modernizacji technologii, jak i konsekwencji polityczno-prawnych wobec agresorów (w tym państw narodowych korzystających z ekosystemu cyberprzestępczego).

Analiza techniczna / szczegóły raportu

1) Motywacja i taktyki

  • Ekstorcja odpowiada za ~33% celów w angażach IR, ludzkie/niszczące ransomware ~19%, a faktyczne wdrożenie ładunku ~8%; czyste szpiegostwo ~4%.
  • Kampanie łączą socjotechnikę z eksploatacją techniczną. Na znaczeniu zyskały ClickFix oraz device code phishing, a nadużycia OAuth/legacy auth/AiTM umożliwiają długotrwały dostęp mimo MFA.

2) Wejście początkowe (Initial Access)

  • Wektor „valid accounts”/kradzione sesje zyskuje, a napastnicy coraz częściej „logują się” dzięki infostealerom i wyciekłym danym uwierzytelniającym. Trwa szybka weaponizacja znanych CVE przeciw usługom wystawionym do Internetu i zdalnym usługom.

3) Sektory i geografia

  • Administracja i IT w czołówce celów; w TOP10 również badania/akademia, NGO, produkcja krytyczna, transport, telco, finanse, zdrowie. Największa koncentracja ataków w USA, UK, Izraelu i Niemczech (H1 2025).

4) AI – miecz obosieczny

  • Napastnicy wykorzystują generatywną AI do skalowania phishingu/socjotechniki, odkrywania luk i adaptacyjnego malware; równocześnie rosną ataki na same systemy AI (prompt injection, data poisoning). Po stronie obrony AI skraca detekcję i reakcję oraz redukuje luki w wykrywaniu.

5) Incydent o potencjale systemowym

  • W lutym 2025 udaremniono atak ransomware na globalnego operatora żeglugi – szyfrowanie zatrzymano po 68 sekundach, a całość rozbito w 14 minut; zdarzenie pokazuje kaskadowe ryzyko dla łańcuchów dostaw.

Praktyczne konsekwencje / ryzyko

  • Tożsamość i sesje są najprostszą drogą wejścia (kradzieże haseł/sesji, kupowanie dostępu). Brak phishing-resistant MFA i kontroli aplikacji/OAuth = podwyższone ryzyko trwałej kompromitacji.
  • Szybka weaponizacja CVE skraca okno patchowania; organizacje o wolnych procesach aktualizacji będą statystycznie padać ofiarą skanów-at-scale.
  • AI-first kampanie zwiększają wolumen i jakość socjotechniki (syntetyczne treści, automatyzacja), a atakowana AI może stać się przekaźnikiem błędnych decyzji (np. zatruwanie danych, wstrzykiwanie promptów).
  • Usługi krytyczne i sektor publiczny są narażone na realny wpływ (zdrowie, edukacja, służby). Wymagana jest współpraca z rządami i egzekwowanie konsekwencji wobec agresorów.

Rekomendacje operacyjne / co zrobić teraz

Na bazie zaleceń MDDR i praktyk defensywnych:

  1. Identity-First Security
  • Phishing-resistant MFA (FIDO2/Passkeys) dla wszystkich ról – priorytet dla kont uprzywilejowanych.
  • Warunki dostępu (Conditional Access), governance aplikacji/OAuth, ciągłe monitorowanie tokenów; eliminacja legacy auth.
  1. Twarda higiena i ekspozycja
  • Inwentaryzacja usług public-facing, skanowanie i szybkie łatanie; SLA na patch skrócone do dni/godzin przy krytycznych CVE.
  • Wymuszenie Secure by Default: EDR/AV, blokady makr, kontrola PowerShell, Least Privilege.
  1. Odporność chmury i danych
  • Segregacja tożsamości (admin/workload), Just-in-Time/Just-Enough-Access, separacja tenants/subskrypcji.
  • Kopie niezmienialne (immutability), testy odtwarzania, segmentacja sieci.
  1. AI Security
  • Threat modeling dla AI: ochrona przed prompt injection, data poisoning, wyciekiem danych z modeli; kontrola dostępu do modeli i pipeline’ów ML.
  1. Detekcja zachowań i automatyzacja reakcji
  • Telemetria z tożsamości, punktów końcowych, chmury i poczty; korelacja oparta na zachowaniach; SOAR do skracania MTTR.
  1. Łańcuch dostaw i third parties
  • Ocena ryzyka dostawców (m.in. nadużycia zaufanych relacji), minimalizacja dostępu stałego, monitoring anomalii integracji.
  1. Governance i współpraca
  • Raportowanie do zarządu (metryki: pokrycie MFA, czas łatania, MTTR, incydenty/semestr).
  • Współpraca z CERT/CSIRT oraz branżą (dzielenie się TTP, IOCs) i egzekwowanie konsekwencji wobec agresorów.
  1. Horyzont PQC (post-quantum)
  • Inwentaryzacja miejsc użycia kryptografii i plan migracji do post-quantum crypto zgodnie z ewolucją standardów.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W porównaniu z wcześniejszymi edycjami MDDR, tegoroczny raport wyraźniej eksponuje skalę operacji państw narodowych (m.in. wzrost rosyjskiej aktywności wobec państw NATO) przy jednoczesnym stwierdzeniu, że głównym wolumenem nadal są kampanie przestępcze nastawione na zysk. To koreluje z doniesieniami mediów o rosnącym użyciu AI w operacjach wpływu i kampaniach technicznych.

Podsumowanie / kluczowe wnioski

  • AI zmienia dynamikę: zwiększa efektywność ataków i obrony — wygrywa strona, która szybciej i mądrzej ją wdroży.
  • Tożsamość to nowy perymetr: MFA odporne na phishing, governance aplikacji i higiena tokenów to absolutne „must have”.
  • Odporność organizacyjna > pojedyncze narzędzia: modernizacja procesów, automatyzacja reakcji i przygotowanie na zakłócenia łańcuchów dostaw.
  • Współpraca i polityka są tak samo ważne, jak technologia — bez nich odstraszanie agresorów będzie nieskuteczne.

