Archiwa: SIEM - Strona 31 z 61 - Security Bez Tabu

Termite ransomware i „Velvet Tempest”: jak ClickFix + CastleRAT łączą się z włamaniami i przygotowaniem pod ransomware

Wprowadzenie do problemu / definicja luki

ClickFix to technika socjotechniczna, która udaje „naprawę” problemu (np. CAPTCHA, błąd przeglądarki, weryfikacja człowieka) i instruuje użytkownika, by wkleił polecenie do Windows Run (Win+R) lub uruchomił je w PowerShell/cmd. To nie jest luka w oprogramowaniu, tylko skuteczny wektor initial access oparty o zachowanie użytkownika i „życie z ziemi” (LOLBAS). W 2026 r. ClickFix jest coraz częściej łączony z łańcuchami loader → RAT/stealer → ruch boczny → ransomware, bo daje atakującym szybkie wejście i dobre maskowanie.


W skrócie

Z obserwacji opisanej 7 marca 2026 r. wynika, że operatorzy śledzeni jako Velvet Tempest (DEV-0504) użyli kampanii malvertising prowadzącej do miksu ClickFix + CAPTCHA, aby skłonić ofiary do wklejenia zaciemnionego polecenia w oknie „Uruchom”. Następnie uruchomiony został kaskadowy łańcuch cmd.exe i narzędzi systemowych (w tym finger.exe) do pobrania pierwszych loaderów; jeden z elementów był archiwum podszywającym się pod PDF. W kolejnych etapach widoczna była automatyzacja przez PowerShell, kompilacja komponentów .NET przez csc.exe w katalogach tymczasowych oraz elementy oparte o Pythona dla utrzymania się w systemie (np. w C:\ProgramData). Finalnie miało to doprowadzić do uruchomienia loadera i pobrania CastleRAT.

Kluczowy niuans: w obserwowanym incydencie nie doszło do uruchomienia samego ransomware Termite, ale część infrastruktury/hostingu narzędzi była powiązana z wcześniejszymi intruzjami przypisywanymi do „Termite” (co sugeruje współdzielenie zasobów lub playbooków w ekosystemie afiliantów).


Kontekst / historia / powiązania

BleepingComputer wskazuje, że Velvet Tempest (DEV-0504) to doświadczony aktor, kojarzony z działalnością afilianta w wielu „epokach” ransomware. W praktyce takie grupy często zmieniają brand, przechodzą między programami RaaS i reużywają TTP, a równolegle korzystają z usług wyspecjalizowanych operatorów (np. MaaS/loader).

Istotne jest też tło „Castle*”: analizy branżowe opisują CastleLoader/CastleRAT jako elementy modularnego systemu dystrybucji malware, wykorzystywanego w kampaniach wieloetapowych (loader pobiera kolejne komponenty, a RAT daje trwałą kontrolę i rozpoznanie środowiska).


Analiza techniczna / szczegóły łańcucha

Poniżej typowy obraz techniczny tej klasy ataków (zbieżny z opisem incydentu i szerszymi analizami ClickFix/Castle):

Etap 0 — dystrybucja (malvertising / kompromitowane strony):

  • reklamy lub przejęte witryny kierują na stronę „weryfikacji”, która prezentuje instrukcję wklejenia komendy do Win+R.

Etap 1 — ClickFix (uruchomienie polecenia przez użytkownika):

  • ofiara uruchamia zaciemnioną komendę; w obserwacji pojawiają się zagnieżdżone łańcuchy cmd.exe oraz użycie finger.exe do pobrania pierwszych loaderów (LOLBAS, „życie z ziemi”).

Etap 2 — staging i wykonywanie kolejnych komponentów:

  • PowerShell pobiera dalsze payloady i uruchamia komendy,
  • widoczna jest kompilacja .NET przez csc.exe w katalogach tymczasowych,
  • pojawiają się komponenty Pythona wspierające persistence (np. w C:\ProgramData).

Etap 3 — loader → RAT:

  • BleepingComputer opisuje, że łańcuch finalnie „staged” loader i pobrał CastleRAT, kojarzony z rodziną CastleLoader dystrybuującą różne RAT-y i stealery.
  • Niezależne analizy CastleLoader pokazują, że ten typ loadera bywa budowany tak, by dekodować i uruchamiać payload w pamięci, ograniczając artefakty na dysku, oraz pobierać kolejne etapy z infrastruktury atakujących.

Dlaczego to jest groźne dla ransomware?
Bo po stabilnym osadzeniu RAT-a atakujący mają czas na rozpoznanie AD, kradzież poświadczeń, enumerację hostów i przygotowanie warunków do masowego wdrożenia szyfratora (czasem dopiero po dniach/tygodniach).


Praktyczne konsekwencje / ryzyko

W opisywanej obserwacji po uzyskaniu dostępu widoczne były działania „hands-on keyboard”, w tym rozpoznanie Active Directory, discovery hostów oraz profilowanie środowiska, a także próby pozyskiwania poświadczeń (np. z przeglądarki). To klasyczny schemat pre-ransomware: najpierw kontrola i mapowanie, potem eskalacja i dopiero na końcu decyzja o szyfrowaniu/eksfiltracji.

Dla biznesu przekłada się to na:

  • ryzyko przejęcia kont uprzywilejowanych i kompromitacji domeny,
  • kradzież danych i długotrwałą obecność (persistence),
  • możliwość uruchomienia ransomware w późniejszym terminie (również przez innego operatora, jeśli dostęp zostanie „sprzedany” lub współdzielony).

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań „tu i teraz” (priorytety SOC/IR):

  1. Zablokuj ClickFix jako zachowanie, nie jako pojedynczy IOC
  • reguły EDR/SIEM na nietypowe uruchomienia: Win+R → cmd/powershell z długimi, zaciemnionymi parametrami,
  • monitoring „łańcuchów” procesów: explorer.exe → rundll32/cmd/powershell/mshta/regsvr32 (zależnie od wariantu kampanii).
  1. Hunting na LOLBAS i staging
  • korelacje na finger.exe w kontekście pobierania danych (rzadkie w normalnych środowiskach),
  • wykrywanie kompilacji przez csc.exe w %TEMP%/katalogach użytkownika,
  • alerty na podejrzane artefakty i trwałość w C:\ProgramData (zadania, usługi, autorun).
  1. Zabezpieczenia tożsamości
  • natychmiastowa rotacja haseł dla kont podejrzanych + wymuszenie MFA (szczególnie kont admin/serwisowych),
  • przegląd logowań i tokenów sesyjnych (nietypowe lokalizacje/urządzenia),
  • ograniczenie uprawnień lokalnych adminów i segmentacja dostępu do AD.
  1. Containment na endpointach
  • izolacja hostów z anomaliami w drzewie procesów (ClickFix/loader/RAT),
  • pełna triage pamięci i artefaktów (bo część etapów może być in-memory).
  1. Prewencja użytkownika
  • krótkie szkolenie „just-in-time”: „CAPTCHA nigdy nie wymaga Win+R i wklejania komend”,
  • blokady politykami (AppLocker/WDAC) na nieautoryzowane interpretery i nietypowe ścieżki uruchomień.

Różnice / porównania z innymi przypadkami

To, co wyróżnia ClickFix, to przeniesienie „momentu kompromitacji” na użytkownika: nie trzeba eksploitu, bo ofiara sama uruchamia payload. Unit 42 opisuje ClickFix jako rosnący trend i pokazuje, że kampanie potrafią dynamicznie zmieniać implementację (różne rodziny malware, różne łańcuchy), a mimo to rdzeń jest stały: obfuscated PowerShell/command + kolejne etapy.

Z kolei analizy łańcuchów ClickFix w innych kampaniach (np. kończących się stealerami) pokazują podobną logikę: shellcode/loader → wstrzyknięcie do legalnych procesów → eksfiltracja. To ważne, bo organizacje często bagatelizują „tylko stealer”, a w praktyce stealer bywa etapem budowy dostępu pod większą operację.


