Archiwa: PowerShell - Strona 14 z 41 - Security Bez Tabu

Tag: PowerShell

Storm-1175 przyspiesza ataki Medusa ransomware dzięki lukom zero-day i N-day

Cybersecurity news

Wprowadzenie do problemu / definicja

Storm-1175 to nazwa nadana przez Microsoft grupie cyberprzestępczej działającej z motywacją finansową, która specjalizuje się w błyskawicznym przechodzeniu od uzyskania dostępu do środowiska ofiary do kradzieży danych i wdrożenia ransomware Medusa. Najnowsze obserwacje wskazują, że napastnicy wykorzystują zarówno luki typu N-day, czyli już ujawnione publicznie, ale nadal niezałatane, jak i wybrane podatności zero-day używane jeszcze przed ich oficjalnym disclosure.

Taki model działania znacząco skraca czas dostępny na reakcję. W praktyce organizacje narażone są na scenariusz, w którym kompromitacja systemu brzegowego bardzo szybko prowadzi do ruchu lateralnego, eksfiltracji danych i szyfrowania zasobów.

W skrócie

  • Storm-1175 koncentruje się na podatnych systemach webowych dostępnych z internetu.
  • Grupa potrafi przejść od włamania do wdrożenia Medusa ransomware w ciągu kilku dni, a czasem nawet w mniej niż 24 godziny.
  • Microsoft łączy tego aktora z eksploatacją ponad 16 podatności od 2023 roku.
  • W kampaniach obserwowano użycie legalnych narzędzi administracyjnych i RMM, co utrudnia wykrycie.
  • Ataki obejmują zarówno środowiska Windows, jak i wybrane systemy linuksowe.

Kontekst / historia

Storm-1175 nie jest nowym aktorem, jednak najnowsze analizy pokazują wzrost jego dojrzałości operacyjnej. W poprzednich kampaniach grupa była wiązana z wykorzystywaniem luk w Microsoft Exchange, PaperCut, Ivanti Connect Secure i Policy Secure, a także w innych usługach wystawionych do internetu. W jednym z wcześniejszych przypadków wykorzystywano łańcuch podatności w lokalnych serwerach Exchange, gdzie jedna luka zapewniała dostęp początkowy, a kolejna umożliwiała zdalne wykonanie kodu.

Z czasem repertuar technik został rozszerzony o kolejne platformy i wektory wejścia. Microsoft zwraca uwagę, że operatorzy atakowali także systemy linuksowe, w tym podatne instancje Oracle WebLogic. Szczególnie istotna jest jednak obserwacja użycia co najmniej trzech zero-day, co może wskazywać na dostęp do bardziej zaawansowanych zdolności exploitacyjnych lub współpracę z dostawcami exploitów.

Analiza techniczna

Techniczny przebieg operacji Storm-1175 odpowiada nowoczesnemu modelowi ransomware intrusion. Napastnicy rozpoczynają od szybkiego uzyskania initial access przez podatne systemy brzegowe, następnie umacniają obecność, prowadzą rozpoznanie środowiska, pozyskują poświadczenia, przemieszczają się bocznie, wykradają dane, a na końcu uruchamiają ładunek szyfrujący Medusa.

Punktem wejścia są najczęściej aplikacje webowe i usługi dostępne publicznie. Grupa skutecznie wykorzystuje okno czasowe pomiędzy ujawnieniem podatności a wdrożeniem poprawek przez organizacje. W części incydentów atakujący mieli korzystać z zero-day jeszcze przed ich publicznym ujawnieniem. Po uzyskaniu dostępu tworzone są nowe konta użytkowników, wdrażane są web shelle lub instalowane narzędzia zdalnego zarządzania, które pozwalają utrzymać trwały dostęp.

W dalszej fazie operatorzy stosują podejście living-off-the-land. Zamiast opierać się wyłącznie na własnym malware, wykorzystują legalne i powszechnie obecne narzędzia administracyjne, takie jak PowerShell, PsExec czy komponenty pakietu Impacket. Do ruchu lateralnego i dystrybucji ładunków używane były także PDQ Deploy oraz rozwiązania RMM, w tym AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect i SimpleHelp.

Kolejnym etapem jest osłabianie mechanizmów obronnych i przejmowanie poświadczeń. W raportowanych incydentach pojawiały się techniki credential dumpingu z użyciem Mimikatz i Impacket, zmiany w zaporze systemu Windows w celu otwarcia RDP oraz dodawanie wyjątków w rozwiązaniach ochronnych, aby ułatwić uruchomienie ransomware. Do pakowania danych wykorzystywano między innymi Bandizip, a do eksfiltracji narzędzie Rclone.

Konsekwencje / ryzyko

Najpoważniejszym zagrożeniem jest bardzo krótki czas między kompromitacją a etapem destrukcyjnym. Jeśli organizacja bazuje głównie na wykrywaniu końcowych objawów ataku, takich jak szyfrowanie plików czy pojawienie się noty okupu, reakcja może nadejść zbyt późno. Dodatkowym utrudnieniem jest użycie legalnych narzędzi administracyjnych, których aktywność może przypominać rutynowe działania zespołów IT.

Skutki potencjalnego incydentu obejmują nie tylko przestój operacyjny, lecz także wyciek danych, koszty odtworzenia infrastruktury, konieczność obsługi zgłoszeń regulacyjnych i ryzyko reputacyjne. Szczególnie narażone pozostają sektory ochrony zdrowia, edukacji, usług profesjonalnych i finansów, które według obserwacji były częstym celem ostatnich kampanii.

Rekomendacje

Organizacje powinny priorytetowo traktować ochronę zasobów wystawionych do internetu. Niezbędne są ciągłe mapowanie powierzchni ataku, dokładna inwentaryzacja usług webowych i ograniczanie ekspozycji systemów, które nie muszą być publicznie dostępne. Równie ważne pozostaje rygorystyczne zarządzanie poprawkami dla aplikacji brzegowych, serwerów pocztowych, platform MFT, usług VPN i paneli administracyjnych.

W warstwie detekcyjnej warto monitorować zachowania charakterystyczne dla szybkiego post-exploitation. Dotyczy to zwłaszcza tworzenia nowych kont uprzywilejowanych, nietypowego użycia PowerShell, PsExec, WMI i Impacket, instalacji narzędzi RMM poza standardowym procesem zmian, modyfikacji reguł zapory oraz prób dodawania wykluczeń w systemach AV i EDR.

Kluczowe znaczenie mają także segmentacja sieci, zasada least privilege, separacja kont administracyjnych, obowiązkowe MFA dla dostępu zdalnego oraz zdolność szybkiej izolacji hostów wykazujących oznaki ruchu lateralnego. Dodatkowo warto wdrożyć monitoring narzędzi archiwizujących i eksfiltracyjnych, takich jak Rclone, oraz analizę nietypowych transferów danych do zewnętrznych lokalizacji.

Nie można pomijać odporności operacyjnej. Kopie zapasowe powinny być logicznie lub fizycznie odseparowane, regularnie testowane i zabezpieczone przed modyfikacją z poziomu skompromitowanej domeny. Zespoły SOC i IR powinny posiadać gotowe playbooki na scenariusz, w którym napastnik przechodzi od wejścia do pełnego wdrożenia ransomware w czasie krótszym niż jedna doba.

Podsumowanie

Storm-1175 pokazuje, że nowoczesne operacje ransomware mają coraz bardziej precyzyjny i wysokotempo charakter. Połączenie eksploatacji luk w systemach brzegowych, stosowania legalnych narzędzi administracyjnych oraz szybkiej eskalacji do wdrożenia Medusa ransomware tworzy wyjątkowo groźny profil zagrożenia. Dla obrońców oznacza to konieczność skracania czasu detekcji, poprawy widoczności aktywów internet-facing oraz monitorowania subtelnych oznak kompromitacji jeszcze przed etapem szyfrowania.