Źródła / bibliografia

  1. Microsoft Digital Defense Report 2025 (pełny PDF). Kluczowe dane: sektory, geografia, motywy, timeline incydentu w transporcie. (Microsoft)
  2. Microsoft – CISO Executive Summary (PDF). Nowe trendy: ClickFix, device code phishing, nadużycia OAuth; AI jako cel ataku. (Microsoft)
  3. Microsoft Security / On the Issues – MDDR 2025 (blog, 16.10.2025). Zakres czasowy, 52% ataków motywowanych zyskiem, 97% ataków tożsamościowych hasłowych, rola MFA. (The Official Microsoft Blog)
  4. Microsoft – strona raportu (Security Insider). Priorytety obronne: tożsamość, odporność chmury, łańcuchy dostaw, partnerstwa. (Microsoft)
  5. Industrial Cyber – omówienie (21.10.2025). Kontekst dla OT/CI, wątki polityki odstraszania i governance. (Industrial Cyber)

Wyciekały dane klientów Alert Alarm (Verisure). Co wiemy o incydencie w Szwecji?

Wprowadzenie do problemu / definicja luki

Szwedzka spółka Verisure, dostawca systemów alarmowych monitorowanych 24/7, potwierdziła nieautoryzowany dostęp do danych klientów marki Alert Alarm — dawnej akwizycji w Szwecji. Incydent dotyczył systemu zewnętrznego partnera rozliczeniowego (fakturowanie) i, według spółki, nie obejmował głównej infrastruktury Verisure. W wyniku incydentu zagrożone są dane ok. 35 tys. obecnych i byłych klientów Alert Alarm.

W skrócie

  • Skala: ok. 35 000 rekordów klientów Alert Alarm w Szwecji.
  • Dane: imiona i nazwiska, adresy, adresy e-mail, numery PESEL-opodobne (szwedzkie personnummer).
  • Miejsce wycieku: system zewnętrznego partnera billingowego, nie core’owe systemy Verisure.
  • Status śledztwa: sprawa zgłoszona policji i właściwemu organowi; prowadzone są analizy kryminalistyczne.
  • Timing rynkowy: incydent ujawniono tydzień po IPO Verisure na Nasdaq Stockholm; kurs chwilowo spadał po komunikacie.

Kontekst / historia / powiązania

Alert Alarm to „starsza” działalność nabyta przez Verisure i obsługująca w Szwecji <6 tys. aktywnych klientów, ale w bazie były także dane historyczne — stąd łączna liczba ~35 tys. rekordów. Wydarzenie zbiega się w czasie z głośnym debiutem giełdowym Verisure (8 października 2025 r., ~€3,2 mld pozyskanego kapitału; największe IPO w Europie w tym roku). Rynek zareagował spadkiem kursu po informacji o incydencie.

Analiza techniczna / szczegóły luki

Dostęp nastąpił do środowiska third-party — zewnętrznego systemu billingowego, który przetwarzał dane klientów Alert Alarm. Na podstawie przeglądu logów Verisure deklaruje, że zakres dotyczył danych identyfikacyjnych i kontaktowych (imię i nazwisko, adres, e-mail) oraz personnummer i nie objął systemów core Verisure. To typowy przypadek ryzyka łańcucha dostaw (third-party/vendor risk): naruszenie u dostawcy usług pomocniczych skutkuje ekspozycją danych PII podmiotu głównego. Brak jest publicznych dowodów na eksfiltrację haseł, danych kart płatniczych czy materiału wideo z monitoringu.

Warto zauważyć, że komunikaty nie wskazują jeszcze wektora początkowego (np. kompromitacja konta, luki w aplikacji partnera, błędna konfiguracja chmury). Policja prowadzi postępowanie w kierunku wyłudzenia/zastraszania i poważnego naruszenia danych (w doniesieniach medialnych pojawiały się wątki prób szantażu). To sugeruje możliwy scenariusz „data theft + extortion”.

Praktyczne konsekwencje / ryzyko

  • Ryzyko kradzieży tożsamości: personnummer w połączeniu z adresem i e-mailem ułatwia fraudy, m.in. account takeover u usługodawców w Szwecji, phish/Smish ukierunkowany oraz wnioskowanie o statusie majątkowym (systemy alarmowe).
  • Spear-phishing i social engineering: przestępcy mogą podszywać się pod Verisure/Alert Alarm (fałszywe „aktualizacje zabezpieczeń”, „potwierdzenia płatności”). Wzrost prawdopodobieństwa ataków BEC/rodo-phish. (Wniosek analityczny na bazie zakresu PII).
  • Ryzyko fizyczne (pośrednie): wiedza o adresie i posiadaniu systemu alarmowego może zwiększać zainteresowanie przestępcze, choć brak dowodów na kompromitację konfiguracji alarmów. (Inference).

Rekomendacje operacyjne / co zrobić teraz

Dla klientów Alert Alarm (Szwecja):

  1. Włącz monitorowanie tożsamości / kredytu (jeśli dostępne w Szwecji; rozważy alerty kredytowe).
  2. Zmień hasła wszędzie tam, gdzie używasz podobnych e-maili/poświadczeń; włącz MFA.
  3. Uwaga na phishing: nie klikaj linków z SMS/e-mail; weryfikuj komunikaty na oficjalnej stronie Verisure i w panelu klienta.
  4. Zastrzeganie danych: jeżeli to możliwe, skorzystaj z blokad kredytowych/„spärr” u dostawców usług finansowych.
  5. Zgłaszaj podejrzane kontakty bezpośrednio do Verisure/Alert Alarm i policji.

Dla firm (wnioski z incydentu):

  • Due diligence dostawców: audyt procesów u partnerów rozliczeniowych (SOC2/ISO 27001), kontrakty z klauzulami bezpieczeństwa i prawa audytu, testy tabletop scenariusza „vendor breach”.
  • Segregacja danych historycznych: pseudonimizacja/retencja, ograniczanie „legacy datasets” u podwykonawców (zasada minimalizacji).
  • TTP-aware monitoring u dostawców: wymóg centralizacji logów, EDR/XDR, alarmowanie anomalii oraz szybkie raportowanie PII incidents.
  • Plan komunikacji kryzysowej: gotowe szablony i infolinie dla klientów, szczególnie gdy organizacja jest pod presją rynkową (np. tuż po IPO).