Podsumowanie / kluczowe wnioski

  • ClickFix to skuteczny, „tani” wektor initial access, który omija potrzebę exploitów i utrudnia obronę, bo opiera się na zachowaniu użytkownika.
  • W opisywanym przypadku widoczny jest klasyczny playbook: malvertising → ClickFix → LOLBAS/PowerShell/.NET → CastleRAT, a następnie działania ręczne w sieci (AD discovery itp.).
  • Nawet jeśli w danej obserwacji ransomware nie zostanie uruchomione, taki dostęp należy traktować jako incydent o wysokim priorytecie, bo to typowy etap „przygotowania pola” pod szyfrowanie i/lub eksfiltrację.
  • Obrona wymaga podejścia behawioralnego: wykrywania łańcuchów procesów, nietypowych LOLBAS (np. finger.exe), kompilacji csc.exe, persistence w ProgramData oraz twardej higieny tożsamości.

Źródła / bibliografia

  1. BleepingComputer — „Termite ransomware breaches linked to ClickFix CastleRAT attacks” (7 marca 2026) (BleepingComputer)
  2. Darktrace — „CastleLoader & CastleRAT: Behind TAG150’s Modular Malware Delivery System” (26 listopada 2025) (Darktrace)
  3. Palo Alto Networks Unit 42 — „Fix the Click: Preventing the ClickFix Attack Vector” (aktualizacja 10 lipca 2025) (Unit 42)
  4. LevelBlue / SpiderLabs — „How ClickFix Opens the Door to Stealthy StealC Information Stealer” (12 lutego 2026) (levelblue.com)
  5. Blackpoint Cyber — „Snakes in the Castle: Inside a Python-Driven CastleLoader Delivery” (9 grudnia 2025) (Blackpoint)

2025 Zero-Days w praktyce: co naprawdę zmienia raport Google GTIG i jak przygotować się na 2026

Wprowadzenie do problemu / definicja luki

Zero-day (0-day) to podatność, która jest aktywnie wykorzystywana “w dziczy” zanim publicznie pojawi się łatka (albo zanim obrońcy zdążą ją szeroko wdrożyć). Google Threat Intelligence Group (GTIG) w swoim przeglądzie podsumowuje, jak wyglądał ekosystem eksploatacji 0-day w całym 2025 roku — i dlaczego dla wielu organizacji największy ciężar ryzyka przesuwa się z “typowych” endpointów na warstwę enterprise (edge, urządzenia sieciowe, appliance, krytyczne aplikacje).


W skrócie

Najważniejsze tezy z raportu GTIG (i dlaczego są istotne operacyjnie):

  • 90 podatności 0-day ujawnionych w 2025 zostało wg GTIG wykorzystanych jako zero-day.
  • Prawie połowa dotyczyła środowisk firmowych: 43 (48%) 0-day w oprogramowaniu i urządzeniach enterprise (wzrost względem 2024).
  • Najczęściej eksploatowaną kategorią były systemy operacyjne (desktop + mobile): 39 przypadków (44%).
  • W mobile widać wzrost: 15 0-day vs 9 rok wcześniej, przy czym w praktyce często są to łańcuchy exploitów (kilka CVE na jeden “cel” ataku).
  • GTIG podkreśla rosnącą rolę Commercial Surveillance Vendors (CSV) — po raz pierwszy (w ich ujęciu) przypisano im więcej 0-day niż “klasycznym” grupom państwowym od cyberwywiadu.
  • Równolegle rośnie tempo “wczesnej” eksploatacji: analiza VulnCheck wskazuje, że 28,96% podatności z list KEV (u nich) miało oznaki wykorzystania w dniu publikacji CVE lub wcześniej.

Kontekst / historia / powiązania

Raport GTIG wpisuje się w trend, który obrońcy widzą od kilku lat: liczba 0-day nie eksploduje liniowo, ale utrzymuje się na podwyższonym “plateau” (GTIG wskazuje wahania w granicach ~60–100 rocznie w ostatnich latach, wyżej niż przed 2021).

Nowość polega na dystrybucji celów i dostępu do exploitów:

  • Enterprise/edge daje atakującym ogromny zwrot: jeden udany exploit w urządzeniu brzegowym lub komponencie sieciowym może oznaczać dostęp do wielu segmentów naraz. GTIG zwraca uwagę, że w 2025 aż ok. połowa enterprise 0-day dotyczyła security & networking (wskazując na typowe klasy błędów jak brak walidacji wejścia i niedomknięte autoryzacje).
  • Proliferacja narzędzi eksploatacji: osobny materiał GTIG o exploicie “Coruna” pokazuje, jak zaawansowany zestaw exploitów potrafi “krążyć” między aktorami (od klienta firmy surveillance, przez operacje wywiadowcze, po kampanie masowe), co obniża barierę wejścia.

Analiza techniczna / szczegóły luki

GTIG nie opisuje “jednego CVE”, tylko krajobraz. Kilka wątków technicznych z największym znaczeniem dla SOC/Vuln Mgmt:

1. Enterprise: dlaczego “security & networking” tak często pęka?

GTIG wskazuje, że w produktach enterprise (szczególnie security/networking) powtarzają się fundamentalne problemy inżynieryjne:

  • braki walidacji danych wejściowych,
  • niepełne sprawdzanie uprawnień / błędna autoryzacja,
  • podatności w miejscach, które naturalnie mają wysokie uprawnienia i są wystawione na ruch zewnętrzny.

Efekt: nawet “pojedynczy” błąd w takim komponencie bywa dla atakującego równoważny ze zdalnym przełamaniem perymetru.

2. End-user: OS i mobile jako stały silnik 0-day

Wzrost udziału OS (44%) oraz liczby mobile 0-day (15) jest ważny z dwóch powodów:

  • ataki na OS często wspierają EoP / persistence / credential access,
  • w mobile rośnie znaczenie łańcuchów exploitów (kilka podatności po to, by ominąć kolejne warstwy mitigacji).

3. Komercyjny rynek exploitów (CSV) i “druga ręka”

Jeśli exploit-kit potrafi przejść z operacji “premium” do szerszego użycia, organizacje muszą zakładać krótszy czas od “capability discovery” do “capability commodity”. Przykład Coruna pokazuje właśnie taki wektor: te same techniki mogą zostać szybko przejęte, zmodyfikowane i użyte przez innych aktorów.


Praktyczne konsekwencje / ryzyko

Co z tego wynika dla firm (bez względu na branżę):

  1. Patch management musi wyjść poza endpointy. Skoro ~48% 0-day dotyka enterprise, krytyczne stają się cykle aktualizacji: urządzeń brzegowych, appliance, VPN, systemów sieciowych, middleware i kluczowych aplikacji.
  2. Okno reakcji się kurczy. Jeżeli znacząca część podatności jest eksploatowana bardzo wcześnie (czasem przed formalnym “dniem CVE”), strategia “łatamy w kwartale” przestaje mieć sens dla klas high-risk.
  3. Ryzyko nie jest już tylko “państwowe”. GTIG wskazuje rosnącą rolę CSV i zauważalną aktywność grup finansowych (w raporcie: 9 0-day przypisanych do motywacji finansowej). To zwiększa prawdopodobieństwo, że 0-day dotknie też cele “nie-geopolityczne”.

Rekomendacje operacyjne / co zrobić teraz

Poniżej praktyczny zestaw działań, które dobrze mapują się na wnioski GTIG:

1. Priorytetyzacja “exploited-in-the-wild” jako osobna ścieżka

  • Wdróż regułę: KEV / exploited-in-the-wild → tryb pilny (SLA w dniach, nie tygodniach).
  • Automatyzuj zasilanie procesu danymi z oficjalnych feedów (np. repo z danymi KEV na GitHub, które CISA utrzymuje jako mirror).

2. Twarde zabezpieczenie warstwy edge i urządzeń “security & networking”

  • Inwentaryzacja + ekspozycja: co jest publicznie wystawione, na jakich wersjach, z jakim supportem.
  • Segmentacja i ograniczenie zarządzania: management plane tylko z sieci admin/PAW, MFA, allowlisty.
  • Telemetria: logi z urządzeń brzegowych do SIEM, korelacja z IOC/TTP.

3. Mobile i przeglądarki: polityki, które redukują skutki łańcuchów exploitów

  • MDM/MAM, wymuszanie aktualizacji OS, blokady dla starych wersji.
  • Dla profili wysokiego ryzyka: rozważ tryby “hardening” (np. restrykcyjne konfiguracje przeglądarki, ograniczenia instalacji profili, minimalizacja uprawnień aplikacji).

4. Przygotowanie na przyspieszenie “cyklu exploit”

GTIG prognozuje, że AI przyspieszy rekonesans, discovery i development exploitów, co dołoży presji obrońcom w detekcji i reakcji. W praktyce oznacza to:

  • większy nacisk na monitorowanie anomalii i szybkie containment,
  • “shift-left” w SDLC (SAST/DAST, fuzzing, testy regresji bezpieczeństwa),
  • ćwiczenia IR pod scenariusze: 0-day w edge + lateral movement.

Różnice / porównania z innymi przypadkami

  • 2024 vs 2025: GTIG wskazuje wzrost z 78 do 90 0-day i dalszy wzrost udziału enterprise (z 46% do 48%).
  • Endpointy vs enterprise: mimo że OS nadal dominuje jako kategoria (44%), proporcja enterprise utrzymuje się wysoko i jest opisana jako zmiana strukturalna, a nie “odchył”.
  • Proliferacja capability: przykład Coruna dobrze ilustruje, że “najdroższe” techniki nie muszą zostać niszowe na długo.

Podsumowanie / kluczowe wnioski

Raport GTIG za 2025 rok sprowadza się do jednej, niewygodnej prawdy: organizacje nie przegrywają już dlatego, że nie patchują endpointów — tylko dlatego, że nie potrafią szybko i konsekwentnie zabezpieczać enterprise/edge.

Jeśli masz zrobić trzy rzeczy po tej lekturze:

  1. ustaw osobny, ekspresowy tor dla “exploited-in-the-wild”,
  2. potraktuj urządzenia brzegowe i security/networking jak Tier-0,
  3. skróć cykl reakcji (telemetria + IR), bo okno na “bezpieczne łatki” się zamyka.

Źródła / bibliografia

  1. Google Cloud Blog (GTIG) — Look What You Made Us Patch: 2025 Zero-Days in Review (Google Cloud)
  2. SecurityWeek — omówienie danych z raportu GTIG (liczby, trendy) (SecurityWeek)
  3. Google Cloud Blog (GTIG) — Coruna: The Mysterious Journey of a Powerful iOS Exploit Kit (Google Cloud)
  4. VulnCheck — State of Exploitation 2026 (wnioski o tempie eksploatacji/KEV) (VulnCheck)
  5. CISA (mirror danych) — repozytorium cisagov/kev-data (GitHub)

Złośliwe rozszerzenia „AI assistant” kradną historię rozmów z LLM: jak działa kampania i jak się bronić

Wprowadzenie do problemu / definicja luki

Rynek narzędzi „AI sidebar / AI assistant” w przeglądarce rośnie błyskawicznie, a wraz z nim rośnie pokusa nadużyć. Najnowsze ustalenia Microsoft Defender pokazują kampanię złośliwych rozszerzeń Chromium (Chrome/Edge), które podszywają się pod legalne asystenty AI i masowo zbierają treści rozmów z LLM oraz historię przeglądania. Kluczowe ryzyko nie polega tu na „efektownym exploicie”, tylko na tym, że użytkownicy sami instalują dodatek, często w środowisku firmowym, a potem wklejają do okna czatu wrażliwe dane (kod, procedury, koncepcje produktowe, dane klientów).


W skrócie

  • Microsoft opisuje kampanię z ~900 tys. instalacji oraz sygnały aktywności w ponad 20 tys. tenantów enterprise.
  • Rozszerzenia zbierały pełne URL-e (w tym wewnętrzne) oraz fragmenty rozmów z platform takich jak ChatGPT i DeepSeek.
  • Dane były cyklicznie wysyłane metodą HTTPS POST do domen m.in. deepaichats[.]com, chatsaigpt[.]com (oraz wskazywanych wildcardów).
  • W kampanii pojawiają się konkretne ID rozszerzeń wykorzystywane w huntingu i detekcji.

Kontekst / historia / powiązania

To nie jest odosobniony przypadek. Już pod koniec 2025 r. OX Security opisało niemal identyczny motyw: fałszywe rozszerzenia podszywające się pod legalny produkt (AITOPIA), które eksportowały rozmowy z ChatGPT/DeepSeek oraz listę odwiedzanych kart, a jedna z próbek miała nawet wyróżnienie w sklepie.

Równolegle w 2026 r. badacze (m.in. opisywani przez Malwarebytes) zwracali uwagę na inną klasę zagrożeń: rozszerzenia kradnące tokeny sesji ChatGPT, co umożliwia przejęcie konta i dostęp do historii/metadanych.

W tle rośnie jeszcze jedno zjawisko: „agentic” funkcje w przeglądarkach i asystentach webowych rozszerzają powierzchnię ataku (np. wątki o eskalacji uprawnień w komponentach asystenta i nadużyciach przez rozszerzenia).


Analiza techniczna / szczegóły

1. Łańcuch ataku (wg Microsoft)

Microsoft opisuje „klasyczny” łańcuch dla złośliwego rozszerzenia, gdzie największą rolę gra socjotechnika i architektura uprawnień Chromium:

  • Recon: wybór popularnej niszy „AI assistant”, analiza legalnych dodatków (np. AITOPIA) i skopiowanie brandingu oraz zachowań instalacyjnych.
  • Delivery: dystrybucja przez Chrome Web Store, z naturalnym „przenikaniem” także do Edge (obsługa dodatków Chrome).
  • Exploitation (w sensie operacyjnym): po instalacji dodatek wykorzystuje model uprawnień rozszerzeń i zaczyna zbierać dane bez kolejnych kliknięć.
  • C2/Exfil: okresowe wysyłki HTTPS POST na infrastrukturę atakujących (deepaichats[.]com, chatsaigpt[.]com itd.).

2. Co dokładnie było zbierane

Według Microsoft złośliwe rozszerzenie:

  • logowało niemal wszystkie odwiedzane URL-e (w tym zasoby intranetowe),
  • przechwytywało wycinki wiadomości czatu (prompty i odpowiedzi) z narzędzi LLM,
  • zapisywało dane lokalnie jako Base64-encoded JSON, a potem wysyłało je na zewnątrz,
  • dołączało m.in. kontekst nawigacji, nazwy modeli, oraz trwały UUID (identyfikator sesji/instalacji).

3. „Zgoda” jako mechanizm kamuflażu

Ciekawy element opisu Microsoft to mechanika „konsentu”: użytkownik mógł początkowo wyłączyć zbieranie danych, ale aktualizacje miały automatycznie przywracać telemetrię (re-enable), co w praktyce tworzyło trwały kanał wycieku przy minimalnej widoczności dla ofiary.

4. Twarde artefakty: domeny i identyfikatory

Microsoft podaje znane endpointy/domeny do monitoringu oraz ID rozszerzeń używane w przykładowych zapytaniach huntingowych:

  • Domeny/C2 do obserwacji: chatsaigpt.com, deepaichats.com, chataigpt.pro, chatgptsidebar.pro (oraz wildcards).
  • Przykładowe ID: fnmihdojmnkclgjpcoonokmkhjpjechg, inhcgfpbfdjbjogdfjbclgolkmhnooop.

Praktyczne konsekwencje / ryzyko

Dla organizacji to jest przede wszystkim problem DLP i tajemnicy przedsiębiorstwa:

  • Wycieki kodu i IP: prompty często zawierają fragmenty repo, logi, konfiguracje, architekturę.
  • Mapowanie środowiska: pełne URL-e (w tym wewnętrzne) ujawniają nazwy systemów, ścieżki aplikacji, czasem identyfikatory zasobów lub tenantów.
  • Ryzyko zgodności: jeśli w promptach/odpowiedziach lądują dane osobowe lub kontraktowe, organizacja może „nieświadomie” uruchomić incydent naruszenia.
  • Trwałość: rozszerzenie „żyje” tak długo, jak przeglądarka i profil użytkownika — bez klasycznych wskaźników infekcji endpointu.

Rekomendacje operacyjne / co zrobić teraz

1. Szybkie działania (0–24h)

  1. Audyt rozszerzeń w przeglądarkach firmowych (Chrome/Edge) + identyfikacja dodatków AI/sidebar. Microsoft rekomenduje użycie funkcji oceny rozszerzeń w Defender VM.
  2. Blokada ruchu do wskazanych domen (proxy/SWG/DNS/EDR Network Protection) i przegląd logów POST/HTTPS.
  3. Weryfikacja instalacji po ID: polowanie po ExtensionId i ścieżkach katalogów profilu przeglądarki (Windows).
  4. Komunikat do użytkowników: natychmiastowe usunięcie niezweryfikowanych „AI assistant” + krótkie zasady użycia LLM (czego nie wklejać do promptów).

2. Detekcja i hunting (praktycznie)

Microsoft publikuje gotowe przykłady zapytań (Microsoft Defender XDR), m.in.:

  • wykrywanie uruchomień przeglądarki z parametrami zawierającymi znane ID,
  • wykrywanie połączeń do domen kampanii,
  • enumeracja instalacji w tabeli DeviceTvmBrowserExtensions,
  • wykrywanie artefaktów na dysku w folderach profilu Chrome/Edge.

Jeśli nie korzystasz z Defender XDR, przełóż to 1:1 na:

  • reguły w SIEM (DNS/Proxy/Firewall) na domeny,
  • IOC w EDR dla ścieżek katalogów rozszerzeń,
  • polityki Browser Management (allowlist/denylist rozszerzeń).

3. Kontrole długoterminowe (policy + technologia)

  • Allowlist rozszerzeń (preferowane) zamiast „każdy może instalować wszystko”.
  • Microsoft Defender SmartScreen + Network Protection (Microsoft wskazuje je jako warstwę blokowania).
  • Purview / kontrola przepływu danych dla aplikacji GenAI: w praktyce chodzi o to, by prompt i odpowiedź były traktowane jak kanał danych (klasyfikacja, DLP, zasady).
  • Zasady użycia AI: minimalny standard to „prompt hygiene”, etykietowanie danych, zakaz wklejania sekretów i fragmentów kluczy/tokenów.

Różnice / porównania z innymi przypadkami

Warto rozróżnić dwa popularne modele ataku na „AI w przeglądarce”:

  1. Telemetria/Podsłuch (ten przypadek)
  • celem jest ciągłe zbieranie: URL-e + treści czatów, często „po cichu”, długoterminowo, z UUID.
  1. Kradzież tokenów sesji / przejęcie konta
  • rozszerzenie kradnie token uwierzytelnienia (np. do ChatGPT), co daje możliwość przejęcia tożsamości i wglądu w historię konta. Takie kampanie opisywano m.in. w kontekście zestawu złośliwych dodatków dla Chrome/Edge.

Oba scenariusze kończą się podobnie (wyciek treści), ale różnią się tym, gdzie powstaje szkoda: lokalnie w przeglądarce (podsłuch) vs „po stronie usługi/konta” (token).


Podsumowanie / kluczowe wnioski

  • „AI assistant” w formie rozszerzenia to dziś jeden z najłatwiejszych kanałów wycieku danych: wystarczy instalacja i szerokie uprawnienia.
  • Skala jest realna: Microsoft mówi o ~900 tys. instalacji i aktywności w >20 tys. tenantów, co wskazuje na istotny wymiar enterprise.
  • Najlepsza obrona to połączenie allowlisty rozszerzeń, monitoringu domen/C2, i zasad użycia LLM (prompt hygiene + DLP).

Źródła / bibliografia

  1. Microsoft Security Blog (Microsoft Defender Security Research Team) – „Malicious AI Assistant Extensions Harvest LLM Chat Histories” (05.03.2026). (Microsoft)
  2. OX Security – „900K Users Compromised: Chrome Extensions Steal ChatGPT and DeepSeek Conversations” (30.12.2025). (OX Security)
  3. Malwarebytes – „Malicious Chrome extensions can spy on your ChatGPT chats” (28.01.2026). (Malwarebytes)
  4. TechRadar (na podstawie LayerX/BleepingComputer) – kampanie fałszywych rozszerzeń GenAI i masowe eksfiltracje treści (luty 2026). (TechRadar)
  5. ITPro – przykład ryzyk związanych z asystentami w przeglądarce i nadużyciami przez rozszerzenia (CVE-2026-0628 / Gemini Live). (IT Pro)

Tether zamraża 4,2 mld USD w USDT: co oznacza „freeze” stablecoina dla walki z cyberprzestępczością

Wprowadzenie do problemu / definicja „freeze” USDT

Reuters opisał deklarację Tethera, według której emitent stablecoina USDT zamroził łącznie ok. 4,2 mld USD tokenów powiązanych z „illicit activity”, głównie w ostatnich trzech latach. Firma ma techniczną możliwość zdalnego zablokowania środków znajdujących się na wskazanych adresach (walletach), gdy zwrócą się o to organy ścigania.

W praktyce „freeze” nie oznacza cofnięcia transakcji ani „wymazania” historii z blockchaina. To blokada możliwości transferu określonych tokenów z danego adresu, realizowana funkcją w smart kontrakcie stablecoina (na obsługiwanych sieciach).


W skrócie

  • Tether podaje, że zamroził ok. 4,2 mld USD w USDT w sprawach powiązanych z przestępczością; 3,5 mld USD miało zostać zamrożone od 2023 r.
  • Firma wskazuje współpracę z DOJ: ok. 61 mln USD w USDT zamrożone w wątku tzw. „pig-butchering” (oszustwa relacyjne/inwestycyjne).
  • Skala zjawiska rośnie: Chainalysis opisuje, że chińskojęzyczne sieci prania pieniędzy przetworzyły ~16,1 mld USD w 2025 r. (1 799+ aktywnych portfeli), a ekosystem prania on-chain urósł znacząco na przestrzeni ostatnich lat.
  • FATF (globalny standard AML/CFT) w kolejnych aktualizacjach naciska na państwa, by szybciej i konsekwentniej wdrażały wymagania dla wirtualnych aktywów i VASP (m.in. nadzór, identyfikacja stron transakcji, egzekucja przepisów).

Kontekst / historia / powiązania

Stablecoiny jako „szyna płatnicza” cyberprzestępczości

USDT jest powszechnie używany w obrocie krypto (handel, transfery między giełdami, OTC), ale też w modelach przestępczych: od wyłudzeń (pig-butchering), przez pranie środków z malware/ransomware, po obchodzenie sankcji.

W tle są również działania wobec infrastruktur sprzyjających praniu pieniędzy. Przykładowo, amerykański DOJ opisywał międzynarodową operację wymierzoną w rosyjską giełdę Garantex (sankcjonowaną i łączoną z praniem środków), obejmującą m.in. przejęcia infrastruktury i działania finansowe.

Presja regulacyjna: FATF i „globalny dług wdrożeniowy”

FATF wprost wskazuje, że implementacja standardów AML/CFT dla VASP jest nierówna, a luki w nadzorze przekładają się na transgraniczne ryzyko nadużyć. To tworzy środowisko, w którym emitenci stablecoinów, giełdy i dostawcy analityki blockchain stają się de facto elementem „egzekucji” – często szybciej niż systemy prawne poszczególnych jurysdykcji.


Analiza techniczna / szczegóły „luki” (mechanizmu)

Jak Tether może „zamrozić” USDT?

Mechanizm opiera się na tym, że token (USDT) jest kontraktem, który zwykle zawiera uprawnienia administracyjne (np. blacklisting/freezing). Gdy adres trafi na listę blokad:

  • tokeny nadal „są” na adresie,
  • ale transfer (np. transfer, transferFrom) jest odrzucany przez logikę kontraktu,
  • giełdy/VASP mogą dodatkowo wdrażać własne blokady depozytów/wypłat dla takich adresów.

Reuters podkreśla, że Tether może zdalnie zamrażać tokeny w portfelach użytkowników na wniosek organów ścigania.

Co „freeze” rozwiązuje, a czego nie?

Rozwiązuje (częściowo):

  • ogranicza możliwość „ucieczki” środków w USDT z oznaczonych adresów,
  • ułatwia zabezpieczenie dowodów i późniejsze działania prawne,
  • zwiększa koszt operacyjny dla przestępców (muszą szybciej mieszać aktywa/zmieniać narzędzia).

Nie rozwiązuje:

  • przestępca może wcześniej zbridge’ować środki, zamienić na inne aktywa lub przenieść na sieć/asset bez takiej kontroli,
  • zamrożenie dotyczy zwykle konkretnego tokena/kontraktu (nie „całego blockchaina”),
  • bez dobrego OSINT/chain intelligence łatwo o „false positives” (ryzyko błędnej blokady, adresy pośrednie, depozyty giełdowe).

Praktyczne konsekwencje / ryzyko

Dla firm i instytucji (fintech, e-commerce, giełdy)

  • Ryzyko operacyjne: przyjęcie płatności w USDT może skończyć się otrzymaniem środków, których nie da się dalej przesłać (adres/środki objęte blokadą).
  • Ryzyko zgodności (compliance): rośnie oczekiwanie wdrożenia kontroli źródła środków (SoF/SoW), monitoringu transakcyjnego i reakcji na alerty. Kierunek jest spójny z presją FATF na skuteczniejszą egzekucję AML/CFT w obszarze VA/VASP.
  • Ryzyko reputacyjne: kontakt z adresami powiązanymi z oszustwami (np. pig-butchering) może oznaczać konieczność raportowania i współpracy z organami. Reuters wskazuje na konkretne działania w wątku pig-butchering (zamrożone ~61 mln USD).

Dla obrony i śledztw (SOC/CSIRT/DFIR)

  • Zamrożenia są coraz częściej elementem „incident response” w fraudach krypto.
  • Dane Chainalysis o skali sieci prania (np. ~16,1 mld USD w 2025 r. dla chińskojęzycznych sieci) sugerują, że przeciwnik jest zorganizowany i operuje usługowo (laundering-as-a-service).

Rekomendacje operacyjne / co zrobić teraz

Jeśli jesteś fintechiem / VASP / procesorem płatności

  1. Włącz chain screening dla depozytów i wypłat (ryzyko adresu, ekspozycja na scam/mixery/sankcje).
  2. Zbuduj playbook na „frozen funds”: obsługa klienta, eskalacja compliance, retencja logów, ścieżka kontaktu z LE.
  3. Ustal politykę akceptacji stablecoinów (które sieci, które kontrakty, jakie progi ryzyka, kiedy blokada).
  4. Weryfikuj ekspozycję na infrastruktury wysokiego ryzyka (np. podmioty objęte sankcjami / wskazywane w działaniach organów). Kontekst operacji przeciw Garantex pokazuje, że takie punkty ekosystemu bywają celem skoordynowanych działań międzynarodowych.

Jeśli jesteś zespołem bezpieczeństwa / DFIR

  1. Traktuj stablecoiny jak kanał transferu wartości, nie „tylko krypto”: łącz dane z SIEM, fraud signals, OSINT.
  2. Korelacja adresów: klastrowanie, analiza przepływów, identyfikacja off-rampów (giełdy, OTC), przygotowanie materiału pod wnioski do LE.
  3. Edukacja użytkowników pod kątem pig-butchering i „romance/investment scams” (bo to dziś masowy wektor strat). Wątek ~61 mln USD zamrożonych w tej kategorii jest sygnałem skali.

Różnice / porównania z innymi przypadkami

  • Freeze stablecoina (emitent): szybka blokada transferu konkretnego tokena, scentralizowana decyzja/egzekucja w kontrakcie.
  • Blokada po stronie VASP (giełda): kontrola dostępu do off-rampu/on-rampu (KYC, wypłaty, depozyty), ale nie zmienia stanu on-chain.
  • Konfiskata/seizure (LE): zwykle wymaga przejęcia kluczy/portfeli, działań prawnych i egzekucji w jurysdykcji; bywa wolniejsze, ale finalnie przenosi kontrolę nad aktywem.

W praktyce najskuteczniejszy jest łańcuch działań: identyfikacja → blokada emitenta/VASP → zabezpieczenie dowodów → czynności prawne.


Podsumowanie / kluczowe wnioski

  • Deklarowane 4,2 mld USD zamrożonych USDT pokazuje, że emitenci stablecoinów odgrywają realną rolę w reagowaniu na cyberprzestępczość finansową – niezależnie od dyskusji o decentralizacji.
  • Rosnąca profesjonalizacja prania pieniędzy (np. skala opisywana przez Chainalysis) oznacza, że organizacje muszą traktować monitoring on-chain jak standardowy element kontroli nadużyć.
  • Kierunek regulacyjny jest jasny: FATF oczekuje szybszego i pełniejszego wdrożenia AML/CFT dla VA/VASP, co będzie zwiększać presję na procedury, narzędzia i współpracę z LE.

Źródła / bibliografia

  • Reuters (27.02.2026): informacja o 4,2 mld USD zamrożonych USDT i kontekście działań. (Reuters)
  • Tether (komunikat): współpraca z DOJ i zamrożenia powiązane z pig-butchering. (tether.io)
  • Chainalysis (blog): chińskojęzyczne sieci prania pieniędzy i skala w 2025 r. (Chainalysis)
  • FATF (26.06.2025): targeted update dot. VA/VASP i oczekiwane działania AML/CFT. (fatf-gafi.org)
  • U.S. DOJ (07.03.2025): informacja o operacji przeciw Garantex (kontekst sankcyjno-AML). (Department of Justice)

CISA ostrzega: malware RESURGE może „uśpić się” na urządzeniach Ivanti i czekać na ponowny kontakt atakującego

Wprowadzenie do problemu / definicja luki

CISA opublikowała zaktualizowane ustalenia dotyczące RESURGE – złośliwego „implantu” (komponentu osadzanego na urządzeniu brzegowym), używanego w kampaniach wykorzystujących podatność CVE-2025-0282 do kompromitacji Ivanti Connect Secure (ICS). Kluczowy wniosek jest bardzo praktyczny: RESURGE może pozostawać uśpiony (dormant) i niewykryty na urządzeniu tak długo, aż operator ataku ponownie spróbuje się z nim połączyć.

To istotne, bo w przypadku „edge device” (VPN / gateway) brak typowego „beaconingu” do C2 oznacza mniejszą szansę, że SIEM/NDR zobaczy podejrzany ruch wychodzący. W praktyce: możesz mieć pozornie „czyste” logi i brak alarmów, a urządzenie nadal jest zagnieżdżone.


W skrócie

  • RESURGE to 32-bitowa biblioteka współdzielona Linuksa (m.in. wskazywana jako libdsupgrade.so) znaleziona na skompromitowanych urządzeniach Ivanti ICS.
  • Implant działa jako pasywny C2: nie wysyła cyklicznych połączeń, tylko czeka na specyficzne połączenie przychodzące TLS.
  • Mechanizmy unikania detekcji obejmują m.in. fingerprinting TLS (CRC32) oraz elementy uwierzytelniania z użyciem fałszywego certyfikatu Ivanti, a po „rozpoznaniu” operatora – zestawienie szyfrowanej sesji (mTLS / kryptografia eliptyczna).
  • Kampanie łączono z aktorem powiązanym z Chinami (UNC5221) i ekosystemem malware „SPAWN”.

Kontekst / historia / powiązania

Wątek Ivanti ICS i podatności na urządzeniach brzegowych wraca regularnie, ale tutaj mówimy konkretnie o CVE-2025-0282 (stack-based buffer overflow), która była aktywnie wykorzystywana jako 0-day jeszcze przed udostępnieniem poprawek.

W raportach z 2025 r. pojawia się powiązanie z rodziną narzędzi „SPAWN” oraz wariantami/odnogami jak SpawnChimera, a RESURGE bywa opisywany jako wariant/powiązany komponent tej linii rozwojowej (wspólne funkcje i cele: utrzymanie dostępu, tunelowanie, backdoor).


Analiza techniczna / szczegóły luki

1) Pasywny C2 i „czekanie” na atakującego

Najbardziej niepokojący mechanizm opisany w aktualizacji: RESURGE nie musi generować ruchu wychodzącego, bo czeka w nieskończoność na odpowiednio spreparowane połączenie przychodzące TLS. To klasyczny wzorzec „low-noise persistence” na urządzeniach brzegowych.

2) Hookowanie accept() i selekcja ruchu

Według opisu technicznego, gdy implant jest załadowany w kontekście procesu web, hookuje funkcję accept(), aby analizować pakiety TLS zanim trafią do webserwera – i rozpoznawać, czy to „normalny” klient, czy operator ataku.

3) Fingerprinting TLS (CRC32) oraz fałszywy certyfikat

Ruch jest weryfikowany m.in. przez CRC32 TLS fingerprint hashing scheme – jeśli fingerprint się nie zgadza, połączenie jest obsługiwane jak legalny ruch do Ivanti. Dodatkowo pojawia się sfałszowany certyfikat Ivanti używany do potwierdzenia, że operator rozmawia z implantem, a nie prawdziwą usługą. Co ważne, w opisie podkreślono, że certyfikat ma rolę „identyfikacyjną/uwierzytelniającą”, a niekoniecznie służy do szyfrowania – co daje obrońcom potencjalny artefakt sygnaturowy na poziomie sieci.

4) Kryptografia eliptyczna i mTLS

Po udanej weryfikacji fingerprintu i „handshake’u” z operatorem, implant zestawia bezpieczny zdalny dostęp z użyciem mTLS i kryptografii krzywych eliptycznych, żądając klucza EC od operatora i weryfikując go względem wbudowanego klucza CA.

5) Funkcje: od rootkita po bootkit (w tym coreboot)

Opis funkcjonalny RESURGE jest szeroki: rootkit/bootkit/backdoor/dropper/proxy/tunneling. W materiale zwrócono też uwagę, że malware potrafi odszyfrować, zmodyfikować i ponownie zaszyfrować obrazy firmware coreboot oraz manipulować zawartością systemu plików w celu utrzymania się na poziomie rozruchu. To podnosi poprzeczkę IR: „zwykły” restart czy częściowe czyszczenie może nie wystarczyć.

6) Log-tampering i komponenty towarzyszące

W analizowanych artefaktach wskazano również wariant SpawnSloth (liblogblock.so) służący do manipulacji logami (ukrywanie aktywności), a także skrypt/binarne narzędzie związane z ekstrakcją kernela (dsmain).


Praktyczne konsekwencje / ryzyko

  1. Ryzyko „fałszywego poczucia bezpieczeństwa”
    Brak beaconingu i log-tampering oznaczają, że standardowe sygnały kompromitacji mogą być niewidoczne.
  2. Utrzymanie dostępu na urządzeniu brzegowym = klucz do sieci
    ICS zwykle stoi na styku Internet–intranet. Kompromitacja takiego węzła ułatwia pivoting, kradzież poświadczeń i długotrwałe operacje szpiegowskie.
  3. Potencjalnie trudna eradykacja
    Jeśli w grę wchodzą mechanizmy boot-level i modyfikacje związane z firmware, organizacja musi rozważyć scenariusze „bare metal / rebuild” i rygorystyczną walidację urządzeń.

Rekomendacje operacyjne / co zrobić teraz

Poniżej lista działań, które zwykle mają sens w organizacjach korzystających z Ivanti Connect Secure – szczególnie gdy urządzenie było narażone na eksploatację CVE-2025-0282 lub nie ma twardej pewności co do stanu kompromitacji:

  1. Natychmiastowa higiena podatności
  • Upewnij się, że ICS jest na wersji/konfiguracji z poprawką dla CVE-2025-0282 (oraz że nie ma „luk pobocznych” wynikających z zaległości w aktualizacjach).
  1. Polowanie na IoC i artefakty na urządzeniu
  • Szukaj wskazanych nazw/artefaktów typu libdsupgrade.so, liblogblock.so i powiązanych hashy/IoC z aktualizacji (ważne: część IoC może dotyczyć konkretnej próbki, więc traktuj to jako punkt startowy do threat huntingu).
  1. Detekcja na poziomie sieci
  • Włącz/rozszerz inspekcję połączeń przychodzących do ICS pod kątem anomalii TLS i nietypowych certyfikatów – opis wskazuje, że fałszywy certyfikat może posłużyć jako „network signature” przy aktywnym kontakcie operatora z implantem.
  1. Załóż kompromitację przy braku dowodów negatywnych
  • Jeśli urządzenie było podatne w okresie aktywnej eksploatacji, rozważ podejście: izolacja, pełny przegląd, a w razie wątpliwości wymiana/rebuild urządzenia i odtworzenie konfiguracji z zaufanego źródła.
  1. Rotacja poświadczeń i przegląd dostępu
  • Resetuj hasła kont uprzywilejowanych, kont serwisowych i integracji, które mogły być używane przez ICS (VPN, LDAP/AD bind, SSO), oraz przejrzyj konta lokalne/nieoczekiwane zmiany.
  1. Telemetry + retencja logów
  • Zwiększ retencję, wysyłkę logów poza urządzenie (syslog/SIEM), a także korelację z EDR/NDR – log-tampering na samym urządzeniu jest wtedy mniej bolesny operacyjnie.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W porównaniu do „typowego” backdoora, który odzywa się do C2 (HTTP/DNS beacon), RESURGE jest bardziej zbliżony do stylu „edge implantów” obserwowanych w kampaniach APT: minimalny hałas, pasywny kanał dostępu i nacisk na przetrwanie na urządzeniu brzegowym. Mechanizmy w rodzaju hookowania accept() i selekcji połączeń przychodzących są szczególnie problematyczne dla środowisk, które polegają głównie na wykrywaniu anomalii w ruchu wychodzącym.


Podsumowanie / kluczowe wnioski

  • RESURGE może „czekać” na urządzeniu Ivanti ICS bez generowania podejrzanego ruchu, co utrudnia wykrycie i zwiększa ryzyko długotrwałej kompromitacji.
  • Technicznie to nie jest prosty webshell: mówimy o komponencie z elementami rootkit/bootkit, zaawansowaną selekcją TLS i mechanizmami uwierzytelniania operatora.
  • Działania obronne powinny łączyć patch management, hunting po IoC/artefaktach, detekcję sieciową i gotowość do twardszych kroków (izolacja/rebuild/rotacja sekretów) w scenariuszach podwyższonego ryzyka.

Źródła / bibliografia

  1. BleepingComputer – opis aktualizacji CISA i detale techniczne (pasywny C2, TLS fingerprint, fałszywy certyfikat, coreboot). (BleepingComputer)
  2. Cybersecurity Dive – kontekst „latent/undetected”, odniesienie do analizy próbek z infrastruktury krytycznej. (cybersecuritydive.com)
  3. SecurityWeek – tło CVE-2025-0282, UNC5221 i ekosystem SPAWN/SpawnChimera. (SecurityWeek)
  4. SC Media – opis funkcji RESURGE oraz komponentów do log-tampering i narzędzi towarzyszących. (SC Media)
  5. Heise – szerszy kontekst eksploatacji Ivanti na przestrzeni 2025 r. (kontekst kampanii i aktorów). (heise online)

GRIDTIDE: jak Google i Mandiant przerwali globalną kampanię szpiegowską opartą o Google Sheets API

Wprowadzenie do problemu / definicja luki

W lutym 2026 Google Threat Intelligence Group (GTIG) wraz z Mandiant i partnerami przeprowadził skoordynowane działania disrupt (takedown/sinkhole) przeciw kampanii szpiegowskiej przypisywanej aktorowi UNC2814, powiązanemu z Chinami (PRC-nexus). Kluczowy element tej operacji to nadużycie legalnych funkcji chmury – w szczególności Google Sheets API – jako kanału C2 (command-and-control), bez wykorzystywania podatności w samych produktach Google.

To ważny trend: zamiast „łamać” usługę, napastnik korzysta z niej zgodnie ze specyfikacją, maskując ruch wśród prawidłowych wywołań API. Dla SOC oznacza to, że klasyczne detekcje oparte o domeny C2 i nietypowe protokoły mogą nie zadziałać.


W skrócie

  • Aktor: UNC2814 (śledzony przez GTIG od 2017 r.), kampania o charakterze szpiegowskim.
  • Skala: potwierdzony wpływ na 53 ofiary w 42 krajach, z podejrzeniem kolejnych infekcji/aktywności w następnych państwach.
  • Cele: głównie telekomy oraz organizacje rządowe (w wielu regionach świata).
  • Narzędzie: nowy backdoor GRIDTIDE z C2 przez Google Sheets (API), ukrywający się w legalnym ruchu chmurowym.
  • Disrupt: wyłączone projekty Google Cloud kontrolowane przez atakujących, infrastruktura i konta wykorzystywane do Sheets API/C2 oraz publikacja IOC.
  • Istotna uwaga: Google podkreśla brak kompromitacji produktów – to abuse of functionality, nie „bug”.

Kontekst / historia / powiązania

Telekomy od lat są „złotą żyłą” dla wywiadu: dostęp do metadanych połączeń, SMS-ów, danych abonentów i potencjalnie mechanizmów lawful intercept pozwala budować obraz relacji i aktywności osób (dysydenci, aktywiści, dyplomaci, biznes, administracja). Google wskazuje, że w badanej aktywności znaleziono system zawierający PII (m.in. imię i nazwisko, numer telefonu, data i miejsce urodzenia, numery identyfikacyjne).

Warto też odnotować: GTIG zaznacza, że obserwowana aktywność UNC2814 nie pokrywa się z nagłaśnianym klastrem „Salt Typhoon” – inne ofiary i inne TTP.


Analiza techniczna / szczegóły luki

1. Pierwszy sygnał: podejrzany proces i eskalacja do roota

W opisie śledztwa Mandiant pojawia się detekcja na serwerze CentOS, gdzie binarka /var/tmp/xapt uruchamia shella z uprawnieniami roota, a następnie wykonuje sh -c id 2>&1 w celu potwierdzenia eskalacji (uid=0). Nazwa „xapt” ma wyglądać wiarygodnie (podszycie pod „apt”).

2. Utrzymanie dostępu i ruch lateralny

Po kompromitacji aktor poruszał się po środowisku m.in. przez SSH oraz wykorzystywał LotL. Persistencja obejmowała usługę systemd:

  • /etc/systemd/system/xapt.service
  • uruchamianie instancji z /usr/sbin/xapt
    oraz start przez nohup ./xapt (odporność na zamknięcie sesji).

W kampanii zauważono też wdrożenie SoftEther VPN Bridge do zestawienia szyfrowanego tunelu wychodzącego (metadane konfiguracji sugerują użycie tej infrastruktury przez lata).

3. GRIDTIDE jako backdoor: C2 w Google Sheets

GRIDTIDE to backdoor w C umożliwiający wykonywanie poleceń oraz upload/download plików. Najciekawsze jest to, jak traktuje arkusz nie jak dokument, lecz kanał komunikacyjny:

Konfiguracja i kryptografia

  • malware oczekuje 16-bajtowego klucza w osobnym pliku na hoście,
  • używa go do odszyfrowania konfiguracji (AES-128 CBC),
  • w konfiguracji są m.in. dane konta serwisowego i identyfikator arkusza,
  • autoryzacja odbywa się przez Service Account do Google Sheets API.

„Czyszczenie śladów” w arkuszu

  • przy starcie GRIDTIDE usuwa dane z pierwszych 1000 wierszy (A–Z) metodą batchClear, by nie mieszać sesji i usuwać historię poleceń/danych.

Fingerprinting hosta

  • zbiera m.in. użytkownika, nazwę hosta, wersję OS, lokalne IP, katalog roboczy, ustawienia językowe i strefę czasową,
  • odkłada fingerprint w komórce V1.

Składnia komend i role komórek

  • komendy mają format: <type>-<command_id>-<arg_1>-<arg_2>,
  • istotne typy operacji:
    • C (Command) – wykonanie Base64-zakodowanych komend bash i zapis wyniku do arkusza,
    • U (Upload) – rekonstrukcja danych z zakresu komórek i zapis na hoście,
    • D (Download) – pocięcie pliku i wysyłka fragmentów do arkusza,
  • mechanika C2:
    • A1: polling po komendy i zwrot statusu,
    • A2..An: transfer danych (wyniki/fragmenty plików),
    • V1: metadane hosta.

Ewazja i „udawanie normalności”

  • dane są kodowane wariantem URL-safe Base64 (zamiana + i / na - i _),
  • polling ma adaptacyjne opóźnienia (po serii prób przejście na losowe 5–10 minut), co zmniejsza „szum”.

To dokładnie ten przypadek, w którym ruch wygląda jak „zwykłe API do SaaS”, a nie klasyczny C2.


Praktyczne konsekwencje / ryzyko

  1. Ryzyko masowej inwigilacji: dostęp do PII i zasobów telekomu może służyć identyfikacji i śledzeniu „persons of interest”.
  2. Ryzyko nadużyć lawful intercept / metadanych: Google przypomina, że podobne intruzje w telekomach w przeszłości kończyły się kradzieżą CDR, podglądem SMS i nadużyciami systemów przechwytu.
  3. Trudniejsze wykrywanie: jeżeli C2 idzie przez legalne platformy (Sheets/API), to bez dobrej telemetrii (API logs, egress, identity) łatwo przeoczyć aktywność, bo „nie ma podejrzanej domeny”.

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw praktyk, które realnie podnoszą szanse wykrycia „SaaS-as-C2” w stylu GRIDTIDE (zwłaszcza w środowiskach serwerowych i hybrydowych):

1. Kontrola tożsamości i kluczy

  • Przegląd Service Accounts: rotacja kluczy, ograniczenia IAM (zasada najmniejszych uprawnień), wyłączanie nieużywanych kont.
  • Alerty na tworzenie/eksport kluczy do Service Account oraz nietypowe użycie po godzinach.

2. Telemetria i detekcje na API

  • W logach proxy/egress/SIEM buduj detekcje na:
    • nietypowe wywołania Google Sheets API z serwerów, które nie powinny „automatyzować arkuszy”,
    • wzrost częstotliwości requestów i powtarzalny polling (A1),
    • anomalie w user-agent / bibliotece / tokenach (jeśli dostępne).
  • Jeśli masz DLP/UEBA: polityki na masowe odczyty/zapisy do arkuszy z kont serwisowych.

3. Hunting na hostach (Linux)

Szukaj artefaktów i wzorców z opisu Mandiant/GTIG:

  • pliki: /var/tmp/xapt, /usr/sbin/xapt, jednostka /etc/systemd/system/xapt.service, użycie nohup do startu,
  • podejrzane procesy uruchamiające id celem potwierdzenia roota,
  • nietypowe wdrożenia SoftEther VPN Bridge na serwerach, gdzie nie ma uzasadnienia biznesowego.

4. Egress i segmentacja

  • Ograniczaj serwerom dostęp wychodzący (allowlist) – nawet jeśli to „legalny” SaaS.
  • Segmentacja i twarde reguły dla stref administracyjnych (jump hosts), by utrudnić lateral movement przez SSH.

5. Wykorzystaj IOC i wsparcie producentów

GTIG opublikował zestaw IOC powiązanych z infrastrukturą UNC2814 aktywną co najmniej od 2023 r. – warto je włączyć w pipeline (SIEM/EDR/NDR), nawet jeśli spodziewasz się „małej ilości hitów”.


Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • GRIDTIDE (Sheets-as-C2): bardzo „czyste” maskowanie w API, gdzie arkusz jest buforem poleceń/danych.
  • Klasyczne C2: łatwiej blokować domeny/IP, łatwiej profilować protokoły.
  • Wspólny mianownik: obrona musi przesuwać się z „blokowania infrastruktury” na behawior + identity + telemetrykę SaaS (kto, skąd i po co używa API).

Podsumowanie / kluczowe wnioski

Kampania UNC2814 z backdoorem GRIDTIDE to podręcznikowy przykład, jak legalne platformy SaaS mogą stać się niewidocznym C2. Skala (53 ofiary / 42 kraje) i profil celów (telekomy, rządy) potwierdzają, że chodzi o długofalowy wywiad, a nie szybki zysk.

Najważniejsza lekcja dla obrony: jeśli nie instrumentujesz API + tożsamości + egress, możesz przegapić atak, który „wygląda jak normalna praca z chmurą”.


Źródła / bibliografia

  1. Google Cloud Blog (GTIG & Mandiant) – “Exposing the Undercurrent: Disrupting the GRIDTIDE Global Cyber Espionage Campaign”, 25.02.2026. (Google Cloud)
  2. Reuters – relacja o skali i charakterze kampanii oraz disrupt, 25.02.2026. (Reuters)
  3. SecurityWeek – omówienie kampanii i kontekstu, 25–26.02.2026. (SecurityWeek)
  4. Cybersecurity Dive – podsumowanie i akcent na nadużycie legalnych funkcji cloud/SaaS, 25.02.2026. (cybersecuritydive.com)

CISA wydaje Emergency Directive dla Cisco SD-WAN: aktywnie wykorzystywany łańcuch CVE-2026-20127 + CVE-2022-20775 daje trwałą kontrolę nad siecią

Wprowadzenie do problemu / definicja luki

Urządzenia brzegowe (edge) i platformy zarządzania ruchem WAN są wyjątkowo atrakcyjne dla atakujących: stoją „na styku” sieci, mają wysoki poziom zaufania i często są wystawione do internetu. Najnowszy przykład to Cisco Catalyst SD-WAN Controller (dawniej vSmart) i Cisco Catalyst SD-WAN Manager (dawniej vManage), dla których wykryto krytyczną podatność pozwalającą na zdalne ominięcie uwierzytelniania i uzyskanie uprawnień administracyjnych (CVE-2026-20127).

Sytuacja jest na tyle poważna, że CISA wydała Emergency Directive dla agencji federalnych USA, wskazując na „imminent threat” i konieczność natychmiastowych działań, ale rekomendacje są praktycznie 1:1 dla firm prywatnych.


W skrócie

  • CVE-2026-20127 (CVSS 10.0): zdalne, nieautoryzowane obejście uwierzytelniania w mechanizmie peering authentication w Catalyst SD-WAN Controller/Manager.
  • Ataki są aktywne w środowiskach produkcyjnych, a Cisco Talos wiąże je z aktorem UAT-8616; ślady wskazują na działania co najmniej od 2023 r.
  • Luki są łańcuchowane z CVE-2022-20775 (starsza podatność używana do eskalacji i utrzymania dostępu), co umożliwia długotrwałą persystencję.
  • Terminy z dyrektywy CISA (dla FCEB): zbiór logów do końca czwartku 26.02.2026, a instalacja poprawek do piątku 27.02.2026 23:00 czasu PL (5 p.m. ET).

Kontekst / historia / powiązania

Cisco Talos opisuje kampanię jako działanie „wysoce zaawansowanego” aktora (UAT-8616), ukierunkowaną na urządzenia brzegowe i organizacje o wysokiej wartości (w tym sektory infrastruktury krytycznej). Co istotne: po ujawnieniu 0-day analitycy znaleźli oznaki, że aktywność sięga co najmniej trzech lat wstecz.

Cybersecurity Dive zwraca uwagę, że CISA traktuje sprawę jako globalny problem, a nie wyłącznie „rządowy”: w publicznych komunikatach partnerzy (m.in. Five Eyes) wzywają organizacje spoza sektora federalnego do patchowania, analizy kompromitacji i utwardzania.


Analiza techniczna / szczegóły luki

CVE-2026-20127: obejście uwierzytelniania w peering

Według wpisu w NVD podatność wynika z nieprawidłowego działania mechanizmu peering authentication. Atakujący może wysyłać spreparowane żądania i zalogować się jako uprzywilejowany (non-root) użytkownik wewnętrzny, bez wcześniejszego uwierzytelnienia. Dalej możliwy jest dostęp do NETCONF, co otwiera drogę do manipulacji konfiguracją fabric SD-WAN (a więc de facto kontroli nad ruchem i topologią).

Cisco Talos podkreśla, że krytycznym sygnałem do polowania (hunting) są nietypowe zdarzenia peering/control connection w logach – zwłaszcza takie, które wyglądają „prawidłowo”, ale pojawiają się o złych porach, z nieznanych adresów IP lub z niepasujących typów urządzeń.

Łańcuchowanie z CVE-2022-20775 i technika „downgrade → exploit → upgrade”

W opisie kampanii przewija się bardzo praktyczny wzorzec:

  1. uzyskanie wejścia przez CVE-2026-20127,
  2. downgrade oprogramowania do wersji podatnej na CVE-2022-20775,
  3. eskalacja do root i utrwalenie persystencji,
  4. (często) powrót/„upgrade” do pierwotnej wersji, by utrudnić wykrycie.

SecurityWeek zwraca uwagę, że Cisco opublikowało też IoC i że CISA dodała CVE-2026-20127 (oraz CVE-2022-20775) do kontekstu aktywnej eksploatacji i działań pilnych.


Praktyczne konsekwencje / ryzyko

W praktyce kompromitacja kontrolera/managera SD-WAN może oznaczać:

  • przejęcie zarządzania ruchem WAN (routing, polityki, segmentacja, tunneling),
  • możliwość podsłuchu/redirectu i manipulacji ścieżkami (np. przekierowanie do infrastruktury atakującego),
  • tworzenie zaufanych połączeń w ramach control/management plane,
  • trwałą persystencję (root) i trudne do wykrycia „życie w systemie” przez miesiące.

To jest klasa ryzyka „single point of failure”: przejęcie jednego elementu sterującego może „przepisać” polityki dla wielu lokalizacji.


Rekomendacje operacyjne / co zrobić teraz

Priorytet 1: ogranicz ekspozycję i zinwentaryzuj

  • Zidentyfikuj wszystkie instancje: Catalyst SD-WAN Controller i Manager (on-prem + chmura/hosted).
  • Zweryfikuj, czy jakiekolwiek komponenty są internet-exposed (panel zarządzania, porty zarządzające, peering).
  • Ustal, gdzie trafiają logi i czy są retencjonowane poza urządzeniem (zewnętrzny SIEM/syslog).

Priorytet 2: patching – „najpierw sterowanie, potem reszta”

  • Wdróż poprawki/wersje naprawione rekomendowane przez producenta; w praktyce Cisco wskazuje konkretne wydania Catalyst SD-WAN jako „fixed” (SecurityWeek przytacza m.in. linie 20.12.x / 20.15.x / 20.18.x oraz planowane wydanie 20.9.8.2).
  • Jeśli nie możesz patchować natychmiast: zastosuj twarde ograniczenia ruchu do płaszczyzny zarządzania (ACL/firewall/security groups) i usuń publiczną ekspozycję jako „hotfix” organizacyjny – ale traktuj to jako stan przejściowy.

Priorytet 3: hunting – czego szukać (praktyczna checklista)

Na podstawie zaleceń Talos (i tego, jak opisano kampanię), skoncentruj się na:

  • nietypowych zdarzeniach peering/control connection (czas, źródłowe IP, typ peer’a, brak zgodności z topologią),
  • nowych/nieautoryzowanych kontach administracyjnych lub zmianach w RBAC,
  • śladach użycia NETCONF do zmian konfiguracji,
  • oznakach „wersjonowania w dół” (downgrade) i późniejszego powrotu (upgrade) – to ważny trop w tej kampanii.

Priorytet 4: hardening po naprawie

Cybersecurity Dive opisuje, że w dyrektywie CISA po patchowaniu wymagane są: skanowanie pod kątem kompromitacji i utwardzenie zgodnie z dedykowanym guidance. Nawet jeśli nie masz dostępu do tej samej check-listy, sens operacyjny jest jasny: ogranicz płaszczyznę zarządzania do zaufanych adresów, wymuś rotację poświadczeń i usuń zbędne ścieżki administracyjne.


Różnice / porównania z innymi przypadkami

Wzorzec „edge device + zero-day + persystencja” powtarza się od lat (firewalle/VPN/SD-WAN). Tu wyróżnia się technika downgrade → exploit starszego CVE → upgrade, która pozwala atakującemu:

  • użyć świeżej furtki do wejścia,
  • a potem oprzeć trwałość na starszej podatności/komponencie,
  • jednocześnie zacierając ślady zmian wersji w sposób, który w wielu firmach nie jest monitorowany jako IOC.

Podsumowanie / kluczowe wnioski

  • CVE-2026-20127 to podatność „pełnego przejęcia” (CVSS 10.0) w krytycznej warstwie sterowania SD-WAN.
  • Kampania przypisywana UAT-8616 ma oznaki długotrwałej aktywności (od 2023 r.) i wykorzystuje łańcuchowanie z CVE-2022-20775 dla roota i persystencji.
  • Najważniejsze działania „tu i teraz” to: odcięcie ekspozycji, patching kontrolerów/managerów, hunting po peering events oraz utwardzenie płaszczyzny zarządzania.

Źródła / bibliografia

  1. Cybersecurity Dive – opis dyrektywy, terminy i wymagane działania (logi/patch/hunting/hardening). (cybersecuritydive.com)
  2. NVD (NIST) – szczegóły CVE-2026-20127, wektor CVSS, opis mechanizmu i odniesienia do KEV/terminów. (nvd.nist.gov)
  3. Cisco Talos – raport o aktywnej eksploatacji i wskazówki do threat hunting (UAT-8616). (Cisco Talos Blog)
  4. Tenable – podsumowanie ryzyka, mapowanie na dyrektywę ED 26-03 i kontekst łączenia CVE-2026-20127 z CVE-2022-20775. (Tenable®)
  5. SecurityWeek – streszczenie poprawek, skutków (NETCONF), kontekstu łańcuchowania i wersji naprawionych. (SecurityWeek)