Źródła

  1. https://thehackernews.com/2026/04/china-linked-storm-1175-exploits-zero.html
  2. https://www.microsoft.com/en-us/security/blog/2026/04/06/storm-1175-focuses-gaze-on-vulnerable-web-facing-assets-in-high-tempo-medusa-ransomware-operations/
  3. https://www.microsoft.com/en-us/security/blog/2025/10/06/investigating-active-exploitation-of-cve-2025-10035-goanywhere-managed-file-transfer-vulnerability/

Kampania DPRK wykorzystuje GitHub jako kanał C2 w atakach na organizacje w Korei Południowej

Cybersecurity news

Wprowadzenie do problemu / definicja

Zaawansowane kampanie APT coraz częściej wykorzystują legalne usługi internetowe jako element infrastruktury dowodzenia i kontroli. Dzięki temu ruch sieciowy do popularnych platform może wyglądać wiarygodnie i nie wzbudzać podejrzeń, zwłaszcza jeśli organizacja dopuszcza komunikację z powszechnie używanymi serwisami deweloperskimi.

Najnowsza kampania przypisywana podmiotom powiązanym z Koreą Północną pokazuje, że GitHub może pełnić nie tylko rolę hostingu dla złośliwych plików, ale również funkcjonować jako pełnoprawny kanał C2. Celem operacji są organizacje w Korei Południowej, a cały łańcuch ataku został zaprojektowany tak, by utrudnić wykrycie i analizę incydentu.

W skrócie

Atak rozpoczyna się od złośliwego pliku LNK, najprawdopodobniej dostarczanego w wiadomościach phishingowych. Po jego uruchomieniu ofiara widzi dokument-wabik, natomiast w tle uruchamiany jest skrypt PowerShell odpowiedzialny za rozpoznanie środowiska, ustanowienie persystencji i komunikację z repozytorium GitHub kontrolowanym przez napastników.

  • Punkt wejścia stanowi plik skrótu LNK.
  • W tle uruchamiany jest PowerShell bez wyraźnej interakcji z użytkownikiem.
  • Malware sprawdza, czy działa w środowisku analitycznym lub maszynie wirtualnej.
  • Persystencja jest utrzymywana za pomocą zaplanowanego zadania systemowego.
  • GitHub służy zarówno do eksfiltracji danych rekonesansowych, jak i pobierania dalszych poleceń.

Kontekst / historia

Opisana operacja wpisuje się w szerszy wzorzec aktywności grup powiązanych z północnokoreańskim ekosystemem zagrożeń, w tym technik obserwowanych wcześniej w kampaniach przypisywanych Kimsuky. W poprzednich incydentach aktorzy ci wykorzystywali już pliki LNK, PowerShell oraz legalne usługi chmurowe do pobierania kolejnych etapów infekcji i utrzymywania trwałego dostępu do systemów ofiar.

W nowszych wariantach takich kampanii widoczny jest nacisk na ograniczenie użycia klasycznych plików wykonywalnych i większe wykorzystanie natywnych narzędzi systemowych. Taka strategia utrudnia wykrywanie przez rozwiązania opierające się głównie na sygnaturach i prostych wskaźnikach kompromitacji. Dodatkowo obserwowane były podobne łańcuchy ataku rozwijane w kierunku wdrażania backdoorów opartych na Pythonie oraz użycia innych zaufanych usług jako pośrednich kanałów dostarczania ładunków.

Analiza techniczna

Początkowy etap infekcji opiera się na zaciemnionym pliku LNK. Po jego otwarciu użytkownik otrzymuje pozornie nieszkodliwy dokument PDF, co ma odwrócić uwagę od faktycznych działań wykonywanych w tle. Równolegle uruchamiany jest PowerShell, który działa w sposób ukryty i bez widocznych oznak dla ofiary.

Następnie skrypt przeprowadza kontrolę środowiska uruchomieniowego. Sprawdzane są artefakty charakterystyczne dla maszyn wirtualnych, debuggerów oraz narzędzi analitycznych. Jeśli system zostanie uznany za środowisko badawcze, kod kończy działanie, co wskazuje na wdrożenie mechanizmów anti-analysis oraz antysandbox.

Jeżeli host przejdzie etap weryfikacji, malware wyodrębnia komponent VBScript i tworzy persystencję przy użyciu harmonogramu zadań systemu Windows. Zaplanowane zadanie uruchamia ładunek PowerShell cyklicznie, zwykle w ukrytym oknie, co pozwala utrzymać dostęp po restarcie systemu i zmniejsza szansę na szybkie wykrycie.

Kolejny etap obejmuje profilowanie systemu ofiary. Zbierane są informacje o hoście, które następnie trafiają do pliku dziennika i są przesyłane do repozytorium GitHub z wykorzystaniem osadzonego tokenu dostępowego. To samo repozytorium może następnie dostarczać kolejne instrukcje, konfigurację lub dodatkowe moduły potrzebne do rozwinięcia ataku.

Z perspektywy obronnej szczególnie istotne jest to, że operatorzy opierają się głównie na legalnych narzędziach systemowych i zaufanych usługach sieciowych. W praktyce oznacza to użycie podejścia living-off-the-land, które zmniejsza ślad na dysku i zaciera granicę między ruchem legalnym a aktywnością złośliwą.

Konsekwencje / ryzyko

Najpoważniejszym zagrożeniem jest możliwość ukrycia komunikacji C2 w zwykłym ruchu HTTPS do popularnej platformy deweloperskiej. Organizacje, które traktują taki ruch jako automatycznie zaufany, mogą przez długi czas nie zauważyć aktywności napastników. To szczególnie niebezpieczne w środowiskach, gdzie monitoring ruchu wychodzącego do usług chmurowych jest ograniczony.

Ryzyko obejmuje nie tylko rekonesans systemu, ale również trwałe utrzymanie dostępu, wykonywanie poleceń zdalnych i pobieranie dalszych modułów. W praktyce może to prowadzić do kradzieży danych, ruchu lateralnego, wdrożenia spyware lub backdoora, a także wykorzystania przejętej stacji roboczej do dalszych działań wywiadowczych.

Szczególnie narażone są instytucje publiczne, podmioty rządowe, sektor obronny, think tanki oraz firmy współpracujące z administracją. Tego typu kampanie mają zwykle charakter ukierunkowany i długoterminowy, dlatego skutki kompromitacji mogą być znacznie poważniejsze niż w przypadku masowych operacji cyberprzestępczych.

Rekomendacje

Organizacje powinny ograniczyć możliwość uruchamiania nieautoryzowanych plików LNK pochodzących z poczty elektronicznej, archiwów i folderów tymczasowych. W praktyce oznacza to wdrożenie polityk blokujących wykonywanie skrótów z niezaufanych lokalizacji oraz wzmocnienie filtracji wiadomości phishingowych zawierających podejrzane załączniki.

Niezbędne jest również monitorowanie użycia PowerShella, VBScript i harmonogramu zadań pod kątem nietypowych wzorców. Szczególną uwagę należy zwracać na ukryte okna, zakodowane polecenia, tworzenie cyklicznych zadań oraz połączenia sieciowe inicjowane przez interpretery skryptowe.

  • Włączyć rozszerzone logowanie PowerShell i rejestrowanie bloków skryptowych.
  • Audytować tworzenie i modyfikację zaplanowanych zadań.
  • Analizować komunikację wychodzącą do platform deweloperskich i repozytoriów.
  • Stosować zasadę najmniejszych uprawnień oraz segmentację sieci.
  • Ograniczać użycie interpreterów skryptowych tam, gdzie nie są potrzebne biznesowo.
  • Przygotować playbooki reagowania obejmujące analizę LNK, PowerShell, VBScript i tokenów API.

Warto także prowadzić regularny threat hunting pod kątem hostów, które cyklicznie łączą się z zewnętrznymi repozytoriami bez uzasadnienia biznesowego. W nowoczesnych środowiskach bezpieczeństwa kluczowa staje się korelacja telemetrii procesów, zadań systemowych i aktywności sieciowej.