Różnice / porównania z innymi przypadkami

Atak wpisuje się w trend naruszeń „via third-party” (billing, marketing, helpdesk). Różni się od głośnych kampanii ransomware na łańcuch dostaw (np. dostawcy MSP), ponieważ na tę chwilę brak dowodów na zaszyfrowanie systemów i zakłócenia świadczenia usług — mowa głównie o ekspozycji PII w domenie rozliczeń. Zbieżność w czasie z IPO czyni jednak case „wrażliwym reputacyjnie” i rynkowo istotnym.

Podsumowanie / kluczowe wnioski

Naruszenie danych Alert Alarm pokazuje, że najsłabszym ogniwem bywa partner przetwarzający „prozaiczne” procesy (billing), a nie zawsze core’owe systemy bezpieczeństwa. Dla klientów ryzyko dotyczy głównie phishingu i nadużyć tożsamości. Dla firm to przypomnienie, by twardo egzekwować kontrole bezpieczeństwa u dostawców i minimalizować zakres oraz czas przechowywania danych u podwykonawców.

Źródła / bibliografia

  • Oświadczenie Verisure (EN): Statement on unauthorised third-party access — 17.10.2025. (Verisure)
  • Oświadczenie Verisure (SV): Uttalande om obehörig åtkomst… — 17.10.2025. (Cision News)
  • Reuters: Alarms maker Verisure flags data breach at partner — 17.10.2025. (Reuters)
  • Recorded Future News / The Record: Home security firm Verisure reports data breach… — 20.10.2025. (The Record from Recorded Future)
  • Financial Times: Verisure shares jump 21% on debut after raising €3.2bn… — 08.10.2025 (kontekst IPO). (Financial Times)

Atak ransomware na Askul paraliżuje e-commerce w Japonii. MUJI, Loft i inni wstrzymują sprzedaż online

Wprowadzenie do problemu / definicja luki

Askul – duży japoński dostawca artykułów biurowych i operator zaplecza logistyczno-e-commerce (m.in. serwisów Askul, LOHACO i Soloel Arena) – padł ofiarą ataku ransomware, co spowodowało „awarię systemową” i wstrzymanie przyjmowania zamówień, wysyłek oraz rejestracji użytkowników. Firma potwierdziła incydent i prowadzi dochodzenie w sprawie ewentualnego wycieku danych osobowych/klienckich.

Efekt domina dotknął czołowych detalistów korzystających z infrastruktury Askul: MUJI (Ryohin Keikaku) wstrzymało zamówienia i część funkcji aplikacji, a Loft wyłączył sklep internetowy z powodu „zakłóceń logistycznych”. Media branżowe wskazują także na problemy z wysyłkami w Sogo & Seibu.

W skrócie

  • Data wykrycia/ogłoszenia: weekend 19–20 października 2025 r.; komunikat Askul z 21 października (czasu JST).
  • Skala zakłóceń: pełne wstrzymanie zamówień, rejestracji, wysyłek; anulowanie niezrealizowanych dostaw; problemy z kanałami kontaktu (formularze/telefon).
  • Podmioty zależne: MUJI, Loft, Sogo & Seibu (przynajmniej częściowe zatrzymanie e-commerce).
  • Charakter ataku: ransomware, trwające dochodzenie ws. wycieku danych; brak informacji o grupie i wektorze wejścia.
  • Wpływ rynkowy: szerokie zakłócenia łańcucha dostaw w retail/e-commerce; przypadek o wysokiej krytyczności operacyjnej.

Kontekst / historia / powiązania

Atak na Askul wpisuje się w tegoroczny ciąg głośnych incydentów w Japonii uderzających w operatorów krytycznych dla łańcucha dostaw konsumenckiego. Zaledwie kilka tygodni wcześniej cyberatak na Asahi (piwo/napoje) zakłócił produkcję i dystrybucję; sprawstwo przypisano grupie Qilin (Ros.-jęz.). To tło pokazuje, że japoński sektor dóbr konsumpcyjnych pozostaje celem z uwagi na wysoką koncentrację dostaw i zależności B2B.

Analiza techniczna / szczegóły luki

Uwaga: Askul nie ujawnił (na moment publikacji) wektora wejścia, rodzaju ładunku, ani IOC. Poniżej zestawiamy najbardziej prawdopodobne scenariusze i TTPs obserwowane w analogicznych atakach na operatorów fulfillment/e-commerce:

  1. Kompromitacja tożsamości i RDP/VPN
    • Brak MFA/SSO, reuse haseł, luki w bramach SSL-VPN lub zaufanie do starych kont serwisowych.
  2. Łańcuch dostaw IT/OT
    • Złośliwe aktualizacje/plug-iny WMS/TMS, zależności wtyczek e-commerce, integracje EDI/API z retailerami.
  3. Living-off-the-land i szyfrowanie etapowe
    • Użycie narzędzi wbudowanych (PowerShell, WMIC), exfiltracja przez SFTP/HTTP(S) + podwójny wyciek (leak+encrypt).
  4. „Kill switch” logistyczny
    • Zaszyfrowanie systemów OMS/WMS, modułów etykietowania i bramek kurierskich → natychmiastowy stop wysyłek (pick/pack/ship).

Objawy z komunikatu Askul – zatrzymanie koszyka/rejestracji, anulacje, niedostępny helpdesk – wskazują na szerokie dotknięcie warstwy aplikacyjnej i back-office (OMS/CRM/IVR), a nie tylko front-endu WWW.

Praktyczne konsekwencje / ryzyko

  • Przychody i SLA: przestój sprzedaży online u kilku marek naraz; ryzyko kar umownych i utraty sezonowych kampanii (MUJI Week przeniesiony wyłącznie do sklepów fizycznych).
  • Obsługa klienta: wyłączenie formularzy i przeciążone call center → eskalacja kosztów i niezadowolenia klientów.
  • Ryzyko danych: w toku jest ocena możliwego „wycieku na zewnątrz” danych osób/klientów B2B; potencjalna odpowiedzialność regulacyjna i reputacyjna.
  • Ryzyko wtórne (downstream): sklepy zależne mogą być narażone na atak przez zaufane integracje/API lub spear-phishing na tle incydentu (np. fałszywe „odnowienie dostaw”). (Wniosek analityczny na bazie wzorców zagrożeń w regionie).

