CyberCafe - Aktualności Cyberbezpieczeństwa

W ramach wrześniowego wtorku z aktualizacjami Microsoft zaadresował 177 różnych podatności, w tym 86 dotyczy produktów Microsoftu. Żadna z podatności nie była wykorzystywana przed dniem dzisiejszym. Zidentyfikowano dwie podatności już wcześniej. Microsoft ocenia 13 z podatności jako krytyczne. Warto zauważyć podatności związane z kategoryzowaniem URLi oraz umożliwiające wykonanie kodu lokalnie przez autoryzowanego atakującego.

Atorzy zagrożeń wykorzystują narzędzie Axios i funkcję Direct Send firmy Microsoft do wykonywania skutecznych ataków phishingowych na platformę Microsoft 365. Kampanie phishingowe wykorzystujące te narzędzia zyskują przewagę nad tradycyjnymi mechanizmami obronnymi, umożliwiając cyberprzestępcom kradzież poświadczeń w sposób skalowalny i precyzyjny.

W ostatnich kampaniach phishingowych zauważono wykorzystanie narzędzi HTTP takich jak Axios w połączeniu z funkcją Direct Send firmy Microsoft, co tworzy 'bardzo efektywny potok ataków'. Atakujący starają się wykorzystać Axios do brania nad bezpieczeństwa, a także do przechwytują sesje i uzyskiwania kodów uwierzytelniania wieloetapowego. Ataki phishingowe rozwijają się w kierunku zaawansowanych operacji na poziomie przedsiębiorstwa, wykorzystując zaawansowane taktyki unikania wykrycia i wiarygodne symulacje MFA, aby ersus ja odróżnić od prawdziwej aktywności.

Salty2FA Phishing Kit to zaawansowane narzędzie wykorzystywane w kampanii phishingowej, które wykorzystuje innowacyjne techniki, takie jak rotacja subdomen oparta na sesji, nadużycie platform legitmacyjnych do wystawiania przynęt phishingowych oraz replikacja marki firmowej na stronach logowania. Cyberprzestępcy wykorzystują również różne taktyki unikania wykrycia, co sprawia, że śledzenie działań takiej kampanii staje się trudne. Eksperci zalecają zwiększoną świadomość użytkowników oraz aktualizację strategii obronnych.

Zawiązanie potencjalnej katastrofy związanej z łańcuchem dostaw npm zostało udaremnione w rekordowym tempie po przejęciu weryfikowanych danych dewelopera przez atakujących.

Ekspert cyberbezpieczeństwa ostrzega przed nagłym wzrostem aktywności phishingowej z wykorzystaniem Axios User Agent i funkcji Direct Send firmy Microsoft. Ataki oparte na Axios cechują się wyjątkowym sukcesem i są trudne do wykrycia, co sprawia, że stanowią poważne zagrożenie dla organizacji.

Chińscy sprawcy podszywający się pod przedstawiciela Moolenaar-a próbowali pozyskać tajne informacje w trakcie rozmów handlowych USA-Chiny. Oszuści wykorzystywali pliki i linki do uzyskania dostępu do systemów ofiar, aby wpłynąć na politykę i strategie negocjacji USA oraz zdobyć przewagę handlową i polityczną.

Nowe kampanie malware wykorzystujące zaawansowane techniki unikania wykrycia i socjotechniki podnoszą ryzyko związane z phishingiem i AI. Malware takie jak MostereRAT i MetaStealer atakują użytkowników japońskich, wykorzystując złośliwe wiadomości e-mail, fałszywe instalatory programów i manipulacje interfejsem użytkownika w celu omijania rozwiązań bezpieczeństwa.

Badacze cyberbezpieczeństwa odkryli szczegóły kampanii phishingowej, która wykorzystuje nowy malware MostereRAT, przekształcony z bankowego na trojana zdalnego dostępu. Z kolei inna kampania wykorzystuje techniki ClickFix do dystrybucji informacyjnego kradzieżyusu MetaStealer. Natomiast CloudSEK opisało nowatorskie dostosowanie taktyki ClickFix, wykorzystującej niewidzialne komunikaty poprzez obfuskację z użyciem CSS, aby zwiększyć ryzyko wykorzystania przez AI i produkować podsumowania z kontrolowanymi instrukcjami ClickFix od atakujących.

Artykuł omawia strategie, jak skutecznie przekonać zarząd do zatwierdzenia budżetu na cyberbezpieczeństwo, koncentrując się na wartości biznesowej i ciągłej walidacji zabezpieczeń.

W sezonie budżetowym kluczowe jest przekonanie zarządu, że inwestycje w cyberbezpieczeństwo są niezbędne i przynoszą wartość biznesową. Eksperci radzą, jak skutecznie firmować konwersacje z zarządem, pokazując korzyści inwestycji w kontekście ciągłości działania, zgodności z przepisami oraz wpływu na koszty. Zaleca się także identyfikację i kategoryzację kluczowych aktywów, kwantyfikację potencjalnych strat wynikających z incydentów oraz wykorzystanie norm i regulacji jako wsparcia dla argumentacji firmującej zatwierdzenie budżetu na cyberskuteczność.

W wyniku ataku łańcucha dostaw oprogramowania wiele pakietów npm zostało skompromitowanych po zdobyciu dostępu do konta utrzymującego poprzez atak phishingowy. Sprawca, przedstawiając się jako npm, nakłonił użytkownika do podania swoich danych uwierzytelniających, co spowodowało opublikowanie złośliwej wersji pakietów. Malware wstrzyknięty do kodu źródłowego miał na celu kradzież kryptowalut poprzez manipulację zapytaniami. Incydent ten uwydatnia potrzebę zwiększenia czujności i zabezpieczenia łańcuchów dostaw.

Podczas cyberataków na 20 popularnych pakietów npm pojawiają się ryzyka dla użytkowników związane z kradzieżą kryptowalut. Incydent ten podkreśla potrzebę zwiększenia świadomości i zabezpieczenia ciągłej integracji/dostarczania ciągłego oraz kontroli zależności.

Odkryto zestaw wcześniej nieznanych domen, sięgających nawet do maja 2020 roku, związanych z chińskimi aktywnościami Tyfonu Sola i UNC4841. Infrastruktura składa się z 45 domen, które mają powiązania z grupą hakerską UNC4841, znanej m.in. z ataków zero-day. Badanie IP powiązanych z domenami ujawniło wysoką gęstość adresów, sugerując długą historię związaną z cyberespionażem.

Analiza odkryła 45 nowych domen powiązanych z grupami szpiegowskimi Tyfun Solny i UNC4841, operujących od 2019 roku. Infrastruktura ta współdzieli niektóre cechy z innymi grupami hakerskimi z Chin. Zaleca się, aby organizacje sprawdziły swoje logi DNS z ostatnich pięciu lat w poszukiwaniu powiązań z tą działalnością szpiegowską.

Nowa, zaawansowana kampania malware'u wykorzystująca reklamy płatne w wyszukiwarkach internetowych do dostarczania złośliwego oprogramowania, celująca w firmy IT i deweloperów oprogramowania w Zachodniej Europie. Malware GPUGate wykorzystuje fałszywe commity na GitHub, rozmiarowy MSI, kryptowany dekoder bramy GPU oraz skrypty PowerShell w celu kradzieży informacji i uniknięcia wykrycia.

Nowe zaawansowane kampanie złośliwego oprogramowania wykorzystują płatne reklamy w Google do infekowania użytkowników poszukujących popularnych narzędzi takich jak GitHub Desktop. Atakujące oprogramowanie GPUGate wprowadza skomplikowane procedury szyfrowania i dekodowania, by unikać wykrycia, wraz z wykorzystaniem fałszywych commity na GitHub i konkretnej strony do pobierania.