Podsumowanie

Opisana kampania potwierdza, że zaawansowani aktorzy zagrożeń nadal skutecznie łączą phishing, pliki LNK, PowerShell oraz legalne usługi internetowe w celu budowy trudnych do wykrycia łańcuchów infekcji. Wykorzystanie GitHub jako kanału C2 zwiększa szanse na ukrycie działań w zwykłym ruchu sieciowym, a oparcie ataku na natywnych narzędziach Windows ogranicza liczbę oczywistych wskaźników kompromitacji.

Dla zespołów bezpieczeństwa oznacza to konieczność odejścia od prostego modelu zaufania do popularnych platform i skupienia się na analizie behawioralnej. Skuteczna obrona wymaga dziś nie tylko blokowania znanych zagrożeń, ale także monitorowania tego, jak legalne narzędzia i usługi są wykorzystywane w nietypowy sposób.

Źródła

Microsoft wiąże Storm-1175 z Medusą i atakami zero-day na systemy brzegowe

Cybersecurity news

Wprowadzenie do problemu / definicja

Microsoft powiązał grupę oznaczaną jako Storm-1175 z intensywnymi kampaniami ransomware wykorzystującymi rodzinę Medusa oraz z aktywnym nadużywaniem podatności typu N-day i wybranych luk zero-day. To ważny sygnał dla rynku, ponieważ pokazuje, że operatorzy związani z ekosystemem ransomware potrafią dziś bardzo szybko przejść od wykrycia słabego punktu do pełnoskalowego incydentu obejmującego kradzież danych i szyfrowanie systemów.

Z perspektywy obrońców oznacza to konieczność traktowania publicznie dostępnych usług jako priorytetowego obszaru ryzyka. Każde opóźnienie w aktualizacji lub niewystarczające monitorowanie systemów brzegowych może zostać wykorzystane w bardzo krótkim czasie.

W skrócie

Storm-1175 to grupa cyberprzestępcza motywowana finansowo, którą Microsoft łączy z wysokotempo­wymi operacjami ransomware Medusa. Atakujący koncentrują się na podatnych systemach wystawionych do internetu, a po uzyskaniu dostępu błyskawicznie przechodzą do utrwalenia obecności, eskalacji uprawnień, kradzieży poświadczeń, eksfiltracji danych i wdrożenia szyfrującego ładunku.

  • celem są przede wszystkim systemy web-facing i narzędzia administracyjne,
  • część incydentów rozwija się w ciągu 24 godzin,
  • grupa wykorzystuje zarówno podatności N-day, jak i wybrane zero-day,
  • w działaniach po kompromitacji szeroko używane są legalne narzędzia administracyjne i RMM,
  • atak kończy się zwykle modelem podwójnego wymuszenia: kradzież danych i szyfrowanie.

Kontekst / historia

Medusa od dłuższego czasu pozostaje jednym z aktywnych zagrożeń funkcjonujących w modelu ransomware-as-a-service. W takim układzie wspólne zaplecze techniczne i operacyjne może być wykorzystywane przez różnych operatorów oraz afiliantów, co zwiększa skalę i elastyczność kampanii.

W najnowszej analizie Microsoft wskazał, że Storm-1175 szczególnie skutecznie atakuje organizacje korzystające z publicznie dostępnych systemów brzegowych. Na liście obserwowanych celów znalazły się między innymi podmioty z sektorów ochrony zdrowia, edukacji, usług profesjonalnych oraz finansów. Wspólnym mianownikiem jest obecność kluczowych usług, które zapewniają zdalny dostęp lub stanowią punkt wejścia do infrastruktury.

Opis aktywności tej grupy wpisuje się w szerszy trend widoczny w krajobrazie zagrożeń: odejście od długiego rekonesansu na rzecz szybkiej i agresywnej eksploatacji. W praktyce oznacza to, że organizacje mają coraz mniej czasu na wykrycie ataku i jego zatrzymanie przed osiągnięciem przez przeciwnika krytycznych celów.

Analiza techniczna

Kluczowym elementem działań Storm-1175 jest szybka weaponizacja świeżo ujawnionych podatności. Microsoft opisał wykorzystanie ponad 16 luk w 10 różnych produktach, w tym w rozwiązaniach takich jak Microsoft Exchange, PaperCut, Ivanti Connect Secure i Policy Secure, ConnectWise ScreenConnect, JetBrains TeamCity, SimpleHelp, CrushFTP, GoAnywhere MFT, SmarterMail oraz BeyondTrust.

Szczególnie alarmujące są obserwacje dotyczące luk zero-day. W analizie wskazano między innymi CVE-2026-23760 w SmarterMail oraz wcześniejsze nadużywanie CVE-2025-10035 w GoAnywhere MFT jeszcze przed publicznym ujawnieniem. Choć grupa nadal szeroko korzysta z podatności N-day, zdolność do działania jeszcze przed publikacją szczegółów o luce sugeruje bardziej dojrzałe zaplecze techniczne lub dostęp do zewnętrznych dostawców exploitów.

Po uzyskaniu dostępu początkowego operatorzy przechodzą do znanego, lecz bardzo skutecznego łańcucha działań po kompromitacji. Tworzą nowe konta, nadają uprawnienia administracyjne, wdrażają web shelle lub inne ładunki dostępu zdalnego, a następnie rozpoczynają rekonesans i ruch boczny. W tym etapie wykorzystywane są narzędzia systemowe typu living-off-the-land, takie jak PowerShell i PsExec.

Na etapie lateral movement Storm-1175 używa również legalnych rozwiązań do zdalnego zarządzania. Wśród wskazanych narzędzi znalazły się Atera, N-able, DWAgent, MeshAgent, AnyDesk, ScreenConnect i SimpleHelp. Dodatkowo grupa korzystała z PDQ Deployer do dystrybucji ładunków oraz z frameworka Impacket do poruszania się po sieci i dalszej eksploatacji. Tego rodzaju aktywność jest szczególnie trudna do wykrycia, ponieważ może przypominać zwykłe działania zespołów IT.

Ważnym komponentem operacji pozostaje kradzież poświadczeń. Microsoft wskazał na zrzuty pamięci LSASS, użycie Mimikatz, modyfikacje ustawień WDigest oraz próby dostępu do NTDS.dit i SAM po uzyskaniu odpowiednio wysokich uprawnień. W niektórych scenariuszach napastnicy odzyskiwali również hasła zapisane w oprogramowaniu backupowym, co mogło ułatwiać przejęcie kolejnych systemów.

Przed wdrożeniem ransomware operatorzy modyfikowali ustawienia ochrony, w tym konfigurację antywirusa, i dodawali wykluczenia dla całych dysków. Następnie przechodzili do eksfiltracji danych, wykorzystując archiwizację plików oraz narzędzia synchronizacji i transferu do zasobów chmurowych. Dopiero po tym etapie uruchamiany był właściwy komponent szyfrujący Medusa, często rozprowadzany centralnie w zaatakowanym środowisku.

Konsekwencje / ryzyko

Największe ryzyko w modelu działania Storm-1175 wynika z połączenia trzech elementów: publicznie dostępnej powierzchni ataku, bardzo krótkiego czasu od uzyskania dostępu do pełnej kompromitacji oraz wykorzystania legalnych narzędzi administracyjnych. Dla zespołów bezpieczeństwa oznacza to drastyczne skrócenie okna detekcji i reakcji.

Dodatkowym zagrożeniem jest model podwójnego wymuszenia. Medusa nie ogranicza się do blokowania dostępu do danych, lecz obejmuje także ich kradzież i groźbę publikacji. To zwiększa presję operacyjną, prawną i reputacyjną na ofiarę, zwłaszcza w sektorach przetwarzających informacje wrażliwe.

W praktyce szczególnie narażone pozostają organizacje utrzymujące w internecie serwery pocztowe, systemy MFT, panele administracyjne, rozwiązania VPN oraz narzędzia zdalnej pomocy. Nawet krótki poślizg w patchowaniu takich usług może wystarczyć, aby przeciwnik przejął środowisko i rozpoczął dalszą eskalację.