Rekomendacje operacyjne / co zrobić teraz

Dla detalistów korzystających z usług Askul i podobnych operatorów:

  1. Izolacja i higenia integracji:
    • Tymczasowo odłącz niekrytyczne integracje (EDI/API, webhooki) z dostawcą; rotuj klucze/sekrety, wygeneruj nowe certyfikaty mTLS.
  2. Ochrona tożsamości:
    • Wymuś MFA dla kont serwisowych i partner-to-partner, zablokuj legacy auth; wdroż Conditional Access i Just-in-Time dla adminów integracji.
  3. Segmentacja operacyjna:
    • Oddziel strefę fulfillment (WMS/TMS) od frontu e-commerce; wprowadź „air-gap backup picklists” i procedury offline picking (drukowane zlecenia).
  4. Plan ciągłości (BCP) dla e-commerce:
    • Uzgodnij tryb degradacyjny: click&collect ze stanów magazynowych sklepów stacjonarnych, zamienniki kurierów, ręczne generowanie etykiet.
  5. EDR/XDR + telemetry „east-west”:
    • Zwiększ widoczność w ruchu lateralnym; monitoruj nietypowe transfery (exfil) do chmur/serwerów zewnętrznych.
  6. Komunikacja i fraud:
    • Proaktywne bannery ostrzegawcze, odpieranie phishingu podszywającego się pod MUJI/Loft/Askul; dedykowana strona statusowa.
  7. Prawno-compliance:
    • Przygotuj notyfikacje zgodne z lokalnym prawem (PIPC) na wypadek potwierdzenia wycieku; włącz ubezpieczyciela cyber i certyfikowanych DFIR.

Dla operatorów logistycznych/e-commerce (lessons learned):

  • „3-2-1-1-0” kopie zapasowe (w tym immutable/WORM), regularne testy odtwarzania OMS/WMS w oknie <4h.
  • Application allowlist na serwerach krytycznych (drukarki etykiet, serwery etykietowania, brokerzy EDI).
  • Hardening CI/CD pluginów i integracji sklepów (SBOM, podpisy, skan SCA); sekrety w HSM/KMS + rotacja po incydencie.
  • Ćwiczenia czerwonego zespołu ukierunkowane na kill-chain „cart→OMS→WMS→TMS”.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Asahi (IX–X 2025): atak sparaliżował produkcję i dystrybucję; Qilin przyznał się do włamania. Askul to przede wszystkim przestój kanałów e-commerce i fulfillment, ale o porównywalnym wpływie na rynek (wielu odbiorców downstream).
  • Sagawa Express (X 2025): incydent z nieautoryzowanymi logowaniami klientów – bez wpływu na systemy biznesowe; pokazuje szerokie spektrum zagrożeń w logistyce, od credential-stuffing po ransomware.

Podsumowanie / kluczowe wnioski

  • Ransomware w operatorze zaplecza może w ciągu godzin zatrzymać sprzedaż wielu marek – to realne ryzyko łańcucha dostaw, nie „tylko” problem pojedynczej firmy.
  • Brak (na razie) informacji o grupie i wektorze nie zmienia faktu, że dane klientów mogą być zagrożone – konieczne są działania prewencyjne u wszystkich partnerów Askul.
  • Firmy retail powinny traktować integracje e-commerce/logistyka jako powierzchnię ataku klasy „krytycznej” i wdrożyć segmentację, BCP dla fulfillmentu oraz twarde zasady zarządzania tożsamością serwisową.

Źródła / bibliografia

  1. Komunikat Askul (21.10.2025): „Ransomware – wstrzymanie przyjmowania zamówień, wysyłek i rejestracji; dochodzenie ws. wycieku danych”. (ASKUL)
  2. The Record (Recorded Future News, 20.10.2025): przegląd incydentu, wpływ na MUJI/Loft/Sogo & Seibu, status dochodzenia. (The Record from Recorded Future)
  3. Japan Times/Bloomberg (21.10.2025): efekt na rynek, lista dotkniętych detalistów, kontekst wcześniejszych incydentów. (The Japan Times)
  4. MUJI (Ryohin Keikaku) – komunikat (20.10.2025): potwierdzenie wstrzymania e-commerce/app z powodu problemów w Askul Logist; sklepy stacjonarne bez zmian. (ryohin-keikaku.jp)
  5. Loft – „ważne ogłoszenie” (20.10.2025): zatrzymanie sklepu online z powodu zakłóceń logistycznych. (loft.co.jp)

Google identyfikuje trzy nowe rodziny malware rosyjskiego COLDRIVER: NOROBOT, YESROBOT i MAYBEROBOT

Wprowadzenie do problemu / definicja luki

Google Threat Intelligence Group (GTIG) ujawniła 20 października 2025 r. trzy powiązane ze sobą rodziny malware wykorzystywane przez rosyjską grupę COLDRIVER (znaną też jako Star Blizzard, Callisto, UNC4057): NOROBOT (downloader DLL), YESROBOT (backdoor w Pythonie) oraz MAYBEROBOT (implant PowerShell). Zidentyfikowany łańcuch infekcji stanowi ewolucję wcześniejszych kampanii z przynętą „ClickFix” i fałszywą weryfikacją CAPTCHA, których celem jest nakłonienie użytkownika do ręcznego uruchomienia złośliwego komponentu przez rundll32.exe.

W skrócie

  • COLDRIVER w ciągu 5 dni od publikacji analizy ich poprzedniego narzędzia (LOSTKEYS, maj 2025) wprowadził nowe „ROBOT-y”, znacząco zwiększając tempo rozwoju i modyfikacji TTP.
  • NOROBOT dostarcza kolejne etapy i przygotowuje środowisko; w najstarszych wariantach pobierał nawet pełną instalację Pythona 3.8 – artefakt głośny i łatwy do wykrycia.
  • YESROBOT to minimalny backdoor (Python/HTTPS, AES), zaobserwowany tylko dwukrotnie pod koniec maja 2025 r.; szybko go porzucono.
  • MAYBEROBOT (PowerShell) zastąpił YESROBOT: ma elastyczny protokół C2 i trzy komendy (pobierz/uruchom z URL, cmd.exe, blok PowerShell).
  • Zscaler śledzi część tego łańcucha jako BAITSWITCH (NOROBOT) i SIMPLEFIX (MAYBEROBOT); kampanie wykorzystywały przynęty ClickFix.