Nowy rodzaj malware MostereRAT skierowany jest na użytkowników systemów Windows i umożliwia atakującym pełną kontrolę nad skompromitowanymi urządzeniami. Kampania phishingowa charakteryzuje się zaawansowanymi technikami unikania wykrycia oraz kreatywnym wykorzystaniem języka kodowania chińskiego.

Badania przeprowadzone przez Cisco Talos wykazały, że nadużycia oprogramowania i usług do zdalnego dostępu są najczęstszymi wskaźnikami 'pre-ransomware'. Artykuł przekazuje, że istotne jest zabezpieczenie zdalnego dostępu oraz składowisk poświadczeń, aby ograniczyć ryzyko ataków przed zaszyfrowaniem danych.

Qualys i Tenable padły ofiarą ataku Salesloft Drift. Skradzione dane dotyczące klientów Salesforce doprowadziły do ograniczonego dostępu do informacji firm.

W ciągłym świecie cyberbezpieczeństwa każdy tydzień przynosi nowe zagrożenia i lekcje. Atak na Drift, aktywne wykorzystywanie luk CVE, zagrożenia oparte na sztucznej inteligencji – oto główne tematy. Ważne jest skupienie się na najistotniejszych ryzykach i szybka reakcja.

Cyberbezpieczeństwo nigdy nie zwalnia tempa. Każdy tydzień przynosi ze sobą nowe zagrożenia, nowe podatności i nowe lekcje dla obrońców. Wśród wydarzeń wyróżnia się atak na Salesloft-Drift, aktywne wykorzystywanie wysokiego ryzyka CVE, działania zaawansowanych grup cyberprzestępczych oraz świeże pomysły na sprawne zarządzanie bezpieczeństwem. Artykuł ostrzega przed kreatywnym wykorzystaniem sztucznej inteligencji przez hakerów oraz wskazuje na ważność szybkiego łatania podatności, by uniknąć poważnych szkód.

Śledząc atak GhostAction, GitGuardian odkrył, że 327 użytkowników oraz 817 repozytoriów padło ofiarą kampanii, która doprowadziła do wykradzenia 3325 sekretów, w tym m.in. danych uwierzytelniających do DockerHub, tokenów GitHub oraz tokenów npm.

Security eksperci ostrzegają klientów chmury SAP S/4HANA przed krytyczną luką umożliwiającą wstrzyknięcie kodu, którą firma w sierpniu załatała. CVE-2025-42957 ma ocenę CVSS 9.9 i pozwala atakującemu z minimalnymi uprawnieniami na przejęcie kontroli nad systemem SAP organizacji. Wpływ na przedsiębiorstwa z różnych sektorów jest ogromny, a konsekwencje obejmują kradzież danych, wykradanie poufnych informacji, ransomware oraz zakłócenia w działaniu operacyjnym. Konieczność pilnego łatania luk jest kluczowa, a brak aktualizacji sprawia, że firmy są narażone na ataki.

Grupa Noisy Bear, możliwie pochodzenia rosyjskiego, zidentyfikowana jako odpowiedzialna za ataki na sektor energetyczny Kazachstanu poprzez kampanię phishingową BarrelFire. Ataki te wykorzystują fałszywe dokumenty i zaawansowane techniki, a infrastruktura sprawcy jest hostowana w Rosji. Raporty wskazują także na aktywność innych zagrożeń cybernetycznych skierowanych na Rosję, Polskę i innych krajach.

Grupa zagrożeń Noisy Bear, prawdopodobnie pochodzenia rosyjskiego, przeprowadza ataki na sektor energetyczny w Kazachstanie, wykorzystując kampanię phishingową BarrelFire. Atak polega na wysyłaniu fałszywych dokumentów związanych z departamentem IT KazMunaiGas, zainfekowanych szkodliwym oprogramowaniem. Badacze zidentyfikowali infrastrukturę ataków i ujawnili związki ze sferą cyberbezpieczeństwa innych krajów, takich jak Ukraina, Polska i Rosja.

Odkryto nowy zestaw czterech złośliwych pakietów w rejestrze pakietów npm, zdolnych do kradzieży danych uwierzytelniających portfeli kryptowalutowych od deweloperów Ethereum.

Odkryto nowy zestaw czterech złośliwych pakietów w rejestrze pakietów npm, zdolnych do kradzieży danych uwierzytelniających portfela kryptowalutowego od deweloperów Ethereum. Pakiety udają legalne narzędzia kryptograficzne i infrastrukturę Flashbots MEV, jednocześnie w tajemnicy przesyłając klucze prywatne i mnemoniczne do bota Telegram kontrolowanego przez cyberprzestępcę.

Agencje cywilne wykonawczej w Stanach Zjednoczonych zostały zobowiązane do aktualizacji swoich instancji Sitecore do 25 września 2025 r. w związku z odkryciem poważnej podatności, która jest aktywnie wykorzystywana przez cyberprzestępców. Podatność ta umożliwia atakującym zdalne wykonanie kodu poprzez wykorzystanie eksponowanych kluczy maszyny ASP.NET.

Agencje Federalnego Cywilnego Obszaru Wykonawczego otrzymały zalecenie aktualizacji instancji Sitecore do 25 września 2025 r. w związku z odkryciem krytycznej luki bezpieczeństwa wykorzystywanej na dziko. Wrażliwość to CVE-2025-53690 z wynikiem CVSS 9.0. Zagrożenie to jedno z wielu ataków ViewState deserializacji, które wykorzystują publicznie dostępne klucze maszynowe ASP.NET.

Artykuł informuje o aktywnym wykorzystywaniu krytycznej podatności w systemie SAP S/4HANA, umożliwiającej atakującemu wstrzyknięcie kodu ABAP i pełne skompromitowanie środowiska SAP. Autorzy zalecają jak najszybsze zastosowanie łatek oraz monitorowanie logów w celu wykrycia podejrzanych aktywności.

Krytyczna podatność dotykająca oprogramowania SAP S/4HANA została aktywnie wykorzystana. Wprowadzenie iniekcji poleceń pozwala na kompromitację systemu SAP, co niesie ze sobą zagrożenia dla poufności, integralności i dostępności danych. Zaleca się jak najszybsze zastosowanie łatek oraz monitorowanie logów w celu wykrycia podejrzanych prób dostępu.

W II kwartale 2025 r. ataki mobilne z udziałem złośliwego oprogramowania, adware'u i niechcianego oprogramowania spadły do wartości 10,71 miliona. Odkryto nową złośliwą aplikację SparkKitty kradnącą obrazy z galerii na Androida i iOS. Warto zauważyć Trojana-DDoS.AndroidOS.Agent.a, który umożliwia ataki DDoS z urządzeń mobilnych. Liczba próbek złośliwego oprogramowania na Androida i potencjalnie niechcianego oprogramowania zmniejszyła się w porównaniu do poprzedniego kwartału. Bankowe trojany pozostają w pierwszej kolejności, z rodzina Mamont dominującą tę kategorię.

W drugim kwartale 2025 roku zaobserwowano liczne ważne wydarzenia związane z cyberbezpieczeństwem, takie jak ujęcie podejrzanych za ataki ransomware, działalność różnych grup przestępczych oraz wykorzystywanie luk w programach. Ponadto, statystyki pokazują spadek ilości nowych odmian ransomware oraz ochronę unikalnych użytkowników przed tego typu zagrożeniami.

