Chińska grupa Storm‑1175 wykorzystuje luki zeroday w błyskawicznych atakach.
Badacze z Microsoft Threat Intelligence ujawnili, iż powiązana z Chinami grupa cyberprzestępcza Storm‑1175 prowadzi szybkie i agresywne kampanie ataków, w których wykorzystuje zarówno nowe, jak i znane luki bezpieczeństwa, często jeszcze przed ich publicznym ujawnieniem. Celem ataków są głównie systemy dostępne z internetu, a szczególnie mocno ucierpiały organizacje z sektora zdrowia, edukacji, finansów i usług profesjonalnych w Australii, Wielkiej Brytanii i USA. Grupa słynie z dużej szybkości działania — potrafi przejść od pierwszego włamania do kradzieży danych i wdrożenia ransomware Medusa w ciągu kilkudziesięciu godzin, a w niektórych przypadkach w mniej niż dobę. Do uzyskania dostępu wykorzystuje łańcuch kilku podatności, m.in. w Exchange, PaperCut, Ivanti czy JetBrains TeamCity. Storm‑1175 aktywnie korzysta także z luk zeroday (np. CVE‑2025‑10035 czy CVE‑2026‑23760), zanim zostaną opublikowane poprawki. Po wejściu do sieci atakujący tworzą nowe konta, instalują web‑shelle, używają legalnych narzędzi zdalnego dostępu oraz wyłączają mechanizmy bezpieczeństwa, by przygotować teren pod szyfrowanie danych. Ataki te pokazują, jak ważne jest szybkie aktualizowanie systemów i monitorowanie usług wystawionych do internetu.
Uwaga! Trwa praktyczne wykorzystywanie krytycznej luki w Fortinet.
Firma Defused Cyber poinformowała, iż cyberprzestępcy aktywnie wykorzystują krytyczną lukę CVE‑2026‑21643 w oprogramowaniu Fortinet FortiClient EMS. Jest to poważna podatność typu SQL injection, którą można wykorzystać zdalnie i bez logowania, wysyłając spreparowane żądanie HTTP do podatnego serwera. Luka dotyczy wyłącznie wersji FortiClient EMS 7.4.4, która została błędnie zmodyfikowana podczas przebudowy mechanizmu komunikacji z bazą danych. Błąd sprawia, iż pewne nagłówki HTTP trafiają do zapytań SQL bez odpowiedniego filtrowania. Efektem jest możliwość odczytu lub manipulowania danymi, a w skrajnych przypadkach – wykonanie nieautoryzowanych poleceń. Fortinet udostępnił poprawkę w wersji 7.4.5. Badacze z Bishop Fox wykazali, iż do ataku można wykorzystać publicznie dostępny endpoint /api/v1/init_consts, który zwraca komunikaty błędów bazy danych, ułatwiając cyberprzestępcom „wydobywanie” informacji oraz eskalację ataku. Co ważne, brak jakichkolwiek mechanizmów blokowania sprawia, iż luka jest łatwa do wykorzystania w praktyce. Zagrożenie jest szczególnie istotne dla organizacji korzystających z wielodzierżawnych wdrożeń EMS – w takim przypadku atak może wpływać na wielu klientów jednocześnie. Zaleca się natychmiastową aktualizację, a administratorzy powinni sprawdzić logi i zabezpieczyć dostęp do interfejsów zarządzających.
CISA nakazuje pilne załatanie krytycznej luki w Fortinet.
Amerykańska agencja CISA wydała pilne polecenie dla instytucji federalnych, aby do piątku, 9 kwietnia 2026 r. załatały poważną lukę w systemach Fortinet FortiClient EMS, która jest już aktywnie wykorzystywana przez cyberprzestępców. Luka oznaczona jako CVE‑2026‑35616 pozwala atakującym ominąć logowanie i autoryzację, co w praktyce daje im możliwość przejęcia pełnej kontroli nad podatnym serwerem. Wykorzystanie tej podatności nie wymaga znajomości hasła ani jakiejkolwiek interakcji użytkownika. Fortinet potwierdził, iż luka była używana w atakach typu zero‑day, zanim opublikowano poprawki. Firma wydała awaryjne aktualizacje (hotfixy) dla wersji 7.4.5 i 7.4.6, a pełna poprawka ma się pojawić w wersji 7.4.7. CISA od razu dodała podatność do katalogu KEV (Known Exploited Vulnerabilities), co oznacza, iż agencje federalne muszą usunąć zagrożenie w trybie natychmiastowym. Według analizy Shadowserver w sieci przez cały czas widocznych jest prawie 2000 wystawionych publicznie instancji FortiClient EMS, głównie w USA i Europie, co zwiększa skalę zagrożenia. CISA podkreśla, iż choć obowiązek dotyczy tylko instytucji federalnych, to wszystkie organizacje powinny jak najszybciej zainstalować poprawki, ponieważ luki w produktach Fortinet są często wykorzystywane w cyberatakach, w tym w kampaniach ransomware.
Iran‑powiązana kampania ataków „password spraying”.
Zespół Check Point Research ujawnił, iż grupy cyberprzestępcze powiązane z Iranem prowadzą szeroko zakrojoną kampanię ataków wymierzoną w użytkowników Microsoft 365 na Bliskim Wschodzie, głównie w Izraelu i Zjednoczonych Emiratach Arabskich. Ataki odbyły się w trzech falach – 3, 13 i 23 marca 2026 r. i dotknęły ponad 300 organizacji w Izraelu oraz ponad 25 w ZEA. Atakujący stosują technikę password spraying, polegającą na próbowaniu kilku prostych haseł na dużej liczbie kont, aby uniknąć blokady po nieudanych logowaniach. W kampanii wykorzystywano m.in. węzły Tor, by ukryć prawdziwe źródła ruchu, oraz usługi VPN (np. Windscribe, NordVPN), często z adresami w Izraelu, aby ominąć zabezpieczenia oparte na lokalizacji. Dodatkowo atakujący podszywali się pod przestarzałe przeglądarki (np. Internet Explorer 10), by wyglądać jak zwykły ruch sieciowy. Najbardziej narażone były urzędy miejskie, co – jak zauważają badacze – pokrywało się z lokalizacjami dotkniętymi irańskimi atakami rakietowymi. Sugeruje to możliwą próbę zakłócenia działań służb w kryzysie lub zdobywania informacji do oceny skutków ataków. Oprócz instytucji publicznych celem były też firmy z energetyki, transportu, technologii oraz pojedyncze organizacje w USA, Europie i Arabii Saudyjskiej. Po uzyskaniu dostępu atakujący mogli przeglądać pocztę e‑mail, kraść dane i monitorować komunikację wewnętrzną. Eksperci łączą kampanię ze znanymi irańskimi grupami, takimi jak Gray Sandstorm, które wcześniej stosowały podobne techniki.
Nowy phishing z fałszywymi mandatami – oszuści przechodzą na kody QR
W USA pojawiła się nowa fala oszustw, w których cyberprzestępcy rozsyłają SMS‑y podszywające się pod sądy stanowe i informują o rzekomym „nieopłaconym mandacie” lub „naruszeniu przepisów drogowych”. Wiadomości zawierają zdjęcie fałszywego pisma z sądu oraz kod QR, który ofiara ma zeskanować, aby „uregulować zaległość”. Po zeskanowaniu kod przenosi użytkownika na stronę pośrednią z CAPTCHA, co ma utrudnić wykrycie kampanii przez systemy bezpieczeństwa. Następnie ofiara trafia na fałszywą witrynę podszywającą się pod DMV lub inną instytucję publiczną, gdzie musi „zapłacić zaległość” w wysokości 6,99 USD. W rzeczywistości strona służy do wyłudzenia danych osobowych i finansowych (imię, adres, telefon, e‑mail, dane karty). Ataki zgłaszane są w wielu stanach, m.in. Nowym Jorku, Kalifornii, Karolinie Północnej, Illinois, Virginii, Teksasie, Connecticut i New Jersey, co wskazuje na szeroko zakrojoną kampanię. Nowa metoda – wykorzystanie obrazów i kodów QR zamiast zwykłych linków – utrudnia wykrywanie przez filtry antyphishingowe i analizę badaczy. Władze stanowczo podkreślają, iż instytucje państwowe nie wysyłają SMS‑ów z żądaniem płatności. Osoby, które podały swoje dane, powinny natychmiast skontaktować się z bankiem i zastrzec kartę.