Kontekst / historia / powiązania

COLDRIVER od lat specjalizuje się w wyrafinowanym phishingu ukierunkowanym na NGO, think-tanki, doradców politycznych i dysydentów w krajach NATO. NCSC UK i CISA dokumentowały aktywność tej grupy jako Star Blizzard, przypisując jej operacje cyberszpiegowskie na rzecz interesów rosyjskich. W 2025 r. Google opisał LOSTKEYS – kradnący pliki stealer – oraz zwrot ku mechanice ClickFix, wcześniej obserwowanej m.in. przez Proofpoint również u aktorów państwowych.

Analiza techniczna / szczegóły luki

Wejście: ClickFix + CAPTCHA → rundll32.exe

  • Użytkownik trafia na stronę z fałszywą CAPTCHA (wariant przynęty COLDCOPY), która instruuje, by „zweryfikować człowieczeństwo” poprzez pobranie i uruchomienie DLL-a z użyciem rundll32.exe (np. plik „iamnotarobot.dll”, eksport humanCheck).

Etap 1: NOROBOT (downloader DLL)

  • Zadania: przygotowanie hosta, utrwalenie, pobranie kolejnych etapów z twardo zakodowanego C2.
  • Wczesny NOROBOT: dzielony klucz kryptograficzny (część w rejestrze, część w pliku), harmonogram zadań, pobieranie pełnego Python 3.8 i modułów (bitsadmin) – to prowadziło do YESROBOT.
  • Późniejsze NOROBOT: uproszczony łańcuch (logon script), rotacja infrastruktury/nazw plików/eksportów.

Etap 2a: YESROBOT (Python backdoor – szybko zarzucony)

  • C2 przez HTTPS, polecenia zaszyfrowane AES, identyfikacja hosta w nagłówku User-Agent. Minimalna funkcjonalność – każde polecenie musi być poprawnym kodem Python. Zaobserwowane dwa wdrożenia przez ~2 tygodnie w maju 2025 r.

Etap 2b: MAYBEROBOT (PowerShell implant – obecny standard)

  • Ciąg znaków C2, protokół obsługujący: (1) pobierz/uruchom z URL, (2) wykonaj polecenie przez cmd.exe, (3) wykonaj blok PowerShell; potwierdzenia i wyniki na osobnych ścieżkach. Bardziej elastyczny, bez potrzeby instalacji Pythona. W nomenklaturze Zscalera: SIMPLEFIX.

Nazewnictwo i powiązania

  • NOROBOT ≈ BAITSWITCH, MAYBEROBOT ≈ SIMPLEFIX (Zscaler ThreatLabz, IX–X 2025).

Praktyczne konsekwencje / ryzyko

  • Wzrost tempa operacji: szybkie przełączanie narzędzi po deanonimizacji (5 dni po publikacji LOSTKEYS) utrudnia detekcję opartą na wskaźnikach.
  • Technika ClickFix: socjotechnika wymuszająca manualne uruchomienie złośliwego kodu obchodzi wiele polityk kontroli skryptów i utrudnia klasyczne filtrowanie e-mail. Proofpoint raportował upowszechnienie ClickFix również u aktorów państwowych.
  • Priorytetyzacja celów: GTIG ocenia, że NOROBOT/MAYBEROBOT są zarezerwowane dla wysokowartościowych celów, być może już wcześniej wyłudzonych phishingiem (eskalacja z kradzieży kont do eksfiltracji z hosta).

Rekomendacje operacyjne / co zrobić teraz

Prewencja i twardnienie stacji roboczych

  1. Zablokuj uruchamianie rundll32.exe z katalogów użytkownika / pobierania (WDAC/AppLocker, SRP), monitoruj nietypowe ścieżki DLL.
  2. Wymuś Constrained Language Mode/AMS podpisy w PowerShell, blokuj bitsadmin/curl/Invoke-WebRequest z niezaufanych kontekstów.
  3. Wdróż Attack Surface Reduction (ASR): blokowanie tworzenia zadań harmonogramu przez nieluźno zaufane procesy, ogranicz WMI i skrypty logon.
  4. Ogranicz instalacje Pythona na endpointach; wykrywaj nagłe pojawienie się katalogów typu %APPDATA%\Python38-64\. (artefakt wczesnego łańcucha).

Detekcja (przykładowe sygnały behawioralne)

  • Sekwencja: przeglądarka → pobranie DLL → rundll32.exe z parametrem exportu nietypowej nazwy (humanCheck) → komunikacja HTTPS do rzadkiej domeny/C2 → tworzenie zadania „System health check” → wywołanie Pythona/PowerShella.
  • Anomalia w User-Agent i nietypowe endpointy ACK/OUT w ścieżkach C2 (MAYBEROBOT).

Hunting / logi do korelacji

  • Sysmon: Event ID 1/7 (process/create), 3 (network), 11 (file create), 13 (registry), 19/20/21 (WMI), 24/25 (clipboard jeśli stosowane).
  • Windows Task Scheduler operational log (Microsoft-Windows-TaskScheduler/Operational) pod kątem nazwy „System health check”.

Szybkie playbooki reakcji

  • Izoluj host; zbierz scheduled tasks, klucze rejestru z przestrzeni HKCU\SOFTWARE\Classes.pietas (jeśli obecne), ślady bitsadmin.
  • Zastosuj blokadę wycieków (DLP) i tymczasową segmentację sieci dla kont wysokiego ryzyka.

Różnice / porównania z innymi przypadkami

  • LOSTKEYS (V1, maj 2025) vs ROBOT-y (X 2025): przejście od prostego stealera do elastycznych implantów operacyjnych (szczególnie PowerShell), rezygnacja z ciężkiego runtime (Python) na rzecz stealth.
  • ClickFix w 2025 r.: wcześniej kojarzony z cyberprzestępczością; od Q1–Q2 2025 r. Proofpoint dokumentuje jego adopcję przez aktorów państwowych (Rosja, Iran, Korea Płn.). COLDRIVER wpisuje się w ten trend.
  • Nazewnictwo: GTIG (NOROBOT/YESROBOT/MAYBEROBOT) vs Zscaler (BAITSWITCH/SIMPLEFIX) – to te same elementy łańcucha widziane z różnych etapów telemetrycznych.

Podsumowanie / kluczowe wnioski

COLDRIVER przyspieszył cykl eksponowanie → retooling → redeployment, co wymaga od obrońców skupienia się na behawioralnych wskaźnikach ataku (rundll32 z nietypowych lokalizacji, harmonogram, PowerShell C2), a nie wyłącznie na IOC. Elastyczny MAYBEROBOT oraz stale modyfikowany NOROBOT sugerują operacje precyzyjne przeciw celom wysokiej wartości, prawdopodobnie jako kolejny etap po udanym phishingu.

Źródła / bibliografia

  1. Google Cloud – To Be (A Robot) or Not to Be: New Malware Attributed to Russia State-Sponsored COLDRIVER (20.10.2025). (Google Cloud)
  2. Zscaler ThreatLabz – COLDRIVER Updates Arsenal with BAITSWITCH and SIMPLEFIX (24.09.2025). (Zscaler)
  3. Proofpoint – Around the World in 90 Days: State-Sponsored Actors Try ClickFix (17.04.2025). (Proofpoint)
  4. CISA / NCSC UK – Russian FSB cyber actor Star Blizzard continues worldwide spear-phishing campaigns (07.12.2023) — tło/atrybucja. (CISA)
  5. The Hacker News – Google Identifies Three New Russian Malware Families Created by COLDRIVER Hackers (21.10.2025). (The Hacker News)

NIS2 – Nowa Dyrektywa UE W Sprawie Cyberbezpieczeństwa: Cele, Zakres I Znaczenie Dla Organizacji

NIS2 w skrócie – po co powstała i co zmienia dla organizacji

Dyrektywa NIS2 (Network and Information Systems 2) to unijne prawo dotyczące cyberbezpieczeństwa, będące następcą pierwszej dyrektywy NIS z 2016 roku (tzw. NIS1). Stanowi ona znaczący krok naprzód w wysiłkach UE na rzecz wzmocnienia cyberbezpieczeństwa w kluczowych sektorach gospodarki.

Czytaj dalej „NIS2 – Nowa Dyrektywa UE W Sprawie Cyberbezpieczeństwa: Cele, Zakres I Znaczenie Dla Organizacji”

Everest ransomware bierze na siebie odpowiedzialność za atak na Collins Aerospace. Co to oznacza dla lotnictwa w Europie?

Wprowadzenie do problemu / definicja luki

Grupa ransomware Everest ogłosiła, że to ona stoi za włamaniem do Collins Aerospace (spółka RTX), którego skutki odczuwalne były w całej Europie — od paraliżu odpraw po wielogodzinne opóźnienia. Nowa deklaracja na stronie wycieków grupy pojawiła się 17–18 października 2025 r., kilka tygodni po tym, jak Collins potwierdził incydent ransomware dotyczący oprogramowania do boardingu pasażerów. Wcześniej służby i media nie wskazywały jednoznacznie sprawców ataku.

W skrócie

  • Co się stało: Collins Aerospace padł ofiarą ataku ransomware, który zakłócił odprawy i nadawanie bagażu na lotniskach m.in. w Londynie (Heathrow), Brukseli, Dublinie i Berlinie. ENISA potwierdziła charakter ataku jako ransomware.
  • Nowy element: Grupa Everest publicznie przypisała sobie odpowiedzialność i zapowiedziała publikację wykradzionych danych.
  • Stan formalny: RTX w zgłoszeniu inwestorskim podał, że chodziło o oprogramowanie do boardingu pasażerów; spółka nie spodziewa się istotnego wpływu finansowego. Równolegle w Wielkiej Brytanii zatrzymano (warunkowo zwolniono) mężczyznę w związku ze sprawą, lecz śledztwo trwa.

Kontekst / historia / powiązania

Atak z września 2025 r. wymusił ręczną obsługę pasażerów na wielu lotniskach i spowodował odwołania lotów. W tamtym czasie nie było potwierdzonej identyfikacji grupy. Dopiero teraz Everest przypisuje sobie odpowiedzialność, ujawniając wpis na stronie wycieków i zapowiadając „transze” danych. Media branżowe i regionalne odnotowały ten zwrot, podkreślając związek ze wcześniejszym chaosem na lotniskach.

Analiza techniczna / szczegóły luki

  • Wektor uderzenia: RTX wskazał na „passenger boarding software” – klasę systemów krytycznych dla procesu odprawy i wejścia na pokład (CUTE/CUPPS), wdrażanych u wielu przewoźników i operatorów. Uderzenie w taką warstwę oprogramowania ma efekt kaskadowy (łańcuch dostaw).
  • Taktyki sprawców (TTPs) – wnioskowanie na podstawie znanych kampanii ransomware i deklaracji Everest: kradzież danych (double extortion), szyfrowanie zasobów produkcyjnych, groźba publikacji danych w razie braku okupu. Informacje z wpisów monitorujących leak-site Everest wskazują na publikację wpisu dotyczącego Collins/RTX w dniach 17–18 października.
  • Skala i propagacja zakłóceń: zakłócenia objęły wiele hubów (Heathrow, Bruksela, Berlin, Dublin), co potwierdza wrażliwość sektora lotniczego na jednopunktowe awarie po stronie dostawcy.

Praktyczne konsekwencje / ryzyko

  • Ryzyko operacyjne: przestoje w odprawach, ręczne procesy, korki w terminalach, utrata slotów, domino w siatce połączeń.
  • Ryzyko prawne i reputacyjne: potencjalny wyciek danych pasażerów lub partnerów, presja regulacyjna (NIS2, RODO), roszczenia kontraktowe. (Deklaracje publikacji danych przez Everest zwiększają ryzyko wtórnych nadużyć).
  • Ryzyko finansowe: choć RTX raportował brak „materialnego” wpływu, koszty incydentu po stronie linii i lotnisk (opóźnienia, personel, rekompensaty) mogą być znaczące – zwykle nieujmowane w raporcie dostawcy.

Rekomendacje operacyjne / co zrobić teraz

Dla operatorów lotnisk i linii lotniczych:

  1. Modelowanie ryzyka łańcucha dostaw (CUPPS/CUTE/MUSE i integracje) – klasyfikacja komponentów „single point of failure”, audyty i plany awaryjne z realnym RTO/RPO.
  2. Segmentacja i „blast radius” – oddzielenie sieci operacyjnych (airside/landsid e), kontrola lateral movement, tiered admin, „break-glass” konta offline.
  3. Kontrole tożsamości – phishing-resistant MFA dla kont uprzywilejowanych, rotacja kluczy API integrujących DCS/Departure Control.
  4. Telemetria i EDR/XDR – pełne logowanie na serwerach aplikacyjnych i brokerach integracyjnych (SITA/Amadeus itp.), korelacja zdarzeń z IOC/TTP grup ransomware.
  5. Kopie zapasowe i runbooki manualne – offline immutable backups + ćwiczenia tabletop z przejściem na manual check-in/boarding.
  6. Zarządzanie dostawcami – kontraktowe SLA bezpieczeństwa, SBOM, dowody testów backup/restore, regularne red team/supply chain ćwiczenia.

Dla dostawców oprogramowania lotniczego:

  1. Bezpieczny rozwój i hardening (CISA/ENISA good practices dla oprogramowania krytycznego), izolacja tenantów, kontrola aktualizacji.
  2. Detekcja exfiltracji – DLP na warstwie aplikacyjnej, egress filtering, honeytokens w danych PII.
  3. Plan odpowiedzialnej komunikacji – spójne advisory dla klientów (IOC, TTP, reguły detekcji, kroki naprawcze).

(Praktyki powyżej wynikają z dobrych praktyk dla incydentów ransomware w infrastrukturze krytycznej oraz z charakteru tego ataku potwierdzonego przez RTX/ENISA).

Różnice / porównania z innymi przypadkami

  • Wobec typowych ataków na linie lotnicze: tu głównym celem był dostawca oprogramowania, a nie pojedynczy przewoźnik. To tłumaczy szeroki, wielolotniskowy efekt.
  • Na tle „głośnych” kampanii (np. Scattered Spider): motywacja Everest wpisuje się w trend łączenia okupu z „prestiżem” w środowisku przestępczym – co podkreślali eksperci po wrześniowym chaosie.

Podsumowanie / kluczowe wnioski

  • Deklaracja Everest domyka najważniejszy znak zapytania: kto uderzył w Collins Aerospace. Formalnego potwierdzenia organów na razie brak, ale wpisy na leak-site i relacje branżowe są spójne czasowo.
  • Rdzeniem incydentu był atak ransomware na oprogramowanie do boardingu, co obnażyło kruchość łańcucha dostaw lotniczych.
  • Organizacje lotnicze powinny potraktować zdarzenie jako case study i wzmocnić segmentację, planowanie ciągłości działania oraz egzekwowanie wymagań bezpieczeństwa wobec dostawców.

Źródła / bibliografia

  • Cybersecurity Dive: „RTX confirms hack of passenger boarding software involved ransomware” (26 września 2025). (Cybersecurity Dive)
  • Reuters: „Airport chaos highlights rise in high-profile ransomware attacks…” (22 września 2025). (Reuters)
  • Reuters: „UK police arrest man over hack that affected European airports” (24 września 2025). (Reuters)
  • CyberNews: „Collins Aerospace attack claimed by Everest…” (18 października 2025). (Cybernews)
  • Security Affairs: „Everest Gang takes credit for Collins Aerospace breach” (18 października 2025). (Security Affairs)

Nowy backdoor .NET „CAPI” atakuje rosyjską motoryzację i e-commerce przez ZIP-y z LNK

Wprowadzenie do problemu / definicja luki

Badacze z Seqrite Labs opisali nową kampanię wymierzoną w rosyjski sektor motoryzacyjny i e-commerce, wykorzystującą dotychczas nieudokumentowane złośliwe oprogramowanie .NET nazwane CAPI Backdoor. Dystrybucja odbywa się przez spreparowane wiadomości e-mail z archiwum ZIP zawierającym skrót LNK i przynętę PDF dotyczącą zmian w podatku dochodowym. Pierwsze artefakty kampanii pojawiły się w VirusTotal 3 października 2025 r.; szczegóły publicznie opisano 17–18 października 2025 r.

W skrócie

  • Wektor wejścia: spear-phishing z archiwum ZIP zawierającym LNK, który uruchamia DLL backdoora przez rundll32.exe (living-off-the-land).
  • Zdolności CAPI: kradzież danych z przeglądarek (Chrome/Edge/Firefox), zrzuty katalogów, screenshoty, rozpoznanie systemu, anty-VM, persystencja (Startup LNK + zaplanowane zadanie).
  • Infrastruktura: domena podszywająca się pod carprice[.]ru (carprlce[.]ru) oraz C2 91.223.75[.]96.
  • Mapowanie do MITRE ATT&CK: T1566.001 (Spearphishing Attachment), T1218.011 (Signed Binary Proxy Execution: rundll32), T1113 (Screen Capture), T1555.003 (Credentials from Web Browsers) itd.

Kontekst / historia / powiązania

Zastosowanie rundll32.exe jako LOLBin jest od lat popularnym sposobem „proxy execution”, pozwalającym ukryć złośliwy kod za podpisanym binarium Microsoftu i obchodzić niektóre polityki kontroli aplikacji. Technika ta jest skatalogowana w MITRE ATT&CK jako T1218.011 i szeroko opisywana przez branżę (np. Red Canary).
O kampanii „CAPI Backdoor” jako pierwsi szczegółowo napisali badacze Seqrite; wątek podchwyciły media branżowe, m.in. The Hacker News.