Artykuł porusza temat wykorzystania portów USB w samochodach w sposób bardziej zaawansowany niż tylko do ładowania urządzeń mobilnych. Przedstawia praktyczne i mniej popularne sposoby korzystania z portów USB w samochodzie, takie jak odtwarzanie muzyki, aktualizacje oprogramowania oraz integrację urządzeń, a także prognozy dotyczące przyszłości technologii bezprzewodowej w samochodach.

Rosyjska grupa hakerska APT28 używa nowego backdooru Microsoft Outlook o nazwie NotDoor, aby infiltrować firmy z krajów NATO. Złośliwe oprogramowanie umożliwia exfiltrację danych, wgrywanie plików i uruchamianie poleceń na komputerze ofiary, wykorzystując Outlook jako kanał komunikacyjny, eksfiltracji danych i dostarczania malware'u.

Rosyjska grupa hakerska APT28 wprowadziła nowy backdoor „NotDoor” do programu Microsoft Outlook, umożliwiający exfiltrację danych i zdalne wykonywanie poleceń. Malware jest rozpowszechniany poprzez wykorzystanie techniki DLL side-loading i ma za zadanie działać jako cichy kanał komunikacyjny, exfiltracyjny i dostarczający złośliwe oprogramowanie. Ataki wykorzystują także usługę Microsoft Dev Tunnels do dodatkowego ukrycia infrastruktury C2.

Grupa badawcza ds. cyberbezpieczeństwa ujawniła nowe zagrożenie o nazwie GhostRedirector, które zdołało skompromitować przynajmniej 65 serwerów Windows, głównie w Brazylii, Tajlandii i Wietnamie. Ataki doprowadziły do instalacji pasywnego backdooru C++ o nazwie Rungan oraz modułu Internet Information Services (IIS) o kryptonimie Gamshen. Sprawca działa od co najmniej sierpnia 2024 roku.

Grupa zagrożeń GhostRedirector zdołała zhakować co najmniej 65 serwerów Windows, głównie w Brazylii, Tajlandii i Wietnamie. Ataki te doprowadziły do zainfekowania serwerów backdoorem Rungan oraz modułem Gamshen dla usługi Internet Information Services (IIS). Atakujący wykorzystują manewry SEO do manipulacji wynikami wyszukiwarek, w tym Google, co może zaszkodzić renomie stron internetowych.

Nowo zidentyfikowana grupa hakerska o nazwie GhostRedirector zaatakowała co najmniej 65 serwerów z systemem Windows na całym świecie, głównie w Brazylii, Tajlandii i Wietnamie. Używając specjalnie przygotowanych narzędzi, takich jak backdoor Rungan i złośliwy moduł IIS o nazwie Gamshen, grupa ta przeprowadza akcje oszustwa związanego z wynikami wyszukiwania w celu podniesienia rankingów określonych stron internetowych, zwłaszcza platform hazardowych. Eksperci z ESET zidentyfikowali szereg wskaźników wskazujących na powiązania GhostRedirector z Chinami, co podkreśla podobieństwo do działań innego, wcześniej znaczonego zespołu hakerskiego, DragonRank.

Badanie eksperckie ujawniło, że północnokoreańscy hakerzy próbują wykorzystać platformy inteligencji zagrożeń do ataków phishingowych. Grupa działa koordynowanie, demonstrując wytrwałość i skupiając się na szybkiej reakcji na ewentualne wycieki. Alertuje się zarówno poszukujących pracy, jak i dostawców infrastruktury na niebezpieczeństwo.

Analitycy bezpieczeństwa ujawnili atak wykorzystujący lukę zero-day w popularnym systemie zarządzania treścią Sitecore, dotykającym m.in. firmy takie jak HSBC, L’Oréal, Toyota i United Airlines.

W badaniach zidentyfikowano nową technikę wykorzystywaną przez cyberprzestępców do omijania zabezpieczeń przed złośliwymi reklamami na platformie społecznościowej X za pomocą sztucznej inteligencji asystenta Grok. Metoda otrzymała kryptonim Grokking i polega na wykorzystaniu odtwarzanych postów wideo z treściami dla dorosłych jako przynęty, ukrywając złośliwe linki, które kierują użytkowników do podejrzanych sieci reklamowych. Cyberprzestępcy zwiększają widoczność linków poprzez interakcję z asystentem AI, Grok, co pozwala im rozprzestrzeniać złośliwe linki na milionach kont we wspomnianej platformie.

Nowa technika wykorzystywana przez cyberprzestępców polega na omijaniu zabezpieczeń antyreklamowych na platformie społecznościowej X i rozpowszechnianiu szkodliwych linków za pomocą sztucznej inteligencji asystenta Grok. Odkrycie to zostało podkreślone przez Nati Tala, szefa Guardio Labs, jako technika o nazwie Grokking. Przestępcy wykorzystują Grok do szerzenia linków ukrytych w metadanych, przekierowując użytkowników na podejrzane sieci reklamowe i strony z złośliwym oprogramowaniem.

Amerykańska Agencja Cyberbezpieczeństwa i Ochrony Infrastruktury (CISA) wskazała dwa luki bezpieczeństwa dotyczące bezprzewodowych routerów TP-Link jako aktywnie eksploatowane, zalecając podjęcie działań zaradczych w celu zabezpieczenia sieci przed atakami.

Usługa Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury Stanów Zjednoczonych (CISA) ostrzega przed aktywnym wykorzystywaniem dwóch luk bezpieczeństwa w routerach bezprzewodowych TP-Link. Firma zaleca aktualizację oprogramowania jako środek zapobiegawczy.

Firma Check Point ostrzega, że narzędzie Hexstrike-AI, stworzone dla czerwonych zespołów, jest wykorzystywane przez groźnych aktorów do przyspieszenia i uproszczenia eksploatacji podatności, co skraca okno między ujawnieniem podatności a masowym atakiem.

GhostRedirector to nowy podmiot zagrożenia identyfikowany przez badaczy ESET, atakujący serwery Windows za pomocą pasywnego backdooru C++ oraz złośliwego modułu IIS manipulującego wynikami wyszukiwania Google.

Sektor ochrony zdrowia zajmuje jedno z ostatnich miejsc w szybkości usuwania poważnych luk, co prowadzi do narażenia systemów i danych na tygodnie, a nawet miesiące.

Odkryto dwa nowe złośliwe pakunki na rejestrze npm, które wykorzystują umowy inteligentne dla blockchainu Ethereum do dokonywania złośliwych działań na skompromitowanych systemach, sygnalizując rosnącą tendencję sprawców zagrożeń do poszukiwania nowych sposobów dystrybucji złośliwego oprogramowania i unikania wykrycia.

Badacze cyberbezpieczeństwa odkryli nowe złośliwe pakiety na rejestrze npm, które wykorzystują inteligentne kontrakty dla blockchaina Ethereum do przeprowadzenia szkodliwych działań na skompromitowanych systemach. Pakiety te stanowią część zaawansowanej kampanii mającej wpływ na społeczność deweloperów npm i GitHub, atakując ich w sprytny sposób. Taka technika wykorzystywania Ethereum smart contracts w celu ukrycia szkodliwego oprogramowania stanowi nowe zagrożenie, na które powinni być świadomi deweloperzy kryptowalut.

Odkryto kampanię atakującą deweloperów poprzez paczki npm i repozytoria GitHub, wykorzystującą Ethereum smart contracts do ukrywania infrastruktury C2. Atak jest częścią większej kampanii obejmującej fałszywe repozytoria i manipulację społecznością GitHub.