Rekomendacje

Podstawą obrony powinno być agresywne zarządzanie podatnościami w systemach wystawionych do internetu. Najwyższy priorytet należy nadać wszystkim usługom brzegowym oraz narzędziom zdalnego dostępu administracyjnego. Równie istotne jest stałe ograniczanie powierzchni ataku i usuwanie zbędnych usług publicznych.

  • priorytetowo łatać systemy web-facing i rozwiązania administracyjne,
  • stosować segmentację, izolację i dodatkowe warstwy ochrony, takie jak reverse proxy i WAF,
  • wymuszać MFA dla dostępu administracyjnego i ograniczać go do zaufanych kanałów,
  • monitorować tworzenie nowych kont uprzywilejowanych oraz nietypowe użycie PowerShell, PsExec i Impacket,
  • wykrywać zrzuty LSASS, zmiany w ustawieniach AV i dodawanie wyjątków skanowania,
  • chronić kontrolery domeny, backupy oraz repozytoria poświadczeń,
  • regularnie testować procedury odtworzeniowe i gotowe playbooki IR.

Z perspektywy operacyjnej organizacje powinny zakładać, że kompromitacja systemu brzegowego może bardzo szybko przekształcić się w pełnoskalowy incydent ransomware. Oznacza to potrzebę automatyzacji izolacji hostów, skrócenia czasu triage oraz priorytetyzacji sygnałów związanych z credential theft i nadużyciem narzędzi RMM.

Podsumowanie

Przypadek Storm-1175 pokazuje, że współczesne kampanie ransomware są coraz szybsze, bardziej zautomatyzowane i lepiej przygotowane technicznie. Najważniejsza obserwacja dotyczy skrócenia całego łańcucha ataku: od exploita, przez utrwalenie i kradzież poświadczeń, po eksfiltrację danych i szyfrowanie.

Dla obrońców oznacza to konieczność traktowania każdej krytycznej podatności w systemie publicznie dostępnym jako zdarzenia wysokiego ryzyka. Skuteczna ochrona przed podobnymi operacjami wymaga połączenia szybkiego patchowania, redukcji powierzchni ataku, monitorowania narzędzi administracyjnych, ochrony tożsamości uprzywilejowanych i wysokiej gotowości zespołów reagowania.

Źródła

  1. Microsoft links Medusa ransomware affiliate to zero-day attacks — https://www.bleepingcomputer.com/news/security/microsoft-links-medusa-ransomware-affiliate-to-zero-day-attacks/
  2. Storm-1175 focuses gaze on vulnerable web-facing assets in high-tempo Medusa ransomware operations — https://www.microsoft.com/en-us/security/blog/2026/04/06/storm-1175-focuses-gaze-on-vulnerable-web-facing-assets-in-high-tempo-medusa-ransomware-operations/
  3. CVE-2026-23760 — https://nvd.nist.gov/vuln/detail/CVE-2026-23760
  4. CVE-2025-10035 — https://nvd.nist.gov/vuln/detail/CVE-2025-10035
  5. #StopRansomware: Medusa Ransomware — https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-071a

Fałszywy obraz jako nośnik malware: jak plik .jpg ukrywa ZIP i omija Microsoft Defender

Cybersecurity news

Wprowadzenie do problemu / definicja

Cyberprzestępcy coraz częściej łączą socjotechnikę z prostymi, ale bardzo skutecznymi technikami maskowania złośliwego oprogramowania. W opisywanej kampanii użytkownik trafiał na zasób wyglądający jak zwykły obraz JPEG, który w rzeczywistości stanowił element łańcucha infekcji prowadzącego do uruchomienia malware.

Kluczowym mechanizmem była zamiana pozornie nieszkodliwego pliku graficznego w archiwum ZIP zawierające dalsze komponenty. Całość była obsługiwana przez obfuskowany skrypt .cmd, którego zadaniem było przygotowanie środowiska, osłabienie ochrony systemu i uruchomienie właściwego ładunku.

W skrócie

Analizowany incydent opierał się na skróconym adresie URL prowadzącym do pobrania pliku udającego obraz. Po uruchomieniu złośliwy skrypt wsadowy wykonywał szereg działań przygotowujących system do infekcji i zapewniających trwałość działania malware.

  • wymuszał podniesienie uprawnień z użyciem mechanizmu UAC,
  • dodawał wyjątki w Microsoft Defender,
  • pobierał payload zapisany jako plik .jpg,
  • zmieniał rozszerzenie pliku na .zip i rozpakowywał zawartość,
  • zmieniał nazwę pliku wykonywalnego tak, by przypominał legalny proces,
  • tworzył zaplanowane zadanie dla persistence,
  • usuwał artefakty pośrednie i inicjował restart systemu.

Kontekst / historia

Schemat polegający na podszywaniu się pod obraz lub dokument nie jest nowy, ale nadal pozostaje skuteczny. Atakujący wykorzystują fakt, że wielu użytkowników ocenia bezpieczeństwo pliku wyłącznie po nazwie i rozszerzeniu, bez weryfikacji jego rzeczywistej struktury.

W tej kampanii zastosowano zestaw dobrze znanych technik: skrócony link ukrywający faktyczny adres, wielowarstwową obfuskację kodu, zmianę rozszerzenia pobranego pliku, a także nadanie komponentom nazw przypominających legalne procesy systemowe. Taki model działania wpisuje się w typowy scenariusz downloadera lub droppera, którego zadaniem jest dostarczenie i uruchomienie właściwego malware dopiero na dalszym etapie.

Analiza techniczna

Rdzeniem łańcucha infekcji był plik .cmd z zaciemnioną zawartością. Po deobfuskacji można wyróżnić kilka następujących po sobie etapów, które wskazują na przemyślane obchodzenie lokalnych zabezpieczeń.

Najpierw skrypt sprawdzał, czy działa z uprawnieniami administratora. Jeżeli nie, uruchamiał samego siebie ponownie z parametrem RunAs, wywołując monit UAC. Był to istotny etap, ponieważ dalsze operacje wymagały możliwości modyfikacji ustawień ochrony systemu.

Następnie tworzony był katalog roboczy w profilu użytkownika. Lokalizacja ta została dobrana w taki sposób, aby nie rzucała się w oczy podczas ręcznego przeglądania systemu. Kolejnym krokiem było dodanie tego katalogu do wyjątków Microsoft Defender, co mogło ograniczyć skuteczność skanowania antywirusowego wobec plików zapisanych w tej lokalizacji.

Po przygotowaniu środowiska skrypt pobierał z internetu plik zapisany lokalnie jako obraz .jpg. W rzeczywistości nie był to prawidłowy plik graficzny. Skrypt sprawdzał także minimalny rozmiar pobranego pliku, aby uniknąć dalszego działania w przypadku nieudanego transferu lub pobrania błędnej odpowiedzi. Następnie plik był przemianowywany na .zip i rozpakowywany przy użyciu wbudowanego narzędzia tar.

W archiwum znajdowały się kolejne komponenty, w tym biblioteka DLL oraz plik wykonywalny. Główny plik EXE otrzymywał nazwę przypominającą legalny komponent systemowy, po czym także był dodawany do wyjątków Defendera. Taka sekwencja wskazuje na świadome użycie natywnych funkcji Windows do obejścia ochrony punktu końcowego.

Następnie malware generował plik XML definiujący zadanie harmonogramu i tworzył ukryte zadanie uruchamiane po zalogowaniu użytkownika, zwykle z niewielkim opóźnieniem. Nazwa zadania była dobrana tak, aby wyglądała wiarygodnie i nie wzbudzała podejrzeń podczas pobieżnej kontroli systemu. To klasyczna technika persistence.

Na końcu skrypt usuwał artefakty pośrednie, próbował wyczyścić wybrane pliki z katalogu pobrań, inicjował wymuszony restart systemu i kasował samego siebie. Taki zestaw działań utrudnia analizę powłamaniową i pomaga domknąć proces instalacji malware po ponownym uruchomieniu hosta.

Na szczególną uwagę zasługuje sam mechanizm wykorzystania pliku wyglądającego jak obraz, który po zmianie rozszerzenia okazuje się archiwum. To prosty, ale skuteczny sposób na zmylenie użytkownika i części mniej zaawansowanych procedur kontrolnych. Z perspektywy obrony oznacza to konieczność walidacji typu pliku na podstawie jego nagłówków i struktury, a nie samej nazwy.

Konsekwencje / ryzyko

Ryzyko wynikające z takiej infekcji jest wysokie, ponieważ atak nie kończy się na jednorazowym uruchomieniu skryptu. Przeprowadzony łańcuch działań wskazuje na próbę pełnego wdrożenia trwałego komponentu, który może służyć do dalszego pobierania modułów lub wykonywania poleceń na zainfekowanym systemie.

  • przejęcie kontroli nad stacją roboczą użytkownika,
  • osłabienie lub częściowe obejście ochrony Microsoft Defender,
  • utrzymanie dostępu po restarcie i ponownym logowaniu,
  • zmniejszenie widoczności części artefaktów dla narzędzi ochronnych,
  • możliwość dostarczenia kolejnych ładunków, takich jak stealer, spyware, loader ransomware lub narzędzia do ruchu lateralnego.

Szczególnie niebezpieczne jest wykorzystanie legalnych narzędzi systemowych, takich jak PowerShell, curl, tar i Harmonogram zadań. Tego typu działania wpisują się w model living-off-the-land, który utrudnia wykrywanie oparte wyłącznie na prostych sygnaturach.

Rekomendacje

Organizacje powinny traktować podobne incydenty jako przykład kampanii łączącej socjotechnikę z nadużyciem natywnych mechanizmów systemu operacyjnego. Skuteczna obrona wymaga zarówno kontroli technicznych, jak i świadomości użytkowników.

  • blokować lub ściśle monitorować uruchamianie skryptów .cmd, .bat i .ps1 pobieranych z internetu,
  • włączyć rozbudowane logowanie PowerShell oraz ograniczać uruchamianie podejrzanych parametrów,
  • monitorować modyfikacje wyjątków Microsoft Defender,
  • weryfikować zgodność rozszerzenia pliku z jego rzeczywistym typem MIME i nagłówkiem binarnym,
  • wykrywać tworzenie zaplanowanych zadań o nazwach podszywających się pod procesy systemowe,
  • analizować ruch do skróconych adresów URL i domen pośredniczących,
  • ograniczać lokalne uprawnienia użytkowników,
  • wdrożyć reguły EDR/XDR wykrywające sekwencję: eskalacja uprawnień, dodanie wyjątków Defendera, pobranie pliku, rozpakowanie archiwum, utworzenie zadania i samousunięcie,
  • szkolić użytkowników w zakresie rozpoznawania fałszywych obrazów i dokumentów,
  • w razie podejrzenia infekcji izolować host, zabezpieczać artefakty, sprawdzać Harmonogram zadań, wyjątki Defendera oraz katalogi lokalne użytkownika, a także resetować poświadczenia.

Podsumowanie

Opisany przypadek pokazuje, że skuteczne malware nie musi wykorzystywać zaawansowanych exploitów, aby ominąć podstawowe zabezpieczenia. Wystarczy dobrze przygotowany łańcuch infekcji: skrócony link, plik udający obraz, obfuskowany skrypt wsadowy, wykorzystanie narzędzi wbudowanych w Windows i mechanizmy persistence.

Dla zespołów bezpieczeństwa to ważne przypomnienie, że analiza incydentów nie może kończyć się na identyfikacji końcowego pliku wykonywalnego. Kluczowe znaczenie ma zrozumienie całego przepływu ataku, od momentu dostarczenia przynęty po zmiany w konfiguracji ochrony systemu i utrzymywanie trwałości na hoście.

Źródła

  1. Security Affairs – Image or Malware? Read until the end and answer in comments 🙂
    https://securityaffairs.com/190358/hacking/image-or-malware-read-until-the-end-and-answer-in-comments.html
  2. Microsoft Learn – Add-MpPreference
    https://learn.microsoft.com/en-us/powershell/module/defender/add-mppreference
  3. Microsoft Learn – Schtasks commands
    https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/schtasks
  4. MITRE ATT&CK – Scheduled Task/Job: Scheduled Task
    https://attack.mitre.org/techniques/T1053/005/
  5. MITRE ATT&CK – Indicator Removal on Host: File Deletion
    https://attack.mitre.org/techniques/T1070/004/

Były inżynier przyznał się do próby wymuszenia po zablokowaniu tysięcy urządzeń Windows

Cybersecurity news

Wprowadzenie do problemu / definicja

Zagrożenia typu insider threat należą do najtrudniejszych do wykrycia i powstrzymania, ponieważ sprawca dysponuje wiedzą o infrastrukturze, procesach administracyjnych i krytycznych zasobach organizacji. Opisany przypadek pokazuje, jak były pracownik z doświadczeniem infrastrukturalnym może wykorzystać uprzywilejowany dostęp do przeprowadzenia sabotażu operacyjnego oraz próby wymuszenia.

W tym incydencie nie chodziło o klasyczne szyfrowanie danych charakterystyczne dla ransomware, lecz o przejęcie kontroli nad środowiskiem Windows poprzez zmianę haseł, usuwanie kont i planowanie wyłączeń systemów. Taki scenariusz może równie skutecznie sparaliżować działalność firmy jak atak z użyciem złośliwego oprogramowania.

W skrócie

Były inżynier infrastruktury przyznał się do udziału w schemacie wymuszenia wobec amerykańskiej firmy przemysłowej. Według ustaleń śledczych wykorzystał nieautoryzowany dostęp do sieci, aby zaplanować masowe zmiany haseł, usunięcie kont administracyjnych oraz działania prowadzące do odcięcia zespołu IT od zasobów domenowych.

  • atak objął 254 serwery oraz 3 284 stacje robocze Windows,
  • usunięto 13 kont administratorów domenowych,
  • zmieniono hasła dla 301 kont użytkowników domenowych,
  • do pracowników wysłano żądanie zapłaty 20 bitcoinów pod groźbą dalszych zakłóceń.

Kontekst / historia

Sprawa dotyczy zdarzeń z listopada 2023 roku w przedsiębiorstwie przemysłowym z siedzibą w Somerset County w stanie New Jersey. Organizacja obsługiwała klientów z wielu branż, co zwiększało znaczenie potencjalnych skutków incydentu dla ciągłości działania i operacji biznesowych.

Z ustaleń wynika, że sprawca był byłym inżynierem odpowiedzialnym za obszar core infrastructure. Taki profil oznaczał znajomość środowiska wirtualizacji, mechanizmów administracyjnych oraz praktycznych zależności między kontrolerami domeny, serwerami i stacjami roboczymi. To właśnie wiedza wewnętrzna uczyniła ten atak szczególnie groźnym.

Kulminacja incydentu nastąpiła 25 listopada 2023 roku, gdy administratorzy zaczęli otrzymywać powiadomienia o resetach haseł, a następnie odkryli usunięcie kont o najwyższych uprawnieniach. Wkrótce potem część pracowników otrzymała wiadomość o charakterze wymuszeniowym, informującą o przejęciu sieci i zablokowaniu administratorów.

Analiza techniczna

Atak został przeprowadzony przy użyciu legalnych narzędzi administracyjnych Windows, a nie niestandardowego malware. Według materiałów śledczych sprawca korzystał z konta administracyjnego oraz sesji zdalnego pulpitu uruchomionej z ukrytej maszyny wirtualnej działającej w sieci ofiary. Następnie na kontrolerze domeny utworzono serię zaplanowanych zadań automatyzujących destrukcyjne operacje.

Zadania te miały wykonywać kilka kluczowych działań:

  • usunięcie 13 kont administratorów domenowych,
  • zmianę haseł dla 301 kont użytkowników domenowych,
  • zmianę haseł dla dwóch lokalnych kont administracyjnych wpływających na 254 serwery,
  • zmianę haseł dla dwóch innych lokalnych kont administracyjnych wpływających na 3 284 stacje robocze,
  • harmonogramowe wyłączanie kolejnych serwerów i stacji roboczych w następnych dniach.

W dokumentach wymieniono użycie polecenia net user oraz narzędzia PsPasswd z pakietu Sysinternals. Jest to klasyczny przykład techniki living off the land, czyli nadużycia legalnych i powszechnie stosowanych narzędzi administracyjnych do działań ofensywnych. Tego rodzaju aktywność jest trudniejsza do wykrycia, ponieważ z perspektywy systemów bezpieczeństwa może przypominać rutynowe działania administratorów.

Śledczy ustalili również, że przygotowania obejmowały wyszukiwanie informacji o czyszczeniu logów Windows, zdalnej zmianie haseł administratora lokalnego oraz usuwaniu kont domenowych. Wskazuje to na element planowania antyforensycznego i próbę ograniczenia śladów po ataku.

Szczególnie istotne było wykorzystanie kontrolera domeny jako centralnego punktu wykonawczego. Kompromitacja tego obszaru pozwala szybko przełożyć pojedynczy uprzywilejowany dostęp na masowy wpływ na tożsamości, serwery i stacje robocze w całym środowisku.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem tego typu ataku jest utrata kontroli administracyjnej nad środowiskiem. Jeżeli zespół IT zostaje odcięty od kont domenowych i lokalnych, organizacja może utracić zdolność do przywracania usług, reagowania na incydent i utrzymywania ciągłości działania.

  • brak możliwości logowania do serwerów krytycznych,
  • utrata zdolności zarządzania usługami infrastrukturalnymi,
  • opóźnienia we wdrażaniu poprawek awaryjnych,
  • zakłócenie działania aplikacji biznesowych,
  • utrudnione prowadzenie dochodzenia i działań naprawczych.

Ryzyko nie ogranicza się do samej niedostępności systemów. Możliwość usuwania kont, zmiany haseł i planowania wyłączeń może przełożyć się na zaburzenie produkcji, logistyki, obsługi klientów i procesów operacyjnych. W firmach przemysłowych taki sabotaż może oddziaływać na planowanie produkcji, łańcuch dostaw i dostęp do danych niezbędnych do bieżącej działalności.

Ten przypadek pokazuje także, że wymuszenie nie musi być związane z szyfrowaniem plików. Samo pozbawienie administratorów kontroli nad środowiskiem może być dla organizacji równie kosztowne jak incydent ransomware, zwłaszcza gdy sprawca dodatkowo grozi dalszym wyłączaniem systemów.

Rekomendacje

Organizacje powinny traktować ryzyko insiderskie na równi z zagrożeniami zewnętrznymi. Wymaga to połączenia kontroli technicznych, monitoringu uprzywilejowanych działań oraz rygorystycznych procedur związanych z dostępem do środowiska.

  • ograniczenie liczby stałych kont uprzywilejowanych i wdrożenie modelu just-in-time oraz just-enough-administration,
  • rozdzielenie administracji domenowej, serwerowej i stacyjnej,
  • stosowanie unikalnych, rotowanych haseł lokalnych administratorów dla każdego hosta,
  • monitorowanie tworzenia i modyfikacji zaplanowanych zadań na kontrolerach domeny i hostach administracyjnych,
  • alertowanie na masowe operacje na kontach, reset haseł i usuwanie obiektów domenowych,
  • wykrywanie nieautoryzowanych maszyn wirtualnych i nietypowych sesji RDP do systemów krytycznych,
  • wdrożenie MFA dla administratorów oraz korzystanie z wydzielonych stacji administracyjnych,
  • regularne testowanie procedur odzyskiwania Active Directory i kopii zapasowych obiektów katalogowych,
  • zaostrzenie procesu offboardingu i natychmiastowa dezaktywacja zbędnych dostępów po odejściu pracowników.

Szczególną uwagę warto zwrócić na nadużycia narzędzi takich jak net user, PsExec, PsPasswd, PowerShell czy WMI. W wielu środowiskach są one niezbędne do administracji, ale właśnie dlatego mogą stać się skutecznym narzędziem sabotażu, jeśli organizacja nie prowadzi odpowiedniego monitoringu i korelacji zdarzeń.

Podsumowanie

Opisana sprawa stanowi wyraźny przykład sabotażu i cyberwymuszenia przeprowadzonego bez użycia klasycznego ransomware. Kluczową rolę odegrały uprzywilejowany dostęp, znajomość wewnętrznej architektury oraz wykorzystanie legalnych mechanizmów administracyjnych Windows do zablokowania środowiska.

Dla zespołów bezpieczeństwa wniosek jest jednoznaczny: skuteczna obrona przed wymuszeniami nie może ograniczać się do wykrywania szyfrowania danych. Równie ważne są ochrona Active Directory, segmentacja uprawnień, monitoring działań administracyjnych oraz dojrzałe zarządzanie ryzykiem insiderskim.

Źródła

  1. Man admits to locking thousands of Windows devices in extortion plot — https://www.bleepingcomputer.com/news/security/man-admits-to-extortion-plot-locking-coworkers-out-of-thousands-of-windows-devices/
  2. Former Employee of National Industrial Company Pleads Guilty to Crimes Related to Hacking Computer Networks and Extorting Employees — https://www.justice.gov/usao-nj/pr/former-employee-national-industrial-company-pleads-guilty-crimes-related-hacking
  3. United States v. Daniel Rhyne — Criminal Complaint — https://www.justice.gov/usao-nj/media/1365476/dl?inline=

GitHub jako ukryty kanał C2 w wieloetapowej kampanii malware

Cybersecurity news

Wprowadzenie do problemu / definicja

Współczesne kampanie malware coraz częściej wykorzystują legalne i powszechnie zaufane usługi internetowe jako element infrastruktury operacyjnej. Jednym z takich podejść jest nadużywanie platform deweloperskich do ukrywania komunikacji command-and-control, dystrybucji kolejnych etapów infekcji oraz maskowania aktywności przed systemami bezpieczeństwa. Opisana kampania pokazuje, że GitHub może pełnić rolę nie tylko repozytorium kodu, ale również pośredniego kanału sterowania w atakach wieloetapowych.

W skrócie

Badacze wykryli kampanię malware wymierzoną w użytkowników w Korei Południowej, w której wykorzystano złośliwe pliki LNK jako wektor początkowy. Łańcuch infekcji miał charakter wieloetapowy i opierał się na użyciu natywnych narzędzi systemu Windows oraz infrastruktury GitHub do pobierania instrukcji lub dalszych komponentów. Tego typu operacja utrudnia detekcję, ponieważ ruch do legalnych usług chmurowych może wyglądać jak zwykła aktywność użytkownika lub aplikacji.

Kontekst / historia

W ostatnich latach obserwowany jest stały wzrost liczby kampanii, w których legalne serwisy w chmurze są wykorzystywane do celów ofensywnych. Atakujący wybierają je z kilku powodów: są łatwo dostępne, cieszą się wysokim poziomem zaufania, zwykle nie są domyślnie blokowane przez organizacje i pozwalają ograniczyć koszt utrzymania własnej infrastruktury C2. GitHub jest pod tym względem szczególnie atrakcyjny, ponieważ umożliwia hostowanie plików, publikowanie treści, automatyzację oraz korzystanie z API w sposób, który może wtapiać się w legalny ruch sieciowy.

W analizowanej kampanii celem byli użytkownicy otwierający spreparowane pliki skrótów systemu Windows. Taka technika nie jest nowa, jednak nadal pozostaje skuteczna, zwłaszcza gdy pliki są osadzone w archiwach lub podszywają się pod dokumenty, zasoby robocze albo narzędzia pomocnicze. Po uruchomieniu skrótu dochodziło do zainicjowania kolejnych etapów ataku, których zadaniem było pobranie dalszych instrukcji i rozwinięcie infekcji przy użyciu zaufanych komponentów systemowych.

Analiza techniczna

Punktem wejścia były złośliwe pliki LNK. Skróty tego typu mogą zawierać polecenia uruchamiające interpreter poleceń, PowerShell lub inne binaria systemowe, co pozwala ominąć część prostych mechanizmów kontroli opartych wyłącznie na rozszerzeniach plików. W praktyce użytkownik widzi ikonę przypominającą dokument lub folder, natomiast w tle wykonywana jest sekwencja poleceń inicjująca łańcuch infekcji.

Kluczowym elementem kampanii był model wieloetapowy. Zamiast dostarczać pełny ładunek od razu, operatorzy rozbijają atak na kilka faz. Pierwszy etap zwykle odpowiada za uruchomienie minimalnego kodu startowego, rozpoznanie środowiska i pobranie dalszych komponentów. Kolejne etapy mogą realizować dekodowanie konfiguracji, ustanawianie trwałości, pobieranie właściwego malware lub komunikację z operatorem. Taki podział zwiększa elastyczność kampanii i utrudnia analizę statyczną.

Istotną rolę odegrało wykorzystanie GitHub jako kanału pośredniego dla komunikacji C2 lub dystrybucji danych sterujących. Z technicznego punktu widzenia napastnicy mogą przechowywać w repozytoriach zaszyfrowane konfiguracje, identyfikatory kampanii, adresy kolejnych zasobów albo zakodowane polecenia. Złośliwy kod na stacji ofiary pobiera następnie te dane przez zwykłe żądania HTTP/HTTPS, często przy użyciu natywnych narzędzi Windows. Dla wielu środowisk korporacyjnych taki ruch wygląda wiarygodnie, ponieważ odwołuje się do znanej domeny i standardowego protokołu szyfrowanego.

Atakujący dodatkowo zwiększają skuteczność, korzystając z tzw. living-off-the-land binaries. Są to legalne narzędzia obecne domyślnie w systemie operacyjnym, takie jak interpretery skryptowe, klienty pobierania czy mechanizmy uruchamiania poleceń. Użycie tych komponentów zmniejsza liczbę artefaktów pozostawianych na dysku, utrudnia klasyczne wykrywanie sygnaturowe i sprawia, że analiza incydentu wymaga korelacji wielu subtelnych zdarzeń, a nie jednego oczywistego wskaźnika kompromitacji.

W praktyce taka kampania może obejmować także warstwy obfuskacji: kodowanie poleceń, dzielenie ładunku na fragmenty, pobieranie konfiguracji dopiero po spełnieniu określonych warunków czy uruchamianie kolejnych etapów wyłącznie w wybranych środowiskach. Dzięki temu operatorzy ograniczają ryzyko szybkiego wykrycia przez sandboxy, rozwiązania EDR oraz analityków badających próbki poza właściwym środowiskiem docelowym.

Konsekwencje / ryzyko

Najważniejsze ryzyko związane z taką kampanią polega na wysokiej skuteczności ukrywania aktywności w legalnym ruchu sieciowym. Jeżeli organizacja dopuszcza szeroki dostęp do usług deweloperskich i chmurowych, próba odróżnienia prawidłowego użycia GitHub od użycia złośliwego staje się trudna bez analizy kontekstu procesowego i telemetrycznego. Sam fakt połączenia z popularną platformą nie powinien być traktowany jako wskaźnik anomalii, co zwiększa czas przebywania napastnika w środowisku.

Z perspektywy operacyjnej kampanie wieloetapowe niosą ryzyko eskalacji od pozornie nieszkodliwego uruchomienia skrótu do pełnej kompromitacji stacji roboczej. W zależności od finalnego ładunku skutkiem może być kradzież danych uwierzytelniających, instalacja infostealera, zdalna kontrola nad hostem, ruch boczny albo wdrożenie dalszych rodzin malware. Jeśli pierwszy etap służy jedynie jako downloader, zasięg i charakter szkód mogą się dynamicznie zmieniać nawet po rozpoczęciu kampanii.

Dodatkowym problemem jest możliwość obejścia prostych polityk bezpieczeństwa. Organizacje, które polegają głównie na blokowaniu znanych domen szkodliwych lub podpisach plików wykonywalnych, mogą nie wykryć ataku wykorzystującego pliki LNK, narzędzia systemowe i infrastrukturę publicznej chmury. Taki model szczególnie dobrze działa przeciwko środowiskom o ograniczonej widoczności zdarzeń na poziomie endpointów.

Rekomendacje

Organizacje powinny w pierwszej kolejności ograniczyć możliwość uruchamiania podejrzanych plików LNK pochodzących z Internetu, poczty elektronicznej oraz archiwów pobranych spoza zaufanych kanałów. W środowiskach korporacyjnych warto wdrożyć reguły ograniczające wykonanie skrótów z katalogów tymczasowych, folderów pobrań i przestrzeni użytkownika, a także wymusić oznaczanie plików pochodzących z sieci.

Konieczna jest również telemetryka procesowa na endpointach. Należy monitorować łańcuchy uruchomień, w których plik LNK inicjuje cmd.exe, powershell.exe, mshta.exe, rundll32.exe lub inne binaria systemowe wykorzystywane w technikach living-off-the-land. Szczególnie cenne są alerty korelujące proces nadrzędny, linię poleceń, pobrania przez HTTPS oraz tworzenie nowych artefaktów w katalogach użytkownika.

W warstwie sieciowej warto wdrożyć inspekcję i profilowanie ruchu do zaufanych usług chmurowych, w tym analizę nietypowych wzorców dostępu do repozytoriów, surowych plików i API. Nie chodzi o całkowite blokowanie GitHub, lecz o rozróżnianie ruchu biznesowo uzasadnionego od aktywności generowanej przez nietypowe procesy na stacji roboczej. Dobre efekty daje łączenie danych z proxy, DNS, EDR i logów uwierzytelniania.

  • blokowanie lub ograniczanie wykonywania skryptów PowerShell tam, gdzie nie jest to wymagane,
  • stosowanie zasad Application Control i allowlistingu,
  • analizowanie archiwów oraz skrótów w bramach pocztowych i systemach sandbox,
  • edukacja użytkowników w zakresie ryzyka związanego z plikami skrótów oraz fałszywymi dokumentami,
  • szybkie izolowanie hostów, na których wykryto nietypowe użycie narzędzi systemowych po otwarciu pliku LNK.

Dla zespołów SOC istotne jest tworzenie detekcji opartych na zachowaniu, a nie wyłącznie na reputacji domeny. W praktyce oznacza to budowę reguł wykrywających sekwencję: otwarcie LNK, uruchomienie interpretera poleceń, pobranie danych z usługi chmurowej, dekodowanie zawartości oraz uruchomienie kolejnego etapu. Tego rodzaju korelacja znacząco zwiększa szansę wykrycia kampanii, która celowo wtapia się w normalny ruch sieciowy.

Podsumowanie

Wykorzystanie GitHub jako ukrytego kanału komunikacji w kampanii malware potwierdza utrwalający się trend nadużywania legalnych platform do działań ofensywnych. Połączenie złośliwych plików LNK, natywnych narzędzi Windows i publicznej infrastruktury chmurowej daje napastnikom skuteczny mechanizm omijania części tradycyjnych zabezpieczeń. Dla obrońców oznacza to konieczność przesunięcia ciężaru detekcji z prostych wskaźników reputacyjnych na analizę zachowania procesów, zależności między zdarzeniami i kontekst użycia zaufanych usług.

Źródła

Operacja REF1695: fałszywe instalatory ISO rozprzestrzeniają RAT-y i koparki kryptowalut

Cybersecurity news

Wprowadzenie do problemu / definicja

Operacja REF1695 to długotrwała kampania cyberprzestępcza nastawiona na monetyzację zainfekowanych systemów poprzez zdalny dostęp, oszustwa afiliacyjne oraz nieautoryzowane kopanie kryptowalut. Atakujący wykorzystują fałszywe instalatory dostarczane w obrazach ISO, łącząc socjotechnikę z wieloetapowym łańcuchem infekcji oraz zestawem narzędzi obejmujących trojany zdalnego dostępu, niestandardowe loadery i koparki Monero.

W skrócie

Kampania REF1695 jest aktywna co najmniej od końca 2023 roku i ma wyraźnie finansowy charakter. Ofiary są nakłaniane do uruchamiania spreparowanych instalatorów oraz ręcznego obchodzenia ostrzeżeń SmartScreen, po czym malware uruchamia polecenia PowerShell, osłabia ochronę Microsoft Defender, wdraża kolejne moduły i instaluje komponenty takie jak CNB Bot, PureRAT, PureMiner oraz niestandardowe loadery XMRig.

  • Wektor wejścia: obrazy ISO z fałszywymi instalatorami
  • Główne cele: cryptojacking, zdalny dostęp i dodatkowa monetyzacja afiliacyjna
  • Techniki: PowerShell, persystencja przez harmonogram zadań, wykluczenia w Defenderze, BYOVD
  • Payloady: CNB Bot, PureRAT, PureMiner, XMRig, SilentCryptoMiner

Kontekst / historia

Analiza kampanii wskazuje, że operacja rozwijała się etapami i z czasem stawała się bardziej złożona. Wczesne warianty koncentrowały się na dostarczaniu koparek oraz komponentów RAT za pomocą fałszywych instalatorów, jednak później zestaw narzędzi rozszerzono o nowe implanty, w tym loader .NET nazwany CNB Bot.

Stałymi elementami operacji pozostają podobne techniki pakowania, zbieżna infrastruktura C2 oraz konsekwentnie stosowany schemat podszywania się pod legalne oprogramowanie. Istotnym aspektem tej kampanii jest także model hybrydowej monetyzacji: poza cryptojackingiem operatorzy kierują ofiary na strony typu content locker pod pretekstem rejestracji oprogramowania, generując przychody w modelu CPA.

Analiza techniczna

Punktem wejścia do infekcji jest obraz ISO zawierający loader oraz plik tekstowy z instrukcjami, jak uruchomić niepodpisaną aplikację mimo ostrzeżeń systemowych. Taki mechanizm zwiększa skuteczność infekcji, ponieważ część działań wykonuje sam użytkownik, ufając spreparowanym komunikatom.

Po uruchomieniu loadera wykonywany jest ukryty PowerShell. Jednym z pierwszych kroków jest dodanie szerokich wykluczeń w Microsoft Defender dla katalogów tymczasowych, ścieżek użytkownika i wybranych procesów. Następnie malware zapisuje kolejne komponenty, uruchamia dalsze etapy infekcji i wyświetla fałszywy komunikat o błędzie, aby zmniejszyć podejrzenia ofiary.

Kluczową rolę odgrywa CNB Bot, czyli loader .NET zdolny do pobierania kolejnych ładunków, aktualizacji modułów i wykonywania procedur czyszczenia śladów. Komunikacja z serwerem C2 odbywa się przez HTTP POST, co daje operatorom możliwość elastycznego sterowania zachowaniem zainfekowanego hosta.

W innych wariantach wdrażane są PureRAT i PureMiner. Łańcuch infekcji może obejmować kilka etapów loaderów, mechanizmy persystencji oparte na zadaniach harmonogramu oraz automatyczne usuwanie instalatora po zakończeniu wdrożenia. PureRAT wykorzystuje zaszyfrowane konfiguracje i chroni komunikację z serwerami sterującymi przy użyciu HMAC oraz AES, co utrudnia analizę ruchu.

Szczególnie istotny jest niestandardowy loader dla XMRig. Pobiera on zdalną konfigurację kopania, a w razie problemów korzysta z zapasowych ustawień osadzonych w kodzie. Komponent wypakowuje także sterownik WinRing0x64.sys, po czym uruchamia pętlę unikania analizy: wykrywa narzędzia diagnostyczne i bezpieczeństwa, zatrzymuje koparkę podczas obserwacji, a następnie ponownie ją uruchamia, gdy ryzyko wykrycia maleje.

Warianty powiązane z SilentCryptoMiner dodają kolejne mechanizmy utrzymania dostępu, modyfikują ustawienia zasilania w celu wyłączenia uśpienia i hibernacji oraz wykorzystują watchdog do odtwarzania usuniętych artefaktów. To zwiększa stabilność działania malware i maksymalizuje czas pracy koparki.

Konsekwencje / ryzyko

Z punktu widzenia organizacji REF1695 stanowi zagrożenie wielowarstwowe. Najbardziej widocznym skutkiem infekcji jest nieautoryzowane wykorzystanie zasobów obliczeniowych do kopania kryptowalut, co przekłada się na wzrost użycia CPU, wyższe zużycie energii i szybsze zużycie sprzętu.

Znacznie poważniejsze jest jednak wdrożenie komponentów typu RAT. Obecność zdalnego dostępu oznacza możliwość dalszej penetracji środowiska, pobierania dodatkowego malware, utrzymania trwałej obecności oraz potencjalnej kradzieży danych. Dodatkowym zagrożeniem jest manipulowanie konfiguracją Microsoft Defender, ponieważ szerokie wykluczenia mogą osłabić ochronę systemu nawet po częściowym usunięciu infekcji.

Wykorzystanie podpisanego, lecz podatnego sterownika wpisuje się w model BYOVD, w którym legalny komponent staje się narzędziem obejścia zabezpieczeń i uzyskania niskopoziomowego dostępu do systemu. Z kolei hostowanie payloadów na publicznych platformach utrudnia filtrowanie ruchu wyłącznie na podstawie reputacji domen.

Rekomendacje

Organizacje powinny ograniczyć możliwość uruchamiania niezweryfikowanych plików z obrazów ISO oraz monitorować zdarzenia związane z montowaniem takich nośników przez użytkowników. Szczególnie ważne jest wykrywanie prób uruchamiania plików wykonywalnych z katalogów tymczasowych i profili użytkowników.

Należy wdrożyć monitoring poleceń PowerShell modyfikujących ustawienia Microsoft Defender, zwłaszcza operacji dodawania wykluczeń. Warto także regularnie audytować istniejące wykluczenia i porównywać je z polityką bazową, aby szybko wykrywać nieautoryzowane zmiany.

  • monitorowanie tworzenia zadań harmonogramu uruchamianych przy logowaniu
  • wykrywanie nietypowych zmian ustawień zasilania, w tym użycia powercfg
  • kontrola obecności sterowników takich jak WinRing0x64.sys lub Winring0.sys
  • ograniczanie uruchamiania PowerShell i LOLBins w kontekstach użytkownika
  • wdrożenie EDR z telemetrią procesów potomnych, persystencji i aktywności sterowników
  • analiza ruchu HTTP/HTTPS pod kątem nietypowych pobrań binariów z usług publicznych
  • szkolenie użytkowników w zakresie rozpoznawania fałszywych instalatorów i prób obejścia SmartScreen
  • przygotowanie procedur IR obejmujących przywracanie polityk Defendera oraz pełną kontrolę persystencji po incydencie

Podsumowanie

REF1695 to przykład dojrzałej, finansowo motywowanej operacji, która skutecznie łączy socjotechnikę, wieloetapowe loadery, techniki unikania analizy i mechanizmy zwiększania wydajności cryptojackingu. Kampania jest szczególnie niebezpieczna, ponieważ nie ogranicza się do kopania kryptowalut, ale obejmuje również zdalny dostęp i dodatkowe kanały monetyzacji.

Dla zespołów bezpieczeństwa kluczowe znaczenie ma wykrywanie modyfikacji Defendera, monitorowanie uruchomień z obrazów ISO, analiza persystencji oraz kontrola użycia podatnych sterowników. Skuteczna obrona wymaga połączenia telemetrii endpointów, restrykcyjnych polityk uruchamiania i świadomego zarządzania zaufaniem do pozornie legalnych plików i usług.

Źródła

  1. Researchers Uncover Mining Operation Using ISO Lures to Spread RATs and Crypto Miners — https://thehackernews.com/2026/04/researchers-uncover-mining-operation.html
  2. Fake Installers to Monero: A Multi-Tool Mining Operation — https://www.elastic.co/security-labs/fake-installers-to-monero