Archiwa: Windows - Strona 42 z 65 - Security Bez Tabu

Tag: Windows

CVE-2019-18935 — Progress Telerik UI for ASP.NET AJAX RCE (RadAsyncUpload / .NET deserialization)

TL;DR

Krytyczna podatność w Telerik UI for ASP.NET AJAX (do 2019.3.1023) pozwala na zdalne wykonanie kodu poprzez niezabezpieczoną deserializację JSON w komponencie RadAsyncUpload, zwykle w kontekście procesu w3wp.exe. Często wymaga znajomości kluczy szyfrujących (np. MachineKey) — możliwych do pozyskania m.in. przez starsze luki CVE‑2017‑11317/11357 — i jest powszechnie wykorzystywana w łańcuchach ataku (CISA KEV). Zalecenie: aktualizacja co najmniej do R1 2020 (2020.1.114), rotacja kluczy, włączenie WAF oraz proaktywna detekcja ruchu do Telerik.Web.UI.WebResource.axd?type=rau i procesów potomnych w3wp.exe.

Krótka definicja techniczna

CVE‑2019‑18935 to luka typu .NET deserialization w RadAsyncUpload (Telerik UI for ASP.NET AJAX), prowadząca do RCE po dostarczeniu specjalnie przygotowanych danych do endpointu m.in. Telerik.Web.UI.WebResource.axd?type=rau. Od wersji 2020.1.114 domyślne ustawienie łagodzi błąd; w 2019.3.1023 istnieje ustawienie niefabryczne ograniczające wektor. Często wykorzystywana łącznie z CVE‑2017‑11317/11357, które ułatwiają pozyskanie kluczy szyfrujących uploadera.

Gdzie występuje / przykłady platform

  • Windows / IIS – typowe środowisko dla aplikacji ASP.NET korzystających z Telerik UI (komponenty front‑end na serwerze).
  • Aplikacje firm trzecich (np. platformy CMS/CRM, jak Sitecore w starszych buildach, które pakowały Telerik UI) – ryzyko pośrednie, gdy komponent jest zależnością.
  • Chmura (IaaS/PaaS) – instancje IIS za ALB/WAF (AWS) lub Application Gateway/WAF (Azure); sama luka jest aplikacyjna, ale ślady widać w dziennikach WAF/ALB.

Szczegółowy opis techniki (jak działa, cele, dlaczego skuteczna)

  • Wektor: żądanie HTTP (zwykle POST) do /Telerik.Web.UI.WebResource.axd?type=rau z ładunkiem, który po stronie serwera trafia do deserializacji przez JavaScriptSerializer, umożliwiając wstrzyknięcie obiektu prowadzące do RCE.
  • Warunek sprzyjający: atak jest trivialny, gdy napastnik zna/odzyska klucze szyfrowania uploadera (MachineKey, parametry RadAsyncUpload) — często poprzez wcześniejsze błędy CVE‑2017‑11317/11357 (słaba kryptografia RAU) lub wyciek web.config.
  • Efekt: wykonanie kodu w kontekście IIS Worker Process (w3wp.exe), często skutkujące uruchomieniem cmd.exe/powershell.exe, zrzutem webshella lub ściągnięciem narzędzi.
  • Dlaczego skuteczna:
    1. komponent szeroko rozpowszechniony (często “ukryty” jako zależność),
    2. endpoint RAU bywa rzadko monitorowany,
    3. łatwo ukryć się w normalnym ruchu HTTP(S),
    4. luka jest w KEV, więc aktywnie skanowana/wykorzystywana przez wiele grup.
  • Remediacja producenta: w R1 2020 (2020.1.114) dodano bezpieczne domyślne ustawienia, starsze łatki nie wystarczają — zalecana aktualizacja do ≥ 2020.1.114.

Artefakty i logi

ŹródłoCo szukaćPrzykłady pól / EIDUwaga
IIS W3CŻądania do Telerik.Web.UI.WebResource.axd?type=rau, nietypowe POST z dużym cs-bytes, 4xx/5xx przy próbachcs-uri-stem, cs-uri-query, cs-method, sc-status, time-taken, c-ipACSC wskazuje, że ruch do ...WebResource.axd?type=rau jest wart analizy.
Windows SecurityProcesy potomne w3wp.execmd.exe/powershell.exeEID 4688 (Process Creation)Koreluj z kontem serwisowym aplikacji.
SysmonUtworzenie podejrzanych plików w webroot (np. *.aspx, *.ashx), potomne procesy w3wp.exeEID 1 (ProcessCreate), EID 11 (FileCreate)Szukaj plików w C:\inetpub\wwwroot\ lub App_Data\RadUploadTemp\.
WAF/ALB (AWS)HTTP do ...WebResource.axd z type=rauWAF logs (httpRequest.uri,httpRequest.args)CloudTrail nie loguje treści HTTP — analizuj WAF/ALB.
Azure WAF / AppGWJak wyżejrequestUri_s, requestQuery_s, httpMethod_sWłącz diagnostykę do Log Analytics.
EDR (MDE/Elastic/…)w3wp.exe spawnuje interpreterynazwy procesów, dow. rodz.Wysoka wartość korelacyjna.
K8s audit / M365 UAL / ESXi[nie dotyczy]Aplikacyjna luka .NET na IIS.

Detekcja (praktyczne reguły)

Sigma (IIS – próby RAU)

title: Telerik RAU Endpoint POST Indicative of CVE-2019-18935
id: 7f2a3e27-2e2c-4b8a-9c9f-rau-iis
status: experimental
description: Wykrywa POST na Telerik.Web.UI.WebResource.axd?type=rau (RadAsyncUpload)
references:
  - https://www.cyber.gov.au/.../advisory-2020-004-remote-code-execution...  # ACSC
logsource:
  category: webserver
  product: iis
detection:
  sel_uri:
    cs-uri-stem|contains: 'Telerik.Web.UI.WebResource.axd'
  sel_query:
    cs-uri-query|contains: 'type=rau'
  sel_method:
    cs-method: 'POST'
  condition: sel_uri and sel_query and sel_method
fields:
  - c-ip
  - cs-method
  - cs-uri-stem
  - cs-uri-query
  - sc-status
  - time-taken
falsepositives:
  - Legalny RadAsyncUpload w aplikacjach używających Telerik (zwłaszcza stare wersje)
level: high

Sigma (Windows – potomne procesy w3wp.exe)

title: Suspicious Interpreter Spawned by w3wp.exe
id: e6b6b494-8c6e-4c22-9e63-w3wp-spawn
status: stable
logsource:
  product: windows
  category: process_creation
detection:
  parent:
    ParentImage|endswith: '\w3wp.exe'
  child:
    Image|endswith:
      - '\cmd.exe'
      - '\powershell.exe'
      - '\mshta.exe'
      - '\rundll32.exe'
      - '\cscript.exe'
      - '\wscript.exe'
  condition: parent and child
fields:
  - UtcTime
  - User
  - CommandLine
  - ParentCommandLine
  - Image
  - ParentImage
level: high

Splunk (SPL)

IIS / WAF – próby RAU:

(index=web OR sourcetype=iis* OR sourcetype="aws:waf" OR sourcetype="azure:appgw")
| eval method=coalesce(cs_method, httpMethod_s, httpRequest.httpMethod, method)
| eval uri_stem=coalesce(cs_uri_stem, uri, requestUri_s, httpRequest.uri)
| eval uri_query=coalesce(cs_uri_query, query, requestQuery_s, httpRequest.args)
| search uri_stem="*Telerik.Web.UI.WebResource.axd*" (uri_query="*type=rau*" OR uri_stem="*DialogHandler.aspx*") method=POST
| stats count min(_time) as first max(_time) as last by method uri_stem uri_query src c_ip httpRequest.clientIp sc_status

Windows Security (4688) – potomne interpretery:

source="WinEventLog:Security" EventCode=4688
ParentProcessName="*\\w3wp.exe"
(NewProcessName="*\\cmd.exe" OR NewProcessName="*\\powershell.exe" OR NewProcessName="*\\mshta.exe" OR NewProcessName="*\\rundll32.exe" OR NewProcessName="*\\cscript.exe" OR NewProcessName="*\\wscript.exe")
| stats count by ComputerName, SubjectUserName, ParentProcessName, NewProcessName, CommandLine, ParentCommandLine

KQL (Defender for Endpoint / Azure)

MDE – procesy potomne:

DeviceProcessEvents
| where InitiatingProcessFileName =~ "w3wp.exe"
| where FileName in~ ("cmd.exe","powershell.exe","mshta.exe","rundll32.exe","cscript.exe","wscript.exe")
| project Timestamp, DeviceName, InitiatingProcessAccountName, FileName, ProcessCommandLine, InitiatingProcessCommandLine

Azure WAF / AppGW (Log Analytics):

AzureDiagnostics
| where ResourceType == "APPLICATIONGATEWAYS"
| where requestUri_s has "Telerik.Web.UI.WebResource.axd"
| where requestQuery_s has "type=rau" and httpMethod_s == "POST"
| project TimeGenerated, clientIp_s, httpMethod_s, requestUri_s, requestQuery_s, ruleSetType_s, action_s

CloudTrail / CloudWatch (AWS)

Uwaga: CloudTrail nie rejestruje treści HTTP aplikacji. Do detekcji użyj AWS WAF logs (CloudWatch Logs) lub ALB access logs.
CloudWatch Logs Insights (WAF):

fields @timestamp, httpRequest.clientIp, httpRequest.uri, httpRequest.args, httpRequest.httpMethod, action
| filter httpRequest.uri like /Telerik\.Web\.UI\.WebResource\.axd/ 
  and httpRequest.args like /type=rau/ 
  and httpRequest.httpMethod = "POST"
| sort @timestamp desc
| limit 200

Elastic (KQL/EQL)

HTTP (Elastic APM / ingest):

url.path:"/Telerik.Web.UI.WebResource.axd" and url.query:*type\=rau* and http.request.method:POST

EQL – potomne procesy:

process where process.parent.name == "w3wp.exe" and
        process.name in ("cmd.exe","powershell.exe","mshta.exe","rundll32.exe","cscript.exe","wscript.exe")

Heurystyki / korelacje

  • Korelacja 1: IIS RAU POST(±5 min)w3wp.exe -> cmd.exe/powershell.exe(±5 min) ➜ nowe pliki .aspx/.ashx w webroot.
  • Korelacja 2: Ten sam IP źródłowy generuje wiele 4xx/5xx na RAU i inne ścieżki eksploracyjne.
  • Korelacja 3: Nowe połączenia wychodzące z serwera WWW (który normalnie nie inicjuje ruchu) po RAU‑POST.
  • Korelacja 4: RAU‑POST + znany User‑Agent skanera + rzadkie geolokalizacje.
  • Korelacja 5: W środowiskach z WAF – zdarzenia “allowed but matched rule” dla WebResource.axd + POST.