W artykule omówiono lukę bezpieczeństwa w systemie DELMIA Apriso marki Dassault, umożliwiającą zdalne wykonanie kodu. Wykazano, że ataki wykorzystują problem z deserializacją, pochodzącego z konkretnego adresu IP.

Grupa badaczy firmy S2 Grupo zauważyła nową tylną furtkę do programu Outlook, pozwalającą cyberprzestępcom na kradzież danych, wgrywanie plików i wykonanie poleceń na komputerze ofiary. Badacze nazwali tę furtkę 'NotDoor', przypisując ją rosyjskiej grupie cyberprzestępczej APT28. Malware ten, skierowany na Outlooka, jest zabiegiem wyrafinowanego narzędzia Visual Basic dla Aplikacji, umożliwiającego cyberprzestępcom przeprowadzenie operacji szpiegowskich lub ataków ukierunkowanych.

Threat actors próbują wykorzystać sztuczną inteligencję HexStrike AI do eksploatacji niedawno odkrytych luk w zabezpieczeniach Citrixa, co z kolei generuje poważne zagrożenia dla cyberbezpieczeństwa.

Atakujący próbują wykorzystać nowo opracowane narzędzie HexStrike AI do ataku za pomocą niedawno ujawnionych luk w zabezpieczeniach Citrixa. Platforma AI HexStrike AI integruje się z ponad 150 narzędziami bezpieczeństwa, ułatwiając rozpoznanie sieci, testowanie bezpieczeństwa aplikacji internetowych, inżynierię wsteczną oraz bezpieczeństwo chmury.

Google wydał aktualizacje bezpieczeństwa w celu naprawy 120 luk w swoim systemie Android, w tym dwóch luk, które były atakowane. Lukami tymi było możliwe lokalne eskalowanie uprawnień bez konieczności dodatkowych uprawnień wykonania, a ich wykorzystanie nie wymaga interakcji użytkownika. Google zaleca partnerom Androida naprawienie wszystkich luk oraz stosowanie najnowszego poziomu zabezpieczeń.

Google wydał aktualizacje bezpieczeństwa w celu naprawienia 120 luk w swoim systemie operacyjnym Android, w tym dwóch luk wykorzystywanych w celowanych atakach. Patche naprawiają m.in. kilka zagrożeń związanych z wykonaniem zdalnym kodu i eskalacją uprawnień, zachęcając partnerów do aktualizacji ich urządzeń.

Iranijczycy przeprowadzili koordynowaną kampanię spear-phishingu, wykorzystując fałszywe maile dyplomatyczne, aby infiltrować ambasady i konsulaty na całym świecie. Atak skupiał się głównie na Europie i Afryce, a wykorzystana technika polegała na przekonaniu odbiorców do uruchomienia złośliwego macro w dokumencie Worda, co pozwalało na zainfekowanie systemu malwarem.

Grupa związana z Iranem przeprowadziła zorganizowaną kampanię spear-phishingu, kierującą się do ambasad i konsulatów w Europie i innych regionach świata. Atak wykorzystywał manipulację treścią e-maili i makra VBA w celu zainstalowania złośliwego oprogramowania na urządzeniach ofiar.

Gigant fintechu Sinqia z Brazylii ujawnił próbę cyberataku, w trakcie której sprawcy starali się ukraść 710 mln reali (130 mln USD) od dwóch klientów bankowych. Atak był możliwy dzięki skompromitowaniu danych uwierzytelniających jednego z dostawców IT Sinqia.

Firma CloudFlare poinformowała o automatycznym zneutralizowaniu ataku DDoS osiągającego rekordowe 11.5 terabajtów na sekundę. Atak ten trwał zaledwie 35 sekund i stanowił zaledwie część wzrostu hiper-wolumetrycznych ataków DDoS, które zyskują na popularności z powodu swojej skuteczności.

Firma Cloudflare automatycznie zneutralizowała rekordowy atak wolumetryczny typu DDoS o mocy 11,5 terabitów na sekundę (Tbps). Atak trwał zaledwie 35 sekund, głównie polegał na przeprowadzeniu ataku UDP flood z Google Cloud. Takie ataki mają na celu przytłoczenie celu lawiną ruchu, powodując spowolnienie serwera lub nawet jego awarię.

Agencja ds. Cyberbezpieczeństwa i Infrastruktury Stanów Zjednoczonych dodała luki w TP-Link oraz WhatsApp do katalogu znanych wykorzystywanych podatności z powodu aktywnego działania hakerów. Wprowadzone modyfikacje mają na celu zwiększenie świadomości użytkowników sprzętu i oprogramowania dotyczących zagrożeń cybernetycznych oraz wskazanie działań zaradczych dla zabezpieczenia systemów informatycznych.

CISA dodała do swojego katalogu Known Exploited Vulnerabilities (KEV) poważną lukę w bezpieczeństwie dotyczącą produktów TP-Link TL-WA855RE Wi-Fi Ranger Extender oraz luki w WhatsApp. Zaleca się zastosowanie odpowiednich zabezpieczeń do 23 września 2025 r., aby przeciwdziałać aktywnym zagrożeniom.

Podczas weekendu Labor Day Cloudflare pomyślnie zatrzymało rekordowy atak DDoS osiągający 11.5 Tbps. Atak ten, pochodzący głównie z kilku dostawców IoT i chmur obliczeniowych, był prawie o 60% większy niż poprzedni. Cloudflare zauważa wzrost częstotliwości i wielkości ataków DDoS, co wymaga większej uwagi i środków ochronnych.

Grupa Lazarus z Korei Północnej przeprowadziła kampanię inżynierii społecznej, wykorzystując trzy różne rodzaje złośliwego oprogramowania o nazwach PondRAT, ThemeForestRAT i RemotePE. Atak ten był obserwowany przez NCC Group's Fox-IT i miał miejsce w 2024 roku, kiedy to skoncentrował się na sektorze finansów zdecentralizowanych, prowadząc do kompromitacji systemu pracownika. Sprawcy wykorzystywali narzędzia takie jak keyloggery, stealery, czy programy proxy, aby przenikać i przesuwać się po sieci, zanim w końcu zainstalowali zaawansowany typ oprogramowania szpiegującego RemotePE.

Grupa zagrożeń powiązana z Koreą Północną, znana jako Lazarus Group, przeprowadziła kampanię inżynierii społecznej wykorzystując trzy różne rodzaje złośliwego oprogramowania - PondRAT, ThemeForestRAT i RemotePE. Atak miał miejsce w sektorze finansów zdecentralizowanych (DeFi) i doprowadził do skompromitowania systemu pracownika.Łańcuch ataku rozpoczyna się od podszywania się pod istniejącego pracownika firmy handlowej na Telegramie, a kończy na instalacji RemotePE, bardziej zaawansowanego RATa rezewowanego dla wysoko wartościowych celów.

Agencja ICE ponownie zawarła umowę z izraelską firmą Paragon Solutions, obecnie należącą do amerykańskiej firmy inwestycyjnej, mimo wcześniejszego wstrzymania kontraktu z powodu potencjalnego naruszenia zarządzenia administracji Bidena dotyczącego ograniczeń w zakupie oprogramowania szpiegowskiego. Paragon był założony przez byłego dowódcę izraelskiej agencji wywiadu Unit 8200, a osiągnięcia eksperckie zespołu Citizen Lab ujawniły przypadki infekcji szkodliwym oprogramowaniem Graphite w telefonach iPhone dwóch europejskich dziennikarzy, co doprowadziło do reakcji rządu włoskiego.