Analiza techniczna / szczegóły luki

Łańcuch infekcji. ZIP o nazwie w języku rosyjskim (np. „Перерасчет заработной платы 01.10.2025”) zawiera:

  1. przynętę PDF o zmianach PIT, 2) skrót LNK o tej samej nazwie. Kliknięcie LNK uruchamia rundll32.exe z parametrami wskazującymi na export „config” w bibliotece adobe.dll (alias client6.dll), co inicjuje komunikację z C2.

Funkcje CAPI Backdoor (wybór):

  • IsAdmin – sprawdza uprawnienia administracyjne przez SID.
  • av – enumeracja zainstalowanych AV przy użyciu zapytań WMI.
  • OpenPdfFile – otwarcie przynęty PDF (kamuflaż).
  • Connect/ReceiveCommands/ExecuteCommand – połączenie TCP na porcie 443 z 91.223.75[.]96, odbiór i wykonywanie poleceń (m.in. listowanie katalogów, exfiltracja).
  • dmp1/dmp2/dmp3 – kradzież profili i kluczy przeglądarek Edge/Chrome/Firefox (pliki historii, zakładki, Local State/klucze).
  • screen – screenshot z oznaczeniem czasu.
  • IsLikelyVm – zestaw heurystyk anty-VM: hypervisor, rejestr, SMBIOS, PnP, OUI MAC, GPU/dostawcy dysków, bateria/chassis, OEM.
  • persist1/persist2 – kopiowanie DLL do AppData\Roaming\Microsoft i autostart przez Startup LNK; dodatkowo Scheduled Task „AdobePDF” (opóźnienie 1 h, cykliczność co godzinę przez 7 dni).

Techniki ATT&CK (mapowanie):

  • T1566.001 – spear-phishing z załącznikiem (ZIP/LNK/PDF).
  • T1218.011 – wykonanie DLL przez rundll32.exe (LOLBAS).
  • T1555.003 – wykradanie poświadczeń/prywatnych danych z przeglądarek. (opisane przez Seqrite w kontekście profili przeglądarek).
  • T1113 – przechwytywanie ekranu.

Praktyczne konsekwencje / ryzyko

  • Kradzież danych klientów i płatności przez eksfiltrację profili przeglądarek (ciasteczka, tokeny sesyjne, historię, hasła – jeśli możliwy dostęp do kluczy lokalnych).
  • Utrzymanie długotrwałego dostępu dzięki podwójnej persystencji (Startup + Scheduled Task).
  • Uwiarygodnienie phishingu przez lokalny kontekst podatkowy (dokument PIT w języku rosyjskim), co zwiększa współczynnik kliknięć.
  • Utrudnione wykrywanie z uwagi na abuse podpisanego binarium rundll32.exe (LOLBIN).

Rekomendacje operacyjne / co zrobić teraz

  1. E-mail & brama: blokowanie archiwów ZIP z plikami .lnk; sandboxing załączników; skan treści w języku lokalnym (ruleset dla słów kluczowych dot. „перерасчет”, „налог”). Mapować kontrole do T1566.001.
  2. EDR/telemetria: alerty na nietypowe wywołania rundll32.exe ładujące z katalogów użytkownika, z parametrem nazwy eksportu (np. config), połączone z komunikacją sieciową. Wspierają to reguły/Sigma i wytyczne LOLBAS.
  3. Kontrola przeglądarek: monitorowanie dostępu do plików profili (Chrome/Edge/Firefox) i nieoczekiwanej kompresji ZIP tych zasobów przez procesy spoza przeglądarek. (na podstawie opisu funkcji dmp1–dmp3).
  4. Persistence hunting: przegląd Startup (lnk) i zadań Harmonogramu (np. „AdobePDF”), w szczególności wpisów wskazujących na rundll32.exe z DLL w AppData\Roaming\Microsoft.
  5. Blokady sieciowe: tymczasowe denylisty dla carprlce[.]ru i 91.223.75[.]96; monitorowanie i blokowanie ruchu wychodzącego TLS do nietypowych hostów/ASN z hostów końcowych.
  6. Szkolenia i symulacje: kampanie uświadamiające o plikach LNK w archiwach ZIP; testy phishingowe imitujące lokalne komunikaty podatkowe. (praktyka zgodna z ATT&CK T1566.*).
  7. Twardnienie stacji roboczych: polityki, które uniemożliwiają uruchamianie DLL z profili użytkowników przez rundll32.exe (AppLocker/WDAC) oraz ograniczenie wykonywania LNK z katalogów tymczasowych. (zob. znane sposoby nadużycia rundll32 i zalecenia branżowe).

Różnice / porównania z innymi przypadkami

  • W odróżnieniu od typowych kampanii z makrami Office, tutaj wektor LNK → rundll32 → DLL minimalizuje zależności od pakietu Office i zwiększa skuteczność na zablokowanych makrach.
  • CAPI łączy stealer + backdoor (zbieranie profili przeglądarek + zadania zdalne), co nadaje mu większą elastyczność niż klasyczne „pure stealers”.

Podsumowanie / kluczowe wnioski

Kampania CAPI Backdoor jest kolejnym przypomnieniem, że LOLBIN-y (tu: rundll32.exe) pozostają skutecznym nośnikiem wykonania w łańcuchach phishingowych. Obrona powinna koncentrować się na telemetrii procesów, korelacji z ruchem sieciowym, łapaniu persystencji oraz higienie załączników (w szczególności ZIP + LNK). Wdrożenie detekcji mapowanych do T1566.001 i T1218.011 oraz regularne polowanie na artefakty Startup/Task Scheduler znacząco ograniczy okno zagrożeń.

Źródła / bibliografia

  1. Seqrite Labs: „Operation MotorBeacon: Threat Actor targets Russian Automotive Sector using .NET Implant”, 17 października 2025 r. (Seqrite)
  2. The Hacker News: „New .NET CAPI Backdoor Targets Russian Auto and E-Commerce Firms via Phishing ZIPs”, 18 października 2025 r. (The Hacker News)
  3. LOLBAS – rundll32.exe (opis nadużyć, ścieżki, przykłady) (lolbas-project.github.io)
  4. MITRE ATT&CK T1218.011 – Signed Binary Proxy Execution: rundll32 (MITRE ATT&CK)
  5. MITRE ATT&CK T1566.001 – Spearphishing Attachment (MITRE ATT&CK)