ACSC i CISA opisują użycie CVE‑2019‑18935 w kampaniach, gdzie po eksploatacji dochodziło do dalszych etapów (webshelle, narzędzia).

False positives / tuning

  • FP: legalne użycie RadAsyncUpload w Twojej aplikacji (stary Telerik), testy QA.
  • Tuning:
    • Ogranicz do method=POST + type=rau.
    • Biała lista znanych klientów (adresy IP, CIDR) lub kont użytkowników aplikacji.
    • Podnieś priorytet, gdy sc-status ∈ {500, 400, 404} lub time‑taken & cs-bytes nienaturalnie duże.
    • W procesach – alertuj tylko, gdy rodzicem jest w3wp.exe i dzieckiem interpreter/skryptor.

Playbook reagowania (IR)

  1. Triage i izolacja: odizoluj host IIS z ruchu wychodzącego (segmentacja/egress filter).
  2. Zabezpieczenie dowodów:
    • zrzut pamięci w3wp.exe i kopia logów IIS/WAF/EDR,
    • kopia webroot (hashy) i web.config.
  3. Szybka analiza:
    • wyszukaj artefakty wg sekcji 6 (procesy potomne, nowe pliki w webroot),
    • przejrzyj żądania ...WebResource.axd?type=rau (czas, źródła).
  4. Eradykacja: usuń webshelle, backdoory, zaplanuj aktualizację Telerik ≥ 2020.1.114, rotację MachineKey, wymuś redeploy.
  5. Hunting w domenie: sprawdź lateral movement od konta serwisowego aplikacji.
  6. Hardening:
    • WAF reguły na RAU, blokada publicznego dostępu do uploadów,
    • minimalne uprawnienia konta aplikacyjnego, App_Data bez exec,
    • monitoring w3wp.exe ➜ interpretery.
  7. Zgłoszenie i lessons learned: KEV/CSIRT, aktualizacja runbooków.

Przydatne polecenia (PowerShell, bezpieczne):

# Nowe pliki skryptowe w webroot z ostatnich 7 dni
Get-ChildItem -Recurse "C:\inetpub\wwwroot" -Include *.aspx,*.ashx,*.asmx -ErrorAction SilentlyContinue |
  Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-7) } | Select FullName,Length,LastWriteTime

# Procesy potomne w3wp.exe (MDE lub lokalnie)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} -MaxEvents 5000 |
  Where-Object { $_.Properties[1].Value -like '*\w3wp.exe' } |
  Select TimeCreated, @{n='NewProcess';e={$_.Properties[5].Value}}, @{n='Cmd';e={$_.Properties[8].Value}}

Przykłady z kampanii / case studies

  • CISA AA23‑074A: aktorzy APT eksploatowali CVE‑2019‑18935 w środowisku rządowym USA (IIS), często łącząc z CVE‑2017‑11317/11357.
  • Blue Mockingbird (Red Canary): w logach IIS widoczny RAU; po eksploatacji uruchamiano cmd.exe/powershell.exe, kończąc na kopaniu kryptowalut.
  • Raporty 2025 (eSentire): luka nadal popularnym wektorem wejścia do dostarczenia reverse shelli i eskalacji uprawnień.
  • ACSC (2020): wskazówki detekcyjne i dowody aktywnej eksploatacji — analiza ruchu do ...WebResource.axd?type=rau.

Lab (bezpieczne testy)

Tylko w odizolowanym środowisku testowym i na załatanych instancjach:

  1. Symulacja hałasu detekcyjnego (IIS/WAF): curl -X POST "https://twoj-serwer.test/Telerik.Web.UI.WebResource.axd?type=rau" \ -H "Content-Type: application/x-www-form-urlencoded" \ --data "probe=1" Sprawdź, czy pipeline logów/warnów (IIS/WAF/SIEM) wyłapuje zdarzenie (bez żadnej próby eksploatacji).
  2. Symulacja anomalii procesów:
    Uruchom prosty skrypt deployu aplikacji, który nie powinien generować w3wp.exe -> cmd.exe. Zweryfikuj, że reguła z 7.2 nie alarmuje (kalibracja FP).
  3. Testy WAF: utwórz regułę blokującą WebResource.axd + type=rau, potwierdź zadziałanie w logach.

Mapowania (Mitigations, Powiązane techniki)

Technika główna: T1190 Exploit Public‑Facing Application (Initial Access).

Powiązane techniki po eksploatacji:

  • T1505.003 – Web Shell (utrwalenie/remote admin przez .aspx).
  • T1059.001 – PowerShell.
  • T1059.003 – Windows Command Shell.
  • T1105 – Ingress Tool Transfer.

Mitigations (ATT&CK):

  • M1051 – Update Software (patchowanie komponentu do ≥ 2020.1.114).
  • M1050 – Exploit Protection (OS mitigation, hardening, DEP/CFG, itd.).
  • M1037 – Filter Network Traffic (WAF; filtrowanie warstwy 7).
  • M1047 – Audit (systematyczny przegląd konfiguracji i logów).

Źródła / dalsza literatura

  • NVD CVE‑2019‑18935 – opis, wersje, noty o ustawieniach w 2019.3.1023/2020.1.114. (NVD)
  • Telerik KBAllows JavaScriptSerializer Deserialization; Unrestricted File Upload (RAU); rekomendacja upgrade do R1 2020. (Telerik.com)
  • CISA AA23‑074A – kampanie wykorzystujące CVE‑2019‑18935 (IIS w agencji FCEB). (CISA)
  • ACSC 2020‑004 – wskazówki detekcyjne dla ...WebResource.axd?type=rau. (Cyber.gov.au)
  • Red Canary (Blue Mockingbird) – wskazówki huntingowe (IIS + potomne procesy). (Red Canary)
  • Bishop Fox – przegląd techniczny deserializacji w Telerik UI. (Bishop Fox)
  • CISA Top Routinely Exploited Vulns / KEV – kontekst operacyjny i priorytetyzacja. (CISA)
  • MITRE ATT&CK v18 – wersjonowanie i matryca Enterprise. (MITRE ATT&CK)

Checklisty dla SOC / CISO

SOC:

  • Reguły na WebResource.axd?type=rau + POST w IIS/WAF/ALB.
  • Korelacja: w3wp.exe → interpretery (cmd/PowerShell/mshta/rundll32).
  • Monitoring nowych plików w webroot (rozszerzenia .aspx/.ashx).
  • Blokady WAF + alerty “match but allow” dla RAU.
  • Threat hunting na źródła z KEV i znane UA skanerów.

CISO / właściciel usługi:

  • Upgrade Telerik ≥ 2020.1.114, weryfikacja zależności pośrednich.
  • Rotacja MachineKey i tajemnic aplikacji po incydencie.
  • WAF w trybie blokującym dla uploadów; brak exec w katalogach upload.
  • Minimalne uprawnienia konta aplikacji IIS.
  • Testy regresyjne i skany zewnętrzne po patchu.

Qilin uderza przez łańcuch dostaw: włamanie do południowokoreańskiego MSP przerodziło się w kampanię „Korean Leaks” (28 ofiar)

Wprowadzenie do problemu / definicja luki

Pod koniec listopada 2025 r. ujawniono skoordynowaną kampanię wymierzoną w sektor finansowy Korei Południowej, w której operatorzy ransomware Qilin (znani też jako Agenda) wykorzystali kompromitację jednego dostawcy usług IT (MSP), aby uzyskać skalowalny dostęp do dziesiątek klientów. Efektem była operacja „Korean Leaks” – trzy fale publikacji danych, co najmniej 28 ofiar i ponad 1 mln plików / 2 TB wykradzionych danych opublikowanych na DLS (data leak site). Rdzeniem ataku było naruszenie łańcucha dostaw – pojedynczy punkt awarii w postaci MSP obsługującego wielu asset managerów.

W skrócie

  • Wektor wejścia: kompromitacja MSP (prawdopodobnie GJTec), posiadającego uprzywilejowany dostęp do wielu firm z rynku asset management.
  • Skala: 3 fale publikacji (14.09, 17–19.09, 28.09–04.10.2025), łącznie 28 upublicznionych ofiar; część wpisów usunięto.
  • Narracja sprawców: propaganda i język „antykorupcyjny” wymieszane z klasyczną presją finansową (double extortion).
  • Tło geopolityczne: prawdopodobny udział/afiliacja północnokoreańskiego aktora Moonstone Sleet w ekosystemie Qilin (od lutego 2025).
  • Trend rynkowy: w październiku Qilin odpowiadał za ~29% globalnych incydentów ransomware — najaktywniejszy operator miesiąca.

Kontekst / historia / powiązania

Qilin/Agenda działa w modelu RaaS co najmniej od 2022 r., obsługując Windows, Linux i środowiska wirtualne, z taktyką podwójnego wymuszenia (szyfrowanie + wyciek). Grupa promuje się jako „patriotyczna” i utrzymuje centralny nadzór nad komunikatami publikowanymi na DLS (m.in. „zespół dziennikarzy”). W 2025 r. Qilin zanotował skok aktywności, częściowo dzięki współpracy i afiliacjom (w tym sygnalizowanej przez Microsoft współpracy Moonstone Sleet), co zbiegło się z gwałtownym wzrostem liczby ofiar w Korei Południowej we wrześniu.

Analiza techniczna / szczegóły luki

Łańcuch dostaw i pivot przez MSP. Bitdefender wskazuje trzy hipotezy źródła „skupionego” ataku (MSP/upstream vendor, exploit zero-day na powszechnym komponencie, szerokie przejęcia poświadczeń), z czego najbardziej prawdopodobna — i potwierdzona przez lokalne media — jest kompromitacja MSP. Korea JoongAng Daily podał 23.09.2025 r., że ponad 20 asset managerów ucierpiało po ataku na GJTec, dostawcę serwerów i systemów dla branży. Ten wspólny dostawca umożliwił szybkie, równoległe rozprzestrzenienie się infekcji.

TTP Qilin. Qilin oferuje wieloplatformowe binaria (Windows/Linux/ESXi), z elastycznymi trybami szyfrowania i naciskiem na exfiltrację. Lokalne analizy (AhnLab) podkreślają, że projekt szyfrowania utrudnia skuteczną deszyfrację bez kluczy. W ostatnich miesiącach raportowano również taktyki „cross-runtime” (np. uruchamianie ELF przez WSL w Windows) i nacisk na eskalację uprawnień oraz EDR-evasion — co tłumaczy skuteczność ataków na środowiska hybrydowe.

Narracja i presja. „Korean Leaks” odstawało od typowego „pay-or-publish”: fala 1 groziła ujawnieniem „manipulacji giełdowych” i nazw polityków, fala 2 eskalowała do „systemowego ryzyka dla rynku”, w fali 3 narracja wróciła do klasycznej presji finansowej na pojedyncze ofiary. To sugeruje redakcyjny nadzór operatorów Qilin nad treściami DLS.

Praktyczne konsekwencje / ryzyko

  • Ryzyko klastrowe: jeden MSP = dziesiątki ofiar w wąskiej niszy (asset management), skokowo rosnący impakt operacyjny i regulacyjny (PIPC).
  • Ryzyko rynkowe: groźby „wstrząsu dla giełdy” to element presji na regulatorów i opinię publiczną — zwiększają koszty niepłacenia.
  • Ryzyko międzynarodowe: zacieranie granic cybercrime/APT (afiliacje Moonstone Sleet) zwiększa trudność atrybucji i presję geopolityczną.
  • Trend makro: Qilin pozostaje najbardziej aktywnym operatorem — przygotuj IR/BCP na scenariusze wieloofiarowe.

Rekomendacje operacyjne / co zrobić teraz

  1. Zarządzanie ryzykiem dostawców (TPRM) dla MSP:
    • pełna inwentaryzacja sesji uprzywilejowanych i dostępu stałego (VPN, RMM, bastiony), just-in-time + PoLP dla kont MSP;
    • wymuszenie MFA/ phishing-resistant dla wszystkich kanałów zdalnych (w tym kont serwisowych i API);
    • kontrakty: RTO/RPO, wymogi EDR/XDR 24/7, telemetria, logowanie i retencja, testy odzyskiwania oraz obowiązek notify w 24h o incydencie. (Wnioski z root-cause analizy Bitdefender).
  2. Segmentacja i kontrola lateral movement: mikrosegmentacja dla stref „partner/MSP”, podwójne kontrole przy skokach do domeny produkcyjnej, deny-by-default dla RDP/SMB/VNC, skracanie TTL tokenów.
  3. Twarde backupy + separacja domenowa: offline/immutable kopie (3-2-1-1-0), ćwiczenia bare-metal dla kluczowych systemów księgowych/portfelowych.
  4. Kontrola exfiltracji: DLP na brzegu + brokerach chmurowych, mTLS między strefami, egress allow-list, wykrywanie anomalii (np. wycieki >GB w nocy).
  5. Harden środowisk hybrydowych: monitorowanie WSL/Hyper-V/ESXi, blokady BYOVD, polityki kernel/driver, telemetryczne reguły dla nietypowych ELF w Windows.
  6. Playbook IR pod Qilin: predefiniowane decyzje dot. negocjacji, ścieżka prawna pod RODO/KR PDPA, komunikacja z regulatorami i klientami, runbook do szybkiego remove’owania dostępu MSP.
  7. Threat intel & detekcje: wskaźniki i behawiorystyka Qilin (loader, szyfrowanie, zmiany rozszerzeń, kill-list usług/AV), reagowanie na publikacje DLS; obserwacja wątków Moonstone Sleet.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • MSP jako mnożnik szkód: znane z kampanii przeciw MSP (np. ScreenConnect/RMM spear-phishing), ale „Korean Leaks” wyróżnia skrajna koncentracja branżowa i spójny kalendarz publikacji. (Por. obserwacje o kampaniach Qilin na MSP).
  • Narracja „społeczna” vs. czysty zysk: rzadko spotykane u grup RaaS — tutaj propaganda („walka z korupcją”) była narzędziem szantażu reputacyjnego całego rynku, po czym wrócono do standardowego tonu extortion.
  • Zacieranie crime/APT: współdzielenie narzędzi i marek (Moonstone Sleet ↔ Qilin) komplikuje mapowanie TTP i model ryzyka; to trend szerzej obserwowany w 2025 r.

Podsumowanie / kluczowe wnioski

  • Jedno naruszenie MSP pozwoliło Qilin na „szeregowy” atak na dziesiątki firm — klasyczny przykład realnego ryzyka łańcucha dostaw w usługach IT.
  • Kampania „Korean Leaks” to mieszanka presji finansowej i narracji politycznej, z trzema falami publikacji i minimum 28 ofiarami.
  • Qilin dominuje statystyki (29% incydentów w październiku), a jego ekosystem możliwych afiliacji z aktorami państwowymi zwiększa ryzyko systemowe.
  • Priorytety obronne: kontrola dostępu i sesji MSP, segmentacja, odporne backupy, monitorowanie exfiltracji i środowisk hybrydowych oraz gotowe playbooki IR.

Źródła / bibliografia

  • Bitdefender — analiza „Korean Leaks” (24 listopada 2025). (Bitdefender)
  • The Hacker News — podsumowanie i oś czasu fal publikacji (26 listopada 2025). (The Hacker News)
  • Korea JoongAng Daily — potwierdzenie kompromitacji GJTec i skali w asset management (23 września 2025). (Korea Joongang Daily)
  • NCC Group — Threat Pulse: Qilin = ~29% wszystkich ataków ransomware w październiku 2025. (nccgroup.com)
  • Microsoft / Malware Encyclopedia — związek Qilin z Moonstone Sleet od lutego 2025 i TTP loadera. (microsoft.com)

Hakerzy atakują twórców 3D przez złośliwe pliki Blender (.blend) – kampania ze StealC V2

Wprowadzenie do problemu / definicja luki

Badacze bezpieczeństwa ostrzegają przed trwającą co najmniej od pół roku kampanią wymierzoną w użytkowników Blendera – animatorów, grafików 3D oraz studia gier/VFX. Atakujący publikują na marketplace’ach z assetami 3D (m.in. CGTrader) spreparowane projekty .blend z ukrytymi skryptami Pythona. Po otwarciu w Blenderze – jeśli włączona jest opcja „Auto Run Python Scripts” – skrypty uruchamiają łańcuch infekcji, który finalnie dostarcza infostealera StealC V2. Kampania jest wiązana ze środowiskiem rosyjskojęzycznych cyberprzestępców.

W skrócie

  • Wektor wejścia: złośliwe projekty .blend z osadzonym Pythonem (np. zmodyfikowany Rig_Ui.py). Po otwarciu uruchamia się łańcuch pobierania i egzekucji.
  • Ładunek końcowy: StealC V2 – nowa generacja infostealera kradnącego dane z przeglądarek (23+), wtyczek, komunikatorów, portfeli krypto i klientów VPN. Często omija systemy ustawione na języki WNP.
  • Trwałość i C2: skróty LNK w autostarcie Windows i infrastruktura Pyramid C2; pośrednie etapy hostowane m.in. przez Cloudflare Workers.
  • Zakres nadużycia: pliki dystrybuowane na popularnych serwisach z modelami 3D; celem są indywidualni twórcy i firmy (studia gier/VFX).
  • Czynnik ryzyka: domyślna/świadomie włączona funkcja Auto Run Python Scripts w Blenderze (zabezpieczenie istnieje, ale bywa wyłączane dla wygody).

Kontekst / historia / powiązania

StealC pojawił się na forach przestępczych na początku 2023 r., a StealC V2 (2025) znacząco rozszerzył funkcje kradzieży i stealth. Autorzy i operatorzy zwykle wykluczają systemy z językami rosyjskim/ukraińskim/białoruskim/kazachskim/uzbeckim, co jest typowe dla rodzin malware wywodzących się z kręgu WNP. Morphisec łączy obecną kampanię z wcześniejszymi działaniami wykorzystującymi Pyramid C2 i podszywanie się pod Electronic Frontier Foundation.

Analiza techniczna / szczegóły luki

1) Osadzony Python w .blend
Pliki .blend mogą zawierać skrypty Pythona w bpy.data.texts. Jeśli w Blenderze aktywna jest Auto Run Python Scripts, skrypt uruchamia się automatycznie po otwarciu projektu. Blender ma mechanizmy ostrzegania/ufania źródłom, ale wielu użytkowników włącza automatyczne uruchamianie ze względów produkcyjnych.

2) Łańcuch infekcji (przykład z próbki Morphisec):

  • złośliwy Rig_Ui.py pobiera loader z domeny na Cloudflare Workers,
  • uruchamiany jest etap PowerShell,
  • pobierane są dwa archiwa ZIP (m.in. z adresów HTTP v4),
  • rozpakowane komponenty instalują skrót .lnk do folderu Startup (trwałość),
  • następnie pobierany jest właściwy ładunek oraz moduły przez Pyramid C2 (szyfrowanie ChaCha20).

3) Zdolności StealC V2:

  • kradzież danych z 23+ przeglądarek, ponad 100 rozszerzeń/wtyczek, 15+ portfeli kryptowalut, komunikatorów (Telegram/Discord), klientów VPN i poczty, z dodatkowymi technikami obejścia UAC, screenshoty wielomonitorowe, panel C2 z builderem, protokół JSON.

4) Wnioski dla obrony
Łańcuch nadużywa w pełni „legalnej” funkcji automatyzacji Blendera, więc AV/EDR mogą widzieć jedynie „zaufany” proces użytkownika (Blender → python → powershell). Krytyczne są reguły EDR dla ładowania PowerShell z kontekstu aplikacji kreatywnej, detekcja tworzenia LNK w Autostarcie i połączeń do znanych wskaźników kampanii.

Praktyczne konsekwencje / ryzyko

  • Kradzież tożsamości i tajemnic przedsiębiorstwa: wyciek haseł, sesji, tokenów SSO, dostępów do repozytoriów (Git), menedżerów projektów, narzędzi produkcyjnych.
  • Łańcuchowe naruszenia w studiach gier/VFX: przejęte konta repo i render farm mogą ułatwić supply-chain (np. trojanizacja assetów, buildów). (Wniosek na bazie profilu StealC V2 i celu kampanii.)
  • Straty finansowe: kradzież krypto/monetyzacja danych przeglądarkowych; ryzyko dalszej infekcji loaderami przez moduł StealC.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników Blendera i zespołów artystycznych

  1. Wyłącz „Auto Run Python Scripts” (Preferences → Security/Scripting). Włączaj tylko dla zaufanych plików/ścieżek.
  2. Włącz „Trusted Source” per-plik zamiast globalnego Auto Run; korzystaj z ostrzeżeń bezpieczeństwa Blendera (prompt przy otwieraniu).
  3. Otwieraj obce .blend w piaskownicy (VM bez dostępu do przeglądarki/portfeli; brak mapowania folderów profilu). (Dobre praktyki)
  4. Sprawdzaj zawartość Text Editor w Blenderze – szukaj nietypowych skryptów (np. nietypowy Rig_Ui.py). (Dobre praktyki)

Dla SOC/Blue Team

  1. Reguły detekcji:
    • „Blender.exe → python.exe → powershell.exe” (nietypowe drzewo procesów),
    • tworzenie plików .lnk w %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\,
    • ruch do domen Cloudflare Workers z nietypowych narzędzi graficznych; koreluj z IOCs z raportu Morphisec.
  2. Kontrola skryptów: AppLocker/SRPs/WDAC – blokuj PowerShell w trybie pełnym dla procesów Blendera na stacjach artystycznych; egzekwuj Constrained Language Mode dla kont nieuprzywilejowanych. (Dobre praktyki)
  3. Higiena przeglądarek: wymuszaj passkeys/WebAuthn, menedżery haseł z izolacją, kasowanie tokenów przeglądarki po renderach w VM. (Dobre praktyki)
  4. Threat intel & hunting: importuj wskaźniki (IP/URL/hashe) z publikacji Morphisec; monitoruj wzorce Pyramid C2.
  5. Segmentacja stanowisk kreatywnych: odseparuj je od zasobów krytycznych (CI/CD, repo, sekretów); używaj kont bez praw lokalnego admina. (Dobre praktyki)

Różnice / porównania z innymi przypadkami

Nadużywanie automatyzacji w aplikacjach kreatywnych bywało obserwowane (makra, skrypty w plikach projektowych), jednak w Blenderze specyficzna jest łatwość osadzania i autostartu Pythona w .blend. W porównaniu z klasycznymi makrami Office, tutaj barierą jest tylko preferencja Auto Run – gdy zostanie włączona (często „dla wygody”), wektor staje się „kliknij i zainfekuj”. StealC V2 dodatkowo zwiększa ryzyko, bo działa zarówno jako infostealer, jak i loader do kolejnych ładunków.

Podsumowanie / kluczowe wnioski

  • Złośliwe pliki .blend to realny, aktywny wektor ataku na twórców 3D i studia gier/VFX.
  • Krytycznym „bezpiecznikiem” jest wyłączenie Auto Run Python Scripts i ścisła higiena pracy z assetami zewnętrznymi.
  • Kampania wykorzystuje dojrzały ekosystem kradzieżowy StealC V2 oraz sprytne „legitne” ścieżki wykonania (Python/PowerShell), co utrudnia detekcję bez reguł behawioralnych.

Źródła / bibliografia

  1. Morphisec: „Thwarts Russian-Linked StealC V2 Campaign Targeting Blender Users via Malicious .blend Files”, 24 listopada 2025 – szczegółowy łańcuch ataku, IOCs, Pyramid C2. (Morphisec)
  2. Recorded Future News / The Record: „Hackers exploit 3D design software to target game developers, animators”, 26 listopada 2025 – kontekst kampanii i cele. (The Record from Recorded Future)
  3. Blender Manual: „Scripting & Security – Auto Run Python Scripts” – opis mechanizmów bezpieczeństwa i zaufanych źródeł. (Blender Documentation)
  4. Picus Security: „StealC v2 Malware Enhances Stealth and Expands Data Theft Features”, 31 maja 2025 – zdolności StealC V2 i profil ofiary/wykluczenia językowe. (picussecurity.com)
  5. BleepingComputer: „Malicious Blender model files deliver StealC infostealing malware”, 2 dni temu – potwierdzenie łańcucha i nadużycia Auto Run. (BleepingComputer)

CVE-2019-2725 — Oracle WebLogic Server deserialization RCE

TL;DR

Krytyczna luka RCE w Oracle WebLogic (CVE‑2019‑2725) umożliwia zdalne, nieautoryzowane wykonanie kodu przez podatne endpointy SOAP/WS‑AT (/_async/AsyncResponseService, /wls-wsat/CoordinatorPortType). Atak bazuje na niebezpiecznej deserializacji (java.beans.XMLDecoder). Najczęstsze skutki: instalacja webshelli (JSP), kryptokoparki (XMRig) lub ransomware (REvil/Sodinokibi). Główne detekcje: nietypowe żądania POST do ww. ścieżek + procesy powłokowe z rodzicem java/java.exe na serwerze aplikacyjnym. Natychmiastowe działania: izolacja hosta, wyszukanie webshelli w katalogach WebLogic, aktualizacja do wersji naprawczej i segmentacja sieci.

Krótka definicja techniczna

CVE‑2019‑2725 to błąd deserializacji w komponencie Web Services Oracle WebLogic Server, który pozwala zdalnemu napastnikowi (bez uwierzytelnienia) wysłać spreparowany SOAP/XML i uruchomić dowolny kod po stronie serwera. Podatne są instalacje z włączonymi archiwami wls9_async_response.war i/lub wls-wsat.war, a typowe wektory to żądania POST do endpointów asynchronicznych i WS‑AtomicTransaction.

Gdzie występuje / przykłady platform

  • Windows / Linux (on‑prem): klasyczne wdrożenia WebLogic (AdminServer/ManagedServer).
  • AD: integracje SSO/LDAP po kompromitacji mogą posłużyć do lateral movement.
  • AWS: EC2/Autoscaling; często za ALB/WAF (logi CloudWatch/ALB).
  • Azure / GCP: VM Scale Sets/Compute Engine; analogicznie za load balancerami.
  • Kubernetes: WebLogic Operator (konteneryzacja); ruch przychodzi przez Ingress/Service.
  • ESXi: WebLogic jako VM-y; artefakty systemowe na datastore.
  • M365: brak bezpośredniego wpływu — istotne tylko pod kątem tożsamości/poczty w dalszych fazach.

Szczegółowy opis techniki (jak działa, cele, dlaczego skuteczna)

  • Mechanizm ataku: napastnik wysyła żądanie SOAP/XML zawierające obiekt do przetworzenia przez XMLDecoder, co prowadzi do wykonania łańcucha gadżetów Javy i uruchomienia poleceń systemowych w kontekście procesu JVM WebLogic. Najczęściej wykorzystywane endpointy: /_async/AsyncResponseService (wls9‑async) oraz /wls-wsat/* (WS‑AT).
  • Skutki: pełne przejęcie serwera (pre‑auth RCE). Następnie typowe TTP: pobranie ładunku (T1105), uruchomienie interpreterów (T1059), zainstalowanie webshella JSP dla stałego dostępu (T1505.003).
  • Dlaczego skuteczna: brak uwierzytelniania, łatwość masowego skanowania/wykorzystania, popularność WebLogic w środowiskach krytycznych. Ataki obserwowano m.in. w kampanii ransomware REvil/Sodinokibi oraz w botnecie Muhstik kopiącym Monero.
  • Status i poprawki: Oracle wydał poza-cykliczny alert 26.04.2019 z poprawkami; luka figuruje w katalogu CISA KEV.

Artefakty i logi

ŹródłoArtefakt/LogEID / PoleCo obserwowaćUwagi
Web/proxy/WAFAccess logs (Nginx/IIS/WebLogic HTTP Server)cs-uri-stem, cs-method, status, request_bodyPOST na /_async/AsyncResponseService, `/wls-wsat/(CoordinatorPortTypeRegistrationService
Windows SecurityProcess Creation4688Rodzic java.exe uruchamia cmd.exe/powershell.exeKorelować z logami aplikacji.
SysmonProcess Create, Network, File Create1, 3, 11, (13)ParentImage=*\java.exe i dziecko cmd.exe/powershell.exe/wget/curl ; nowe JSP w katalogach aplikacji
Linux (auditd)SYSCALL=execveexe = /usr/bin/bash, /bin/sh z PPID java
WebLogicSerwerowe logi (access.log, AdminServer.log)SOAP Faults/500 na ww. endpointach, wyjątki deserializacji
AWS (ALB/WAF)CloudWatch/ALB access logsrequest_uriTe same ścieżki i metoda POST, wysoka liczba 400/500CloudTrail nie rejestruje ruchu HTTP do aplikacji — używaj ALB/WAF/Flow Logs.
K8s auditAPI Server audit logverb=create, resource=podsGdy WebLogic w K8s: nieoczekiwane pody/zmiany ConfigMap po RCE[Zależne od architektury]
M365[brak danych / nie dotyczy bezpośrednio]

Detekcja (praktyczne reguły)

Sigma — sonda na żądania do podatnych endpointów

title: Oracle WebLogic CVE-2019-2725 Probe
id: 9c5c0f93-1b76-4a8f-9b7c-fb4a2db1c2725
status: experimental
description: Detects HTTP POST to WebLogic async/WS-AT endpoints and XMLDecoder markers
logsource:
  category: webserver
  product: apache
detection:
  sel_uri:
    cs-method: POST
    cs-uri-stem|contains:
      - "/_async/AsyncResponseService"
      - "/wls-wsat/CoordinatorPortType"
      - "/wls-wsat/RegistrationService"
      - "/wls-wsat/ParticipantPortType"
  sel_body:
    request_body|contains:
      - "java.beans.XMLDecoder"
      - "<object class="
  condition: sel_uri or (sel_uri and sel_body)
fields:
  - src_ip
  - cs-host
  - cs-uri-stem
  - user_agent
falsepositives:
  - Legitymne WS-AT (rzadkie)
level: high
tags:
  - attack.T1190

(Ścieżki i kontekst ataku potwierdzone w opisach Tenable/Oracle).

Sigma — potomne powłoki z procesu Java

title: Java Spawns Shell (WebLogic RCE aftermath)
id: 0a0a7f5a-0e7a-4d1a-bb1e-2cfa7c2725ab
status: stable
logsource:
  product: windows
  category: process_creation
detection:
  parent:
    ParentImage|endswith: '\java.exe'
  child:
    Image|endswith:
      - '\cmd.exe'
      - '\powershell.exe'
  condition: parent and child
fields:
  - CommandLine
  - ParentCommandLine
falsepositives:
  - Rzadkie skrypty administracyjne
level: high
tags:
  - attack.T1059
  - attack.T1190

Splunk (SPL)

Web/proxy:

index=web (sourcetype=access_combined OR sourcetype=iis)
method=POST uri_path IN ("/_async/AsyncResponseService",
"/wls-wsat/CoordinatorPortType","/wls-wsat/RegistrationService","/wls-wsat/ParticipantPortType")
| stats count by src, uri_path, status, useragent

Procesy Windows/Sysmon:

(index=wineventlog EventCode=4688 OR (index=sysmon EventCode=1))
ParentImage="*\\java.exe"
(Image="*\\cmd.exe" OR Image="*\\powershell.exe" OR Image="*\\bash.exe")
| table _time host ParentImage Image CommandLine ParentCommandLine

KQL (Microsoft Defender XDR)

// Potomna powłoka po WebLogic (Windows)
DeviceProcessEvents
| where Timestamp > ago(7d)
| where InitiatingProcessFileName =~ "java.exe"
| where FileName in~ ("cmd.exe","powershell.exe")
| project Timestamp, DeviceName, FileName, ProcessCommandLine, InitiatingProcessFileName, InitiatingProcessCommandLine

CloudWatch Logs Insights (ALB/WAF)

-- ALB access logs: podejrzane ścieżki WebLogic
fields @timestamp, elb, client_ip, request_uri, target_status_code, user_agent
| filter request_uri like /_async\\/AsyncResponseService|wls-wsat\\/(CoordinatorPortType|RegistrationService|ParticipantPortType)/
| sort @timestamp desc

Elastic / EQL

// Java -> shell
process where event.type == "start"
  and process.parent.name : "java*"
  and process.name in ("cmd.exe","powershell.exe","bash","sh","wget","curl")

Heurystyki / korelacje

  • Korelacja warstwowa: (1) POST do /_async/... lub /wls-wsat/... i (2) w ≤2 min pojawia się javacmd/powershell/bash i/lub (3) nowy plik .jsp w webroot.
  • Artefakty utrwalenia: webshell w katalogach tymczasowych/aplikacyjnych WebLogic (często podkatalogi _WL_internal lub bea_wls_internal).
  • Anomalie sieciowe: niespodziewane wyjścia z serwera aplikacyjnego do Internetu (pobranie ładunku/XMRig).
  • Ransomware chain: wektor T1190 → T1059 → T1105/T1505.003 → szyfrowanie (T1486), widoczne w kampaniach REvil.

False positives / tuning

  • Legalne implementacje WS‑AT/async SOAP (rzadkie) — filtruj po metodzie POST, wzorcach URI i treści body (XMLDecoder).
  • Skrypty administracyjne uruchamiające powłokę z Javy — whitelisting po ścieżkach i podpisach JAR/serwisu.
  • Testy skanerów VA — rozpoznawalne po user‑agentach i niskiej częstotliwości.

Playbook reagowania (IR)

  1. Identyfikacja: potwierdź trafienia z §7; wylistuj ostatnie POST na podatne ścieżki i błędy 500/SOAP Fault.
  2. Izolacja: odłącz host (lub usługę) od sieci produkcyjnej/Internetu.
  3. Triada forensyczna:
    • Zrzut procesów JVM, timeline plików aplikacji (szukaj nowych *.jsp), rejestry/konfiguracje usług.
    • Artefakty Sysmon (1/3/11) i 4688.
  4. Szukaj webshelli/JSP: w katalogach aplikacji i tymczasowych WebLogic (_WL_internal, bea_wls_internal).
  5. Zabij i usuń: wstrzymaj procesy podrzędne (cmd/powershell/bash), usuń webshell, wyczyść harmonogramy/usługi utworzone przez napastnika.
  6. Patch & harden: zastosuj poprawki Oracle i konfiguracje „secured production mode”, upewnij się że serwer nie jest bezpośrednio wystawiony do Internetu; wymuś WAF/IPS.
  7. Hunting wsteczny (30–90 dni): IOC‑driven search po ścieżkach/UA/źródłach IP; sprawdź transfery do domen hostingowych koparek/ransomware.
  8. Lessons learned: segmentacja i zasada „deny by default” dla ruchu do AdminServer.

Przykłady z kampanii / case studies

  • REvil/Sodinokibi (kwiecień–maj 2019): wykorzystanie nowo ujawnionej luki WebLogic jako wektora początkowego; Oracle opublikował patch 26.04.2019.
  • Muhstik botnet (kwiecień 2019): w ciągu dni od ujawnienia — masowe infekcje kryptokoparką i DDoS przez CVE‑2019‑2725.
  • Kryptokoparki (czerwiec 2019): Trend Micro: łańcuch z wykorzystaniem certyfikatów X.509 do zaciemniania, finalnie XMRig.
  • KEV/CISA: CVE pozostaje w katalogu znanych, wykorzystywanych podatności (KEV) — traktuj priorytetowo.

Lab (bezpieczne testy)

Uwaga: poniższe testy nie zawierają payloadów eksploatujących i służą wyłącznie do weryfikacji detekcji.

  1. Generowanie ruchu HTTP do podatnych ścieżek (bez RCE):
# symulacja sondowania endpointów (status 404/405/SOAP Fault)
curl -s -o /dev/null -w "%{http_code}\n" -X POST http://<weblogic>/wls-wsat/CoordinatorPortType
curl -s -o /dev/null -w "%{http_code}\n" -X POST http://<weblogic>/_async/AsyncResponseService
  1. Symulacja „Java → powłoka” (dla EDR/Sysmon):
# Linux: uruchom prosty program Java, który odpala /bin/sh -c 'echo test' (benign)
# Windows: analogicznie uruchom "java" jako rodzic prostego procesu cmd /c echo
# (wygeneruje zdarzenia: Sysmon 1, Windows 4688)
  1. ALB/WAF logi (CloudWatch): odpal curl jak wyżej przez publiczny endpoint testowy; uruchom zapytanie §7.5 i sprawdź, czy wykrywa ścieżki.

Mapowania (Mitigations, Powiązane techniki)

Mitigations (ATT&CK)

  • M1051 — Update Software: wdrażaj poprawki Oracle CPU i utrzymuj łańcuch zależności Javy/serwera aktualny.
  • M1031 — Network Intrusion Prevention: WAF/IPS z sygnaturami na CVE‑2019‑2725.
  • M1030 — Network Segmentation: izolacja serwerów aplikacyjnych i kanałów administracyjnych.

Powiązane techniki ATT&CK

T1190 — Exploit Public‑Facing Application

Wektor początkowy (Initial Access) — żądania POST do endpointów SOAP/WS‑AT WebLogic.

T1059.003 — Windows Command Shell

Uruchomienie cmd.exe przez java.exe po udanym RCE.

T1059.004 — Unix Shell

/bin/sh/bash inicjowane przez JVM na Linux/Unix.

T1505.003 — Web Shell

Umieszczenie JSP w webroot dla utrwalenia.

T1105 — Ingress Tool Transfer

Pobranie XMRig/ransomware po RCE. (odniesienia ogólne do techniki)

Źródła / dalsza literatura

  • Oracle Security Alert — CVE‑2019‑2725 (opis, ryzyko, wersje) (Oracle)
  • NVD — CVE‑2019‑2725 (CVSS, wersje dotknięte) (NVD)
  • Tenable (opisy endpointów i deserializacji) (Tenable®)
  • Cisco Talos — Sodinokibi via WebLogic (timeline) (Cisco Talos Blog)
  • Unit 42 — Muhstik wykorzystuje CVE‑2019‑2725 (kryptokoparka/DDoS) (Unit 42)
  • Trend Micro — cryptomining po CVE‑2019‑2725 (www.trendmicro.com)
  • CISA — KEV Catalog (występowanie CVE) (CISA)
  • MITRE ATT&CK — T1190/T1059/T1505.003 (definicje, wersja v18) (MITRE ATT&CK)
  • Oracle — zabezpieczanie środowiska (secured production mode) (Oracle Documentation)
  • ZDI — analiza webshelli i ścieżek _WL_internal/bea_wls_internal (kontekst utrwalenia) (Zero Day Initiative)

Checklisty dla SOC / CISO

SOC (operacyjne)

  • Alerting na POST do /_async/* i /wls-wsat/* + korelacja z java → shell.
  • WAF/IPS sygnatury aktywne dla CVE‑2019‑2725.
  • Hunting webshelli JSP w katalogach aplikacji/tymczasowych.
  • Blokada egress z serwerów aplikacyjnych do Internetu (allow‑list).
  • Telemetria Sysmon (1/3/11/13) i pełny 4688 na hostach WebLogic.

CISO (strategiczne)

  • Priorytety patchowania (M1051) — potwierdzony KEV.
  • Segmentacja (M1030) i oddzielne strefy dla AdminServer.
  • Wymóg WAF/IPS dla wszystkich usług publicznych (M1031).
  • Zakaz bezpośredniego wystawiania WebLogic do Internetu (proxy/WAF).
  • Regularne testy IR pod kątem webshelli i koparek.

Microsoft ostrzega: agentowe funkcje AI w Windows 11 wprowadzają nowe ryzyka bezpieczeństwa

Wprowadzenie do problemu / definicja luki

Microsoft rozpoczął testy eksperymentalnych funkcji agentowych w Windows 11 (m.in. agent workspace i Copilot Actions). Firma jednocześnie ostrzega, że nieprawidłowe zabezpieczenie agentów może przynieść więcej szkód niż korzyści—w tym eksfiltrację danych i instalację złośliwego oprogramowania. Funkcje te są wyłączone domyślnie i przeznaczone dla świadomych ryzyk użytkowników/administratorów.

W skrócie

  • Agent workspace to odizolowana przestrzeń systemowa, w której agent działa na własnym koncie i z ograniczonym dostępem do plików/aplikacji; dostęp rozszerzany jest wyłącznie za zgodą użytkownika.
  • Najistotniejsze nowe wektory to cross-prompt injection (XPIA), błędy uprawnień oraz brak containmentu działań agenta. Microsoft definiuje zasady bezpieczeństwa i prywatności (m.in. least privilege, nadzór i audyt niepodważalny) jako warunek korzystania z funkcji.
  • Copilot Actions zaczęło trafiać do Windows Insiders 17 listopada 2025 r. i korzysta z agent workspace do działań na lokalnych plikach.
  • Windows wzmacnia także warstwę protokołu Model Context Protocol (MCP)—z kontrolami proxy, autoryzacją narzędzi i wymogiem podpisu kodu—aby ograniczać ryzyka agentów i „tool poisoning”.

Kontekst / historia / powiązania

Artykuł SecurityWeek z 24 listopada 2025 r. podsumowuje komunikaty Microsoftu: agent workspace działa w osobnej sesji Windows równolegle do sesji użytkownika, a włączenie funkcji tworzy konta agentów i umożliwia aplikacjom agentowym (np. Copilot) żądanie dostępu do folderów użytkownika (Dokumenty, Pobrane, Pulpit, Muzyka, Obrazy, Wideo).
Dokumentacja Microsoftu (zaktualizowana 17–18 listopada 2025 r.) rozwija zasady bezpieczeństwa, transparentności i kontroli użytkownika, a wpis na Windows Insider Blog potwierdza stopniowy rollout Copilot Actions w kanale Insider.
Równolegle, w maju 2025 r. Microsoft ogłosił wzmacnianie MCP jako warstwy interoperacyjnej dla agentów—z akcentem na proxy egzekwujące polityki, audyt i centralny rejestr serwerów MCP spełniających kryteria bezpieczeństwa.

Analiza techniczna / szczegóły luki

Izolacja i tożsamość

  • Każdy agent działa na oddzielnym koncie standardowym; umożliwia to odrębne polityki i jasne granice uprawnień. Działania agenta są odróżnialne od działań użytkownika.
  • Agent workspace to „lekka” sesja równoległa, zapewniająca runtime isolation i ograniczoną widoczność pulpitu użytkownika; efektywniejsza niż pełna maszyna wirtualna, ale oparta o uznane granice bezpieczeństwa Windows.

Uprawnienia i dostęp do danych

  • Dostęp do plików jest grantowany explicite; początkowo agent może sięgać tylko do znanych folderów użytkownika i zasobów dostępnych dla wszystkich kont. Rozszerzenia wymagają autoryzacji.

Nadzór i audyt

  • Microsoft wymaga możliwości nadzoru planu i kroków agenta, dodatkowych potwierdzeń przy wrażliwych operacjach oraz logów odpornych na manipulacje (tamper-evident audit log).

Nowe wektory ataku (przykłady)

  • Cross-Prompt Injection (XPIA): złośliwa treść w dokumentach/elementach UI może nadpisać instrukcje agenta i skutkować np. eksfiltracją danych lub instalacją malware.
  • Tool/MCP poisoning i luki autoryzacji: niezweryfikowane serwery MCP, słabe uwierzytelnienie lub wycieki poświadczeń agenta mogą prowadzić do przejęcia pełnej kontroli (RCE) przez błędnie zdefiniowane narzędzia.

Praktyczne konsekwencje / ryzyko

Dla SOC/Blue Team oznacza to nową klasę „użytkowników nie-ludzkich” działających w systemie i wykonujących akcje na danych lokalnych, aplikacjach i usługach. Błędy konfiguracji (zbyt szerokie uprawnienia), brak audytu lub brak rozdzielenia tożsamości mogą umożliwić:

  • eskalację uprawnień przez agenta lub jego narzędzia,
  • nieautoryzowany dostęp do danych wrażliwych i ich wypływ,
  • trwałą persystencję i lateral movement w sieci przez łańcuch agent → narzędzie → aplikacja.
    Ryzyka te Microsoft samodzielnie wymienia jako kluczowe i adresuje mechanizmami least-privilege, kontroli użytkownika i izolacji w Windows 11.

Rekomendacje operacyjne / co zrobić teraz

  1. Włączaj funkcje agentowe tylko celowo (domyślnie są wyłączone). Zanim włączysz „Experimental agentic features”, zdefiniuj scopingi uprawnień i ownera agenta.
  2. Tożsamość i dostęp
    • Traktuj konta agentów jak konta techniczne: least-privilege, brak praw admina, TTL dla przyznanych dostępów, regularny przegląd ACL.
  3. Segmentacja i hardening
    • Ogranicz dostęp agent workspace do minimalnego zestawu folderów/aplikacji; rozważ aplikacje instalowane „per-user”, by nie dziedziczyły ich wszystkie konta.
  4. Nadzór i audyt
    • Wymuś HITL dla wrażliwych operacji; integruj logi agenta z SIEM; ustaw alerty na działania wysokiego ryzyka (masowe kopiowanie/archiwizacje, instalacje binariów, modyfikacje polityk).
  5. Higiena treści i XPIA
    • Skany i sanitizacja otwieranych przez agentów dokumentów/stron; ogranicz automatyczne wykonywanie „planów” na treściach pochodzących z niezaufanych źródeł. (Microsoft podkreśla XPIA jako zagrożenie nr 1 dla agentów).
  6. Łańcuch narzędzi (MCP)
    • Dopuszczaj wyłącznie podpisane i zweryfikowane serwery MCP; egzekwuj autoryzację client–tool i rejestrowanie akcji przez warstwę proxy. Unikaj „dzikich” narzędzi bez deklaracji uprawnień.
  7. Testy bezpieczeństwa
    • Zaplanuj red teaming agentów: scenariusze XPIA, „tool poisoning”, wycieki tokenów; testuj przechwytywanie i weryfikację działań przez audyt.

Różnice / porównania z innymi przypadkami

W porównaniu z klasycznymi asystentami (bez zdolności działania w systemie) oraz z automatyzacjami typu RPA, agenci Windows:

  • działają bliżej powierzchni ataku endpointu (klikają, piszą, przewijają jak użytkownik),
  • operują w osobnej sesji i na odrębnym koncie (co daje lepszy containment niż typowe uruchamianie pod kontem użytkownika),
  • wspierają centralne zasady (proxy MCP, podpis kodu, rejestr serwerów), co zbliża je do modeli „zero trust” dla narzędzi.

Podsumowanie / kluczowe wnioski

  • Agentowe AI w Windows 11 to duży skok funkcjonalny—i równie duży skok ryzyka.
  • Microsoft dostarcza ramy bezpieczeństwa: izolacja sesji, osobne konta, least-privilege, autoryzacja, audyt—ale konfiguracja i governance pozostają po stronie organizacji.
  • Kluczem jest świadome włączenie funkcji, ścisłe scope’owanie uprawnień, monitoring i testy ofensywne pod kątem XPIA i łańcucha narzędzi.

Źródła / bibliografia

  1. SecurityWeek — Microsoft Highlights Security Risks Introduced by New Agentic AI Feature (24 listopada 2025). (SecurityWeek)
  2. Microsoft Support — Experimental Agentic Features (akt. 17 listopada 2025). (Microsoft Support)
  3. Microsoft Learn — Securing AI agents on Windows (akt. 18 listopada 2025). (Microsoft Learn)
  4. Windows Experience Blog — Securing the Model Context Protocol (19 maja 2025). (Windows Blog)
  5. Windows Insider Blog — Copilot Actions begins rolling out to Windows Insiders (17 listopada 2025). (Windows Blog)

APT31 (Violet Typhoon/Zirconium) prowadzi ciche cyberataki na rosyjski sektor IT. Cloud C2, CloudyLoader i nowe backdoory na celowniku

Wprowadzenie do problemu / definicja kampanii

Chińsko-powiązana grupa APT31 (znana także jako Violet Typhoon/Zirconium/Judgement Panda) została powiązana z długofalową kampanią cyberszpiegowską przeciw rosyjskiemu sektorowi IT. Ataki miały trwać co najmniej w latach 2024–2025, a w jednym przypadku utrzymanie dostępu sięgało końcówki 2022 r. Kluczową cechą operacji jest wykorzystanie popularnych usług chmurowych (w tym Yandex Cloud oraz Microsoft OneDrive) jako kanałów C2 i exfiltracji, co utrudniało detekcję w ruchu „legitnym” dla ofiar.

W skrócie

  • Cele: rosyjskie firmy IT – integratorzy i kontraktorzy dla administracji publicznej.
  • Taktyki: C2 i staging w usługach chmurowych i… w profilach serwisów społecznościowych; operacje intensyfikowane w weekendy i święta.
  • Wejście: phishing z archiwami RAR/ZIP zawierającymi LNK oraz „DLL side-loading” do uruchomienia CloudyLoader (loader Cobalt Strike).
  • Nowe narzędzia w arsenale: OneDriveDoor, VtChatter (C2 via VirusTotal comments), COFFProxy (Golang), AufTime (Linux, wolfSSL), YaLeak (exfil do Yandex Cloud), a także LocalPlugX do ruchu bocznego.
  • Utrzymanie: harmonogram zadań podszywający się pod legalne aplikacje (np. YandexDisk/Chrome), tunelowanie przez Tailscale i Microsoft Dev Tunnels.

Kontekst / historia / powiązania

APT31 działa co najmniej od 2010 r., a na jej koncie są operacje przeciw instytucjom rządowym, finansom, obronności i high-tech na wielu kontynentach. W 2025 r. grupa była łączona m.in. z incydentami wobec czeskiego MSZ oraz z wcześniejszymi operacjami w Europie. Zestaw aliasów obejmuje m.in. Violet Typhoon (Microsoft), Zirconium, Judgement Panda.

Analiza techniczna / szczegóły kampanii

Wejście (Initial Access).
Udokumentowano spear-phishing z archiwami zawierającymi skróty .LNK. Po uruchomieniu następował łańcuch DLL side-loading bazujący na legalnym pliku BsSndRpt64.exe, który ładował bibliotekę BugSplatRc64.dll z wbudowanym CloudyLoaderem (loader Cobalt Strike). Warianty socjotechniki obejmowały „zapytania zakupowe” oraz przynęty stylizowane na dokumenty ministerstw (np. Peru).

Dowodzenie i kontrola (C2).
Komendy i payloady były „stage’owane” w profilach mediów społecznościowych (lokalnych i zagranicznych), a w komunikacji wykorzystywano powszechne usługi chmurowe (Yandex, Microsoft OneDrive), co maskowało ruch. Wybrane narzędzia:

  • OneDriveDoor – backdoor używający OneDrive jako C2;
  • VtChatter – narzędzie komunikujące się co 2 godz. przez zakodowane komentarze do pliku na VirusTotal;
  • YaLeak – .NET do wysyłki danych do Yandex Cloud.

Ruch boczny i utrzymanie.
Zaobserwowano LocalPlugX (odmiana PlugX do poruszania się wewnątrz sieci), COFFProxy (Golang: tunelowanie/komendy/zarządzanie plikami), AufTime (Linux backdoor z wolfSSL), Tailscale VPN i Microsoft Dev Tunnels do szyfrowanego P2P, a także liczne zadania w Harmonogramie Zadań Windows, których nazwy imitują legalne procesy (np. YandexDisk_Servers, GoogleUpdater). Wykryto też technikę tworzenia ukrytych zadań przez manipulację TaskCache\Tree\ i plikami XML.

Techniki ukrywania (Defense Evasion) i „timing”.
Operacje „pod święta/weekendy” oraz generowanie ruchu do legalnych serwisów utrudniało korelację i triage. Dodatkowo opisywano nietypowe wykorzystanie oobe\Setup.exe /ui do odpalenia łańcucha z własnym ErrorHandler.cmd.

Powiązane obserwacje branżowe.
Niezależne badania Kaspersky z lipca 2025 roku dokumentowały kampanie z Cobalt Strike i hostingiem komend/payloadów na platformach społecznościowych/GitHub, co spójnie wpisuje się w TTPs widoczne u APT31.

Praktyczne konsekwencje / ryzyko

  • Detekcja utrudniona: ruch C2/outbound do chmur i popularnych serwisów jest zwykle dozwolony, co obniża skuteczność klasycznych list kontroli, proxy i filtrów reputacyjnych.
  • Długotrwałe utrzymanie: potwierdzono przypadki „zagnieżdżenia” od końca 2022 r. i eskalacji aktywności podczas długich przerw świątecznych.
  • Różnorodny arsenał: miks living-off-the-land, narzędzi publicznych (SharpChrome, SharpDir) oraz custom backdoorów utrudnia budowę jednego wzorca IOC.

Rekomendacje operacyjne / co zrobić teraz

  1. Egress i kontrola chmury
    • Stwórz granularne zasady dla wyjściowego ruchu HTTP(S) do usług: OneDrive, Yandex Cloud, Paste/VT i wybranych social-media. Wymuś tenant allow-list dla Microsoft 365/OneDrive i monitoruj nietypowe identyfikatory aplikacji oraz User-Agent. Loguj i alertuj o transferach nietypowych dla profilu użytkownika/systemu.
  2. Hunting na zadania i „DLL side-loading”
    • Cycliczny hunting Scheduled Tasks: nazwy podobne do YandexDisk, GoogleUpdater, Crashpad_Server; sprawdzaj brakujące wpisy SecurityDescriptor w HKLM\...TaskCache\Tree\ vs. fizyczne pliki XML.
    • Szukaj BsSndRpt64.exe uruchamianego spoza domyślnych ścieżek oraz towarzyszących bibliotek BugSplatRc64.dll.
  3. Zasady czasu pracy (blue-team ops)
    • Podnieś wrażliwość alertów w weekendy i święta; wprowadź „holiday surge playbooks” (IR on-call, szybsza triage exfilu, czasowe zaostrzenie egressu).
  4. EDR/Proxy detections & telemetry
    • Reguły na nietypowe użycie Tailscale, Dev Tunnels, tunelowanie z hostów serwerowych; detekcje na narzędzia SharpADUserIP/SharpChrome/StickyNotesExtract. W proxy: wywołania do znanych end-pointów graph.microsoft.com, api.onedrive.com, storage.yandexcloud.net z hostów, które normalnie tego nie robią.
  5. Hardening poczty i stacji roboczych
    • Blokada uruchamiania .LNK z archiwów, polityki „mark of the web”, ASR dla „Office/shortcut LNK child processes”, ograniczenie DLL search order (WDAC/Applocker) dla znanych binariów podatnych na side-loading.
  6. Łańcuchy wskaźników i TTP-mapa
    • Zmapuj kontrole do MITRE ATT&CK dla APT31 (T1566.002 Spearphishing Link; T1053.005 Scheduled Task/Job; T1105 Exfil via C2; T1572 Protocol Tunneling itp.) i wdrażaj detekcje oparte na zachowaniu (behavioural).

Różnice / porównania z innymi przypadkami

  • Nietypowy wektor geopolityczny: raporty o chińskich operacjach przeciw rosyjskim podmiotom pojawiają się rzadko – ten przypadek potwierdzają niezależnie źródła branżowe.
  • C2 na platformach społecznościowych: trend widoczny w szerszym krajobrazie (Kaspersky) – ale u APT31 jest szczególnie przemyślany i łączony z chmurą lokalną (Yandex).

Podsumowanie / kluczowe wnioski

APT31 kontynuuje ewolucję: łączy „stare” techniki (phishing + Cobalt Strike) z nowymi backdoorami i C2 ukrytym w chmurze/publicznych serwisach. Dla obrońców oznacza to przejście z detekcji opartej na domenach/IP na kontrolę kontekstową i behawioralną (tenant enforcement, model ryzyka dla egressu, hunting na zadania i side-loading). Kampania pokazuje również, że „okna operacyjne” (weekendy/święta) pozostają skutecznym narzędziem aktorów APT – i wymagają dedykowanych playbooków IR.

Źródła / bibliografia

  1. The Hacker News: „China-Linked APT31 Launches Stealthy Cyberattacks on Russian IT Using Cloud Services” (22 listopada 2025). (The Hacker News)
  2. Positive Technologies, „Атаки разящей панды: APT31 сегодня” (20 listopada 2025) – raport techniczny. (ptsecurity.com)
  3. Kaspersky Securelist, „Cobalt Strike Beacon z dostawą przez GitHub i social media” (30 lipca 2025). (securelist.ru)
  4. The Record (Recorded Future News), „China’s APT31 linked to hacks on Russian tech firms” (21 listopada 2025). (The Record from Recorded Future)
  5. MITRE ATT&CK: „ZIRCONIUM (APT31) – G0128” (profil grupy i technik). (MITRE ATT&CK)

Qilin ransomware na warsztacie: jak śledczy odtworzyli atak z jednego końcowego hosta

Wprowadzenie do problemu / definicja luki

Qilin (znany również jako Agenda) to operacja Ransomware-as-a-Service (RaaS) aktywna od 2022 r., zasilana afiliantami i ukierunkowana na organizacje z wielu sektorów – od ochrony zdrowia po przemysł. Grupa stosuje podwójny wymus (szyfrowanie + wyciek danych) oraz elastyczne techniki dostępu początkowego (phishing, nadużycia RMM, wykorzystywanie narzędzi „living off the land”).

W skrócie

  • Zespół Huntress pokazał, jak z jednego zainfekowanego endpointu odtworzyć cały łańcuch ataku Qilin: od nieautoryzowanego dostępu przez ScreenConnect po próbę wdrożenia ransomware. Analiza opierała się na szczątkowych logach i artefaktach systemowych.
  • Qilin ewoluuje: afilianci tej operacji obserwowani są również przy uruchamianiu linuksowych szyfratorów w Windows za pomocą WSL, co utrudnia detekcję przez klasyczne narzędzia EDR.
  • Kontekst ryzyka potwierdzają realne skutki – m.in. głośny atak na laboratoria NHS/Synnovis w 2024 r., powiązany z Qilin.

Kontekst / historia / powiązania

Qilin wyłonił się jako RaaS w połowie 2022 r., z czasem rozbudowując ekosystem afiliantów i technikę operacyjną. Profil zagrożenia publikowany przez FortiGuard oraz noty sektorowe (HHS) opisują warianty w Go i Rust, podkreślają nadużycia narzędzi zdalnego zarządzania (RMM) i typowy schemat double-extortion. W 2024–2025 r. raporty i doniesienia prasowe przypisywały Qilin incydenty o znacznym wpływie – szczególnie w ochronie zdrowia.

Analiza techniczna / szczegóły luki

Wejście do środowiska (Initial Access):

  • Phishing i kradzież poświadczeń, a także nadużycia platform RMM (np. ScreenConnect) jako kanał „legitymizacji” ruchu i eksekucji. W analizowanym incydencie śledczym wykryto nieautoryzowany dostęp ScreenConnect jako punkt zwrotny.

Wykorzystanie WSL / obniżanie widoczności:

  • Część afiliantów Qilin uruchamia szyfratory ELF w środowisku Windows Subsystem for Linux, co omija niektóre heurystyki i telemetrykę narzędzi skupionych na binariach PE. To wymusza korelację telemetrii między Windows i komponentami WSL.

Eskalacja i przygotowanie środowiska:

  • Wyłączanie usług AV/EDR, czyszczenie logów zdarzeń, zatrzymywanie usług i procesów utrudniających szyfrowanie. Nowsze warianty (np. Qilin.B) dodają techniki antyforensyczne, włącznie z autodelecją plików wykonywalnych.

Szyfrowanie i exfiltracja:

  • Qilin stosuje model „szyfruj + wykradnij”, aby spotęgować presję na ofiarę. Exfiltracja odbywa się przed uruchomieniem szyfratora; następnie następuje notatka okupu i komunikacja na kanałach kontrolowanych przez grupę.

Artefakty i telemetria z jednego hosta (case study):

  • Huntress zrekonstruował oś czasu na podstawie lokalnych logów, śladów RMM, rejestru i plików tymczasowych, wykazując, że nawet limitowana widoczność pozwala zidentyfikować taktyki i pivoty atakujących. Dla SOC to praktyczny dowód, że „host-centric DFIR” może skutecznie odtworzyć łańcuch zdarzeń.

Praktyczne konsekwencje / ryzyko

  • Sektory wrażliwe (szczególnie ochrona zdrowia) narażone są na przerwy w świadczeniu usług, opóźnienia procedur medycznych oraz ryzyko ujawnienia danych pacjentów – co pokazał incydent NHS/Synnovis.
  • Nadużycia RMM zwiększają „szum tła” i utrudniają rozróżnienie legalnej administracji od działań wroga.
  • WSL-based encryptors wymagają rozszerzenia monitoringu poza tradycyjne PE/Windows API.

Rekomendacje operacyjne / co zrobić teraz

Prewencja i hardening

  1. Zabezpiecz RMM (ScreenConnect itp.): SSO, MFA bez wyjątków, allowlisting z IP/VPN, least privilege, segmentacja sesji, rejestrowanie i alerty na nietypowe działania operatorów.
  2. WSL pod lupą: wyłącz WSL, jeśli niepotrzebny; w przeciwnym razie loguj instalację/aktywację, monitoruj procesy wsl.exe, mounty, tworzenie plików ELF w profilach użytkowników.
  3. Polityki EDR/AV: blokowanie masowego otwierania/zamykania usług, czyszczenia logów, zatrzymywania serwisów bezpieczeństwa; ochrona przed autodelecją artefaktów.
  4. DLP + egress filtering: ogranicz exfiltrację przed szyfrowaniem (monitoring dużych transferów, blokady kanałów chmurowych/domen DGA).

Detekcja i telemetria

  • Koreluj dane Windows + WSL (Sysmon dla Windows i zdarzenia WSL), zdarzenia RMM, logi Security/System, rejestr usług oraz ślady tworzenia zadań. Buduj reguły na: uruchomienia wsl.exe poza oknami serwisowymi, instalację dystrybucji WSL, nietypowe sesje ScreenConnect, użycie narzędzi do wyłączania EDR, masowe WriteFile/Rename.

IR i odporność

  • Backupy 3-2-1 (air-gap/immutability), testy odtwarzania, runbooki IR dla RaaS; szybkie odłączenie RMM, credential hygiene, rotacja sekretów po incydencie.
  • W sektorze zdrowia – zgodność z wytycznymi branżowymi i procedurami ciągłości działania.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W porównaniu z wieloma rodzinami RaaS (np. LockBit, ALPHV), Qilin wyróżnia rosnąca adopcja taktyk ukrywania się w legalnych narzędziach (RMM) oraz przenikanie między platformami (ELF przez WSL na Windows). To zmniejsza skuteczność klasycznych, sygnaturowych detekcji i wymaga telemetrii obejmującej zarówno warstwę zarządczą, jak i subsystemy zgodności (WSL).

Podsumowanie / kluczowe wnioski

  • Qilin/Agenda pozostaje aktywnym i elastycznym RaaS, który łączy nadużycia RMM z technikami antyforensycznymi i – u części afiliantów – szyfratorami ELF uruchamianymi przez WSL.
  • Nawet ograniczona widoczność z jednego hosta pozwala zrekonstruować incydent i zidentyfikować punkty kontrolne – co pokazała analiza Huntress.
  • Organizacje, szczególnie z ochrony zdrowia, powinny traktować Qilin jako wysokie ryzyko operacyjne i wdrożyć specyficzne kontrole dla RMM i WSL.

Źródła / bibliografia

  1. BleepingComputer – „Piecing Together the Puzzle: A Qilin Ransomware Investigation” (studium przypadku Huntress). (BleepingComputer)
  2. FortiGuard – Threat Actor: Qilin Ransomware (profil grupy, RaaS, aktywność od 2022 r.). (fortiguard.com)
  3. U.S. HHS – Qilin Threat Profile (TLP:CLEAR) (wektory wejścia, podwójny wymus, Go/Rust). (HHS)
  4. TechRadar (na podstawie badań Trend Micro) – WSL wykorzystywany do uruchamiania szyfratorów ELF w Windows. (TechRadar)
  5. ComputerWeekly / The Guardian – incydent NHS/Synnovis 2024 przypisywany Qilin, skutki operacyjne i wyciek danych. (Computer Weekly)