Artykuł opowiada o doświadczeniach autora, który zastanawiał się nad wykorzystaniem sztucznej inteligencji do rozwiązania problemów związanych z kodem o kluczowym znaczeniu. Autor podkreśla ryzyko związanego z delegowaniem zadań AI w obszarach, które mogą szybko spowodować poważne konsekwencje. Ostatecznie zdecydował się zachować kontrolę nad kodowaniem istotnych funkcji, obawiając się katastrofalnych skutków ewentualnej awarii AI. Artykuł kładzie nacisk na granicę między korzyściami wynikającymi z wykorzystania AI a ryzykiem związanym z oddaniem nad nią kontroli nad kluczowymi elementami kodu.

Artykuł omawia znaczenie ciasteczek, różne rodzaje, sposób działania oraz konieczność informowania użytkowników o nich. Zawiera też informacje o wrażliwych ciasteczkach przechowujących identyfikator sesji, typy ataków na nie oraz sposoby ochrony zarówno dla deweloperów, jak i użytkowników.

Atakujący znany jako Silver Fox wykorzystał podatny sterownik związany z oprogramowaniem antywirusowym WatchDog do ataku typu BYOVD. Celuje w rozbrojenie rozwiązań zabezpieczeń na kompromitowanych hostach poprzez wykorzystanie dwóch sterowników, amsdk.sys i WatchDog. Atak polega na zneutralizowaniu produktów ochrony końcowej, umożliwiając wdrożenie złośliwego oprogramowania ValleyRAT, zapewniającego zdalny dostęp do systemu.

Srebrna Lisica, znana jako Silver Fox, wykorzystuje podatny sterownik WatchDog Anti-malware, aby zainstalować złośliwe oprogramowanie ValleyRAT w ataku typu BYOVD. Kampania ma na celu wyłączenie rozwiązań bezpieczeństwa na zainfekowanych hostach, co umożliwia instalację i utrzymywanie oprogramowania malware bez wykrycia przez mechanizmy bazujące na sygnaturach. Ataki te są częścią skoordynowanej działalności cyberprzestępczej, której celem jest kradzież informacji, oszustwa finansowe i zdalne kontrolowanie systemów ofiar.

Artykuł omawia aresztowanie szwedzkiego programisty i obrońcy prywatności Oli Bini w Ekwadorze pod zarzutem bycia rosyjskim hakierem. Promuje także różne firmy oferujące rozwiązania z zakresu cyberbezpieczeństwa. Jack Rhysider przedstawia również własne doświadczenia związane z kwestią słabych haseł. Ola Bini wspomniany jest jako przykład istotnej problematyki w dziedzinie bezpieczeństwa IT.

Wypadek naruszenia certyfikatów uwierzytelniających w Salesloft wywołał szereg reakcji w świecie korporacyjnym. Atakujący ukradli znaczną liczbę tokenów uwierzytelniających, co poskutkowało dostępem do danych z wielu usług online, m.in. Slack, Google Workspace, Amazon S3, Microsoft Azure i OpenAI. Również Google zauważył, że atak sięga znacznie dalej niż Salesforce, i ostrzega przed dodatkowymi zagrożeniami. Incydent ten wiąże się z szeroko zakrojoną kampanią inżynierii społecznej i grupą zagrożeń UNC6040.

Nowa kampania cybernetyczna wykorzystuje podatne, ale zaufane sterowniki Windows do omijania zabezpieczeń i instalacji narzędzia zdalnego dostępu. Silver Fox APT grupa wykorzystała podpisanie przez Microsoft sterownika WatchDog Antimalware do zakończenia procesów związanych z programami antywirusowymi i narzędziami EDR, umożliwiając instalację modularnego backdoor ValleyRAT. Kampania ewoluowała, tworząc warianty używające nowych sterowników lub zmodyfikowanych wersji sterowników w celu uniknięcia wykrycia. Infrastruktura ataków została prześledzona do serwerów w Chinach, a konfiguracje złośliwego oprogramowania były ukierunkowane na popularne produkty bezpieczeństwa w Azji Wschodniej. Research CPR podkreślił konieczność ścisłego monitorowania aktywności sterowników oraz zaleca zastosowanie blokady sterowników ostatniej wersji Microsoftu, używanie reguł detekcji YARA i monitorowanie zachowań w celu wykrycia nietypowej aktywności sterownika.

Odkryto poważny problem zabezpieczeń w wtyczce WordPress Paid Membership Subscriptions, która jest używana przez ponad 10 000 stron do zarządzania subskrypcjami i płatnościami cyklicznymi. Wersje 2.15.1 i starsze są podatne na nieuwierzytelnioną lukę wstrzykiwania SQL, śledzoną jako CVE-2025-49870. Atakujący mogą wstrzykiwać złośliwe zapytania SQL do bazy danych bez potrzeby posiadania danych logowania. Zaleca się, aby użytkownicy wtyczki jak najszybciej zaktualizowali ją do wersji 2.15.2, aby chronić swoje strony przed eksploatacją.

Cyberbezpieczeństwo dzisiaj to nie tyle pojedyncze ataki, co łańcuchy drobnych słabości, które prowadzą do poważnych zagrożeń. Od niedocenionej aktualizacji po złe wykorzystanie konta czy narzędzia w nieodpowiednich rękach - to wystarczy, by otworzyć drzwi. Atakujący mieszają metody, łącząc kradzież dostępu, niezałatwione oprogramowanie i sprytne triki, przechodząc od małych punktów wejścia do poważnych konsekwencji. Dla obrońców nauka jest jasna: prawdziwe niebezpieczeństwo często tkwi nie w pojedynczej wadzie, ale w interakcjach różnych drobnych usterek. WhatsApp załatał wykorzystywaną aktywnie lukę, a dzięki Advanced Threat Protection można monitorować aktywność cyberprzestępców.

Cyberbezpieczeństwo dzisiaj polega mniej na pojedynczych atakach, a bardziej na łańcuchach małych słabości, które łączą się w duże ryzyko. Oto przegląd najważniejszych zagrożeń związanych z WhatsApp, Auth0, serwerami MCP oraz listą najnowszych podatności CVE, porady dotyczące zapewnienia bezpieczeństwa MCP i przypominający trend rosnącej roli nowych technologii w dziedzinie bezpieczeństwa cybernetycznego.

Artykuł omawia rosnące zagrożenia cybernetyczne związane z przeglądarkami, przedstawiając działania grupy Scattered Spider oraz strategie zapobiegania zaawansowanym zagrożeniom z nim związanym. Autorzy zalecają CISOs rozważenie bezpieczeństwa przeglądarek jako centralnego filara obrony organizacji.

W artykule omówiono zagrożenia, jakie niesie za sobą Scattered Spider, zaawansowana grupa hakerska atakująca wrażliwe dane przeglądarek. Poruszono także strategie obronne przeciwko zaawansowanym zagrożeniom w przeglądarkach, takie jak ataki phishingowe, wykradanie sesji, złośliwe rozszerzenia czy rekonnaissance. Zaleca się wykorzystanie wielowarstwowej strategii bezpieczeństwa przeglądarek oraz integrację ochrony przeglądarek w obecną infrastrukturę bezpieczeństwa, aby wzmocnić całą sieć organizacyjną.

Amazon zidentyfikował i zablokował cyberatak typu watering hole przeprowadzony przez rosyjską grupę APT29, która próbowała wykorzystać błędy uwierzytelniania Microsoft. Atak miał na celu przekierowanie użytkowników na złośliwą infrastrukturę w celu dostarczenia złośliwego oprogramowania, kradzieży danych logowania lub szpiegostwa cybernetycznego.

WhatsApp załatał krytyczną zerodniową lukę, która została wykorzystana w zaawansowanym ataku. Wada dotyczyła nieprawidłowej autoryzacji wiadomości synchronizacji urządzeń powiązanych, mogącej pozwolić na wywołanie przetwarzania treści z dowolnego adresu URL na urządzeniu celu. Istnieje podejrzenie, że wspólnie z podatnością na poziomie systemu operacyjnego Apple, luka ta mogła zostać wykorzystana w zaawansowanym ataku przeciwko konkretnym użytkownikom. Incydent potwierdza ryzyko komercyjnych kampanii szpiegowskich, takich jak operacja Pegasus NSO Group, która już w przeszłości celowała w użytkowników WhatsApp. Znalezienie najnowszej luki jest częścią ciągłych wysiłków badawczych mających na celu odkrycie i zrozumienie zagrożeń cyberbezpieczeństwa.

Badacze cyberbezpieczeństwa zwracają uwagę na atak cybernetyczny, w którym nieznani sprawcy wykorzystali narzędzie do monitorowania końcowych punktów i analizy cyfrowej o nazwie Velociraptor w celu zainstalowania Visual Studio Code w celu tunelowania do własnego serwera C2. Atak ten pokazuje rosnące wykorzystanie legalnego oprogramowania do celów złośliwych.

Sformułowano nowe zagrożenia dotyczące cyberbezpieczeństwa, w których napastnicy wykorzystują narzędzie do monitorowania endpointów i analizy cyfrowej o nazwie Velociraptor do złośliwych celów. Zwolennicy Velociraptor wykorzystują Windows msiexec do pobierania instalatora MSI z domeny Cloudflare i wdrażania dodatkowych narzędzi, takich jak narzędzie tunelujące Cloudflare i narzędzie do zdalnej administracji o nazwie Radmin. Innym obiektem ataków jest Microsoft Teams, gdzie przestępcy wykorzystują platformę do inicjowania dostępu i dostarczania oprogramowania złośliwego, takiego jak narzędzia zdalnego dostępu AnyDesk czy Quick Assist, poprzez skomunikowane tenanty IT. Wszystkie te zagrożenia podkreślają pilną potrzebę monitorowania, reagowania i zabezpieczania systemów przed rosnącą liczbą ataków cybernetycznych.

WhatsApp wydał poprawki adresujące podatność bez kliknięcia na urządzenia Apple, które mogły być wykorzystywane w zaawansowanych atakach szpiegowskich skierowanych przeciwko określonym użytkownikom. Luki te były wykorzystywane bez interakcji ze strony użytkownika, stanowiąc poważne zagrożenie dla bezpieczeństwa cyfrowego.

WhatsApp zaktualizował swoje aplikacje dla systemów Apple iOS i macOS, naprawiając lukę bezpieczeństwa, która mogła być wykorzystywana w atakach zero-day. Luka CVE-2025-55177 dotyczyła niewystarczającej autoryzacji wiadomości synchronizacji urządzenia. Skorzystanie z niej mogło pozwolić niepowiązanemu użytkownikowi na przetwarzanie treści z dowolnego URL na urządzeniu celu. W ramach zaawansowanych ataków na konkretne osoby możemy również mieć do czynienia z wykorzystaniem luki CVE-2025-43300, wpływającej na systemy iOS, iPadOS i macOS.

W artykule opisano osobiste doświadczenie złapania kilku kalmarów Humboldta na wędkę. Brak zdjęć. Artykuł otwiera dyskusję na temat bezpieczeństwa cybernetycznego. Wspomina o polityce moderacji bloga oraz prezentuje tagi związane z kalmarami. Autor odwołuje się do innych artykułów związanych z bezpieczeństwem, które nie były jeszcze omawiane.

Odkryto trzy nowe podatności bezpieczeństwa w Platformie Sitecore Experience, które mogą być wykorzystane do ujawniania informacji oraz wykonania kodu zdalnego. Początkowe dwie luki zostały załatane w czerwcu, a trzecia w lipcu 2025 roku. Zidentyfikowane błędy mogą prowadzić do wykonania kodu zdalnego i nieupoważnionego dostępu do informacji. Badacze z watchTowr Labs stwierdzili, że połączenie podatności związanych z zatruciem pamięci cache oraz wykonaniem kodu zdalnego może kompromitować w pełni zabezpieczoną instancję Platformy Sitecore Experience.

Trzy nowe podatności bezpieczeństwa ujawniono w platformie Sitecore Experience, które mogą być wykorzystane do ujawniania informacji i wykonania zdalnego kodu. Red Herring Labs odkryły te luki, które mogą być wykorzystane w celu skompromitowania w pełni zabezpieczonej platformy Sitecore Experience poprzez łańcuch eksploracji podatności w połączeniu z zatruciem pamięci podręcznej HTML przed autoryzacją i wykonaniem zdalnego kodu po autoryzacji.

Wyspecjalizowana kampania phishingowa przeciwko pracownikom rządowym i służbom wywiadowczym Południowej Korei została odkryta przez firmę cyberbezpieczeństwa Seqrite. Grupa hakerska APT37, prawdopodobnie wspierana przez Koreę Północną, wykorzystała pliki związane z intelligence to narzędzia ataku. Atakujący rozpowszechniają fałszywy dokument PDF wraz z złośliwym plikiem LNK, co pozwala im na kompromitację systemów ofiar.

Porzucony serwer aktualizacji powiązany z oprogramowaniem edytora metody wprowadzania IME Sogou Zhuyin został wykorzystany przez cyberprzestępców w ramach kampanii szpiegowskiej, dostarczając szereg rodziny złośliwego oprogramowania, w tym C6DOOR i GTELAM, głównie atakując użytkowników w Azji Wschodniej. Badacze z Trend Micro stwierdzili, że atakujący wykorzystali złożone łańcuchy infekcji, takie jak porwane aktualizacje oprogramowania i fałszywe strony chmury lub logowania, aby rozpowszechniać złośliwe oprogramowanie i zbierać wrażliwe informacje. Kampania, zidentyfikowana w czerwcu 2025 roku, otrzymała kodową nazwę TAOTH i głównie skierowana jest przeciwko dysydentom, dziennikarzom, badaczom oraz liderom technologicznym/biznesowym w Chinach, Tajwanie, Hongkongu, Japonii, Korei Południowej i społecznościach tajwańskich za granicą.

Porzucony serwer aktualizacji związany z oprogramowaniem edytora metody wprowadzania Sogou Zhuyin został wykorzystany przez sprawców zagrożeń w ramach kampanii szpiegowskiej, która miała na celu dostarczenie kilku rodzin złośliwego oprogramowania w atakach głównie skierowanych na użytkowników z obszaru Azji Wschodniej.

W artykule omówiono jak sztuczna inteligencja może doprowadzić do stworzenia Proof-of-Concept w zaledwie 15 minut, co zwiększa zagrożenie w dziedzinie cyberbezpieczeństwa. Omówiono działania, które mogą spowodować blokadę bezpieczeństwa strony oraz w jaki sposób poinformować właściciela strony o zablokowaniu.

Zagrożenie polegało na zainfekowaniu popularnej platformy Nx przez szkodliwe oprogramowanie kradnące dane i kryptowaluty, wykorzystujące sztuczną inteligencję. Atak został szybko zidentyfikowany, ale pozostawił ślad, niosąc ze sobą ryzyko wykrycia.

W pierwszej połowie 2025 roku ponad połowę (53%) wykorzystywanych wyjątków przypisano do działań państwowych hakerów dążących do celów strategicznych i geopolitycznych, co wynika z nowego raportu Insikt Group Recorded Future. Hakerzy państwowi, głównie chińscy, celowali głównie w infrastrukturę brzegową oraz rozwiązania dla przedsiębiorstw. Przewiduje się kontynuację ataków na bezpieczeństwo brzegowe oraz zwiększone wykorzystanie technik inicjalnego dostępu przez grupy ransomware w 2025 roku.

W artykule omówiono, w jaki sposób atakujący dostosowują się do mechanizmów ochrony macOS oraz przedstawiono sposoby wykrywania i zwalczania ataków na przykładach takich mechanizmów jak menedżer haseł Keychain, System Integrity Protection (SIP), Transparency, Consent and Control (TCC) oraz File Quarantine. Przedstawiono również konieczność użycia zaawansowanych rozwiązań zewnętrznych w celu osłabienia ataków na zaawansowane mechanizmy macOS.

Click Studios wypuściło aktualizację zabezpieczeń, aby naprawić luki w uwierzytelnianiu i ochronić przed atakami clickjacking. Aktualizacja obejmuje także poprawki w zabezpieczeniach przed atakami clickjacking na rozszerzeniach przeglądarki.

Firma Click Studios zaktualizowała oprogramowanie do zarządzania hasłami Passwordstate, naprawiając wysokie ryzyko podatności na pominięcie uwierzytelnienia. Wprowadzono również nowe zabezpieczenia przeciwko atakom typu clickjacking.

Zespół bezpieczeństwa Sangoma FreePBX wydał ostrzeżenie dotyczące aktywnie wykorzystywanej luki zero-day, która dotyka systemów z panelem kontrolnym administratora wystawionym publicznie w internecie. Wrażliwe są wersje 16 i 17, a użytkownikom zaleca się natychmiastową aktualizację i ograniczenie dostępu publicznego do panelu administracyjnego.

Ważne ostrzeżenie dotyczące skorzystania z luki zero-day na serwerach FreePBX. Użytkownikom zaleca się aktualizację do najnowszych wersji oraz ograniczenie dostępu do panelu administratora.

Nowa fala ataków phishingowych wykorzystujących Microsoft Teams do dostarczania złośliwego oprogramowania została odkryta przez badaczy bezpieczeństwa. Atakujący tworzą fałszywe konta wsparcia IT, aby oszukać pracowników i zainstalować zdalne narzędzia dostępu, umożliwiając im bezpośrednią kontrolę nad systemami firmowymi.

Grupa Salt Typhoon, powiązana z Chinami, kontynuuje ataki na organizacje na całym świecie, wykorzystując niewłaściwości w urządzeniach sieciowych krawędziowych. Atakując urządzenia Cisco, Ivanti, Palo Alto Networks i inne, grupa zdobywa dostęp do sieci, kradnie dane i manipuluje konfiguracją do celów wywiadowczych.

Grupa Salt Typhoon, związana z Chinami, kontynuuje ataki na sieci na całym świecie, wykorzystując luki w urządzeniach sieciowych brzegowych. Organizacje telekomunikacyjne, rządowe i inne sektory infrastruktury są w obliczu zagrożenia. Artykuł ostrzega o działalności związanym z trzema chińskimi podmiotami oraz wymienia podatne urządzenia dostawców takich jak Cisco, Ivanti i Palo Alto Networks.

Holenderskie agencje wywiadowcze potwierdziły działania chińskiej grupy hakcerskiej Salt Typhoon w Holandii, wskazując na ataki na małe dostawcy usług internetowych i hostingowych. Mimo że działania te nie były tak intensywne jak w USA, zagrożenia cybernetyczne z Chin stanowią poważne wyzwanie dla holenderskiej cyberbezpieczeństwa.

Analiza ataku z użyciem złośliwych rozszerzeń VS Code, które wykorzystują pętlę w ponownym wykorzystywaniu nazw pakietów, oraz brak działań Microsoftu w tej sprawie.

Kluczowe pakiety w ekosystemie Nx zostały zhakowane, wykraczając poza GitHuba, chmurę i dane uwierzytelniające AI. Zaatakowane repozytoria były zarażone złośliwymi skryptami i wykradały poufne informacje. Atakujący wykorzystali błąd w systemie wstrzykując złośliwy kod poprzez tytuł PR, co groziło wykonaniem poleceń i kradzieżą tokena npm.

Atak supply chain na pakiet npm Nx spowodował ujawnienie danych uwierzytelniających użytkowników, wykorzystując złośliwe wersje oprogramowania do zbierania danych i przesyłania ich na platformy takie jak GitHub. Zaatakowane zostały 2,349 unikalne sekrety, a zidentyfikowane zagrożenie dotyczyło użytkowników systemów Linux i macOS. Cyberprzestępcy wykorzystali asystentów programistycznych opartych na sztucznej inteligencji do wykradania poufnych informacji z komputerów programistów, co stanowi nowatorskie naruszenie łańcucha dostaw.

Pojawił się nowy raport ze świata, w którym wymieniono chińskie firmy technologiczne współpracujące z grupą APT Salt Typhoon, wspomagającą cele szpiegowskie. Atakując dzięki wykorzystaniu znanych słabych punktów, zagrażają one globalnie bezpieczeństwu sieci, zachęcając organizacje do szybkiej aktualizacji systemów.

W sierpniu 2025 roku nie zabrakło istotnych informacji dotyczących bezpieczeństwa cybernetycznego. Tony Anscombe, główny ewangelista bezpieczeństwa w firmie ESET, podsumował najważniejsze wydarzenia i wnioski wynikające z nich. Tematy poruszane w tym miesiącu to m.in. ataki na ośrodki wodne w Europie oraz odkrycie pierwszego znanego przypadku ransomware'a z wykorzystaniem sztucznej inteligencji.

Grupa ransomware oznaczona jako Storm-0501 zniszczyła dane i kopie zapasowe w ramach ataku ransomware w chmurze na platformie Azure. Przestępca wykorzystał różne techniki, włącznie z atakiem DCSync, aby zdobyć pełną kontrolę nad danymi ofiary. Microsoft udostępnił zalecenia, jak chronić się przed podobnymi atakami.

Storm-0501 to grupa atakująca zmotywowana finansowo, która wykorzystuje cyberprzestępczość do wykradania i usuwania danych z chmur Azure. Ich taktyka ewoluuje, a ataki są skierowane na różne sektory, z wykorzystaniem ransomware. Relacja zawiera szczegółowe opisy działań oraz zalecenia dla zapobiegania atakom.

Storm-0501 wykorzystuje nowoczesne techniki do eksfiltracji danych i szantażu przeciwko środowiskom chmurowym, realizując ataki ransomware hybrydowe na różne sektory przemysłu i instytucje, zmuszając organizacje do zapłacenia okupu za odzyskanie danych.

Amerykańska Agencja Cyberbezpieczeństwa i Ochrony Infrastruktury (CISA) wprowadziła nowe narzędzie online w celu poprawy bezpieczeństwa w zakupach oprogramowania. Narzędzie to ma ułatwić liderom IT, oficerom ds. zamówień publicznych oraz dostawcom oprogramowania w wzmocnieniu praktyk cyberbezpieczeństwa przez cały proces akwizycji.

Atak cybernetyczny o nazwie ShadowSilk skierowany jest na 35 organizacji w Azji Środkowej i regionie Azji-Pacyfiku. Grupa wykorzystuje różne narzędzia i infrastrukturę, współpracując z innymi podmiotami, takimi jak YoroTrooper, SturgeonPhisher i Silent Lynx.

Grupa ShadowSilk przeprowadza ataki na organy rządowe w Azji Środkowej i regionie APAC, wykorzystując zaawansowane narzędzia i strategie. Jej działania obejmują kradzież danych, wykorzystywanie różnorodnych narzędzi, takich jak web-shelly, trojany i boty Telegram, oraz wykorzystywanie exploitów na platformy CMS. Istnieją podejrzenia dotyczące współpracy rosyjskojęzycznych i chińskojęzycznych członków grupy, co sprawia, że zagrożenie jest wieloregionalne i złożone.

Artykuł podkreśla konieczność ustanowienia zasad i wykorzystania technologii w celu zapewnienia bezpiecznego wdrażania sztucznej inteligencji. Autor wymienia 5 zasad, których nie można zaniedbać, włączając w to konieczność ciągłego monitorowania użycia AI, uwzględnienie kontekstu, ochronę danych, wdrożenie kontroli dostępu i wprowadzenie zasady zero zaufania.

Artykuł podkreśla konieczność zachowania kontroli i bezpieczeństwa podczas intensywnego wdrażania sztucznej inteligencji. Wprowadza pięć zasad, które należy przestrzegać, aby zachować równowagę między innowacją a ochroną danych oraz zapobiec potencjalnym zagrożeniom związanym z AI.

Artykuł opisuje atak w postaci zatruwionego dokumentu, który wykorzystuje ukryte instrukcje dla ChatGPT, a następnie wykorzystuje je do manipulacji sztuczną inteligencją. Autor podkreśla brak skutecznych systemów obronnych przeciwko tego typu atakom, uważając problem za istotny i często bagatelizowany. Wskazuje na podatność sztucznej inteligencji pracującej w wymagającym środowisku. Zaproponowane są metody obrony, jednak problem pozostaje poważny.

Analiza luk w zabezpieczeniach oraz wykorzystywanych exploitów w sektorze cyberbezpieczeństwa w Q2 2025. Raport zawiera statystyki CVE, trendy w kierunku zwiększenia liczby zagrożeń, popularność exploitów w systemach Windows i Linux, oraz rankingi wykorzystywanych podatności w atakach APT. Przedstawiona jest również analiza najnowszych luk bezpieczeństwa w popularnych systemach i sposoby ich wykorzystania, a także zalecenia dotyczące zapewnienia bezpieczeństwa infrastruktury korporacyjnej.

Kampania kradzieży danych pozwoliła hakerom na złamanie platformy automatyki sprzedaży Salesloft, w celu kradzieży tokenów OAuth i odświeżania związanych z agentem sztucznej inteligencji Drift. Aktywność ta została przypisana do aktora zagrożenia UNC6395, a liczba potencjalnie dotkniętych organizacji wynosi ponad 700.

W przeprowadzonej kampanii kradzieży danych hakerzy włamali się na platformę automatyzacji sprzedaży Salesloft, by kraść tokeny OAuth i odświeżające powiązane z agentem chatowym Drift AI. Atakujący zidentyfikowani jako UNC6395 zainfekowali przynajmniej 700 organizacji, próbując wykradać dane klientów Salesforce oraz inne kluczowe informacje. Incydent, mający na celu pozyskanie informacji, wstrząsnął środowiskiem bezpieczeństwa IT i podnosi świadomość dotyczącą konieczności zwiększenia bezpieczeństwa w integracjach aplikacji zewnętrznych.

Cyberprzemoc to faktyczny problem we współczesnym społeczeństwie cyfrowym. Artykuł porusza zagrożenia i skutki cyberprzemocy dla dzieci, podkreślając konieczność reakcji ze strony rodziców i szkół. Przedstawia także metody zapobiegania i radzenia sobie z tym zjawiskiem, zachęcając do komunikacji, zrozumienia technologii oraz udzielania wsparcia.

Odkrycie PromptLock ukazuje, jak złośliwe wykorzystanie modeli AI może wzmocnić ransomware i inne zagrożenia cybernetyczne. Malware ten wykorzystuje model gpt-oss-20b z OpenAI do generowania złośliwych skryptów Lua w locie, aby zdolny do wykradania, szyfrowania i potencjalnie nawet niszczenia danych.

Citrix wypuścił poprawki, aby zablokować trzy luki bezpieczeństwa w NetScaler ADC i NetScaler Gateway, w tym jedną, która jest aktywnie wykorzystywana. CVE-2025-7775 to najnowsza podatność w NetScaler ADC i Gateway, która została wykorzystana w atakach rzeczywistych.

Citrix wydał poprawki adresujące trzy luki bezpieczeństwa w NetScaler ADC i NetScaler Gateway, w tym jedną, która jest aktywnie wykorzystywana w środowisku internetowym. Za odkrycie luk i zgłoszenie ich odpowiedzialni są Jimi Sebree, Jonathan Hetzer i François Hämmerli. CVE-2025-7775 dołącza do listy podatności NetScaler ADC i Gateway użytych w atakach w rzeczywistości, po CVE-2025-5777 i CVE-2025-6543. Agencja CISA dostrzegła dwie luki bezpieczeństwa w Citrix Session Recording i CVE-2025-7775, wymagając ich naprawy w ciągu 48 godzin.

Nowy atak Sni5Gect umożliwia zrzucanie połączeń 5G do niższych generacji bez użycia samowolnej stacji bazowej. Otwiera to nowe możliwości ataków na portale, takie jak zrzucanie UE modemów, degradacja do wcześniejszych generacji sieci, identyfikacja urządzenia czy bypassowanie uwierzytelniania.

Nowy atak cybernetyczny Sni5Gect umożliwia obniżenie połączenia 5G do wcześniejszej generacji bez konieczności posługiwania się rogue base station. Atak ten opiera się na oprogramowaniu Sni5Gect, umożliwiającym podsłuchiwanie i manipulację niezaszyfrowanymi wiadomościami między stacją bazową a urządzeniem użytkownika, w celu przeprowadzenia szeregu ataków, takich jak awaria modemu UE, obniżenie sieci, czy bypass autentykacji.

Nowa kampania cyberprzestępcza o nazwie ShadowCaptcha wykorzystuje ponad 100 skompromitowanych stron WordPress do przekierowywania odwiedzających na fałszywe strony weryfikacyjne CAPTCHA, aby dostarczyć kradzieże informacji, ransomware i koparki kryptowalut. Ataki wykorzystują taktykę ClickFix w celu wprowadzenia ofiar w błąd i instalacji złośliwego oprogramowania. Konieczne jest szkolenie użytkowników, segmentacja sieci i aktualizacja zabezpieczeń w celu zapobieżenia ryzykom związanym z ShadowCaptcha.

Nowa kampania cyberprzestępcza o nazwie ShadowCaptcha wykorzystuje ponad 100 zhackowanych stron WordPress do przekierowania odwiedzających na fałszywe strony weryfikacji CAPTCHA, w celu dostarczenia kradzieżników informacji, ransomware i koparek kryptowalutowych.

Amerykańska Agencja Cyberbezpieczeństwa i Ochrony Infrastruktury (CISA) dodała trzy luki bezpieczeństwa dotykające Citrix Session Recording i Gita do swojego znanego katalogu wykorzystywanych wulneralności (KEV), opierając się na dowodach aktywnego wykorzystania. Wśród podatności znajdują się dwie dotyczące Citrix i jedna dotycząca Gita, z których dwie pierwsze zostały załatane przez firmę w listopadzie 2024 roku, a trzecia została ujęta przez projekt Git w lipcu tego samego roku. Eksperci ostrzegają, że wykorzystanie wulneralności CVE-2025-48384 w Gicie może prowadzić do niezamierzonego wykonania kodu, co może być wykorzystane przez cyberprzestępców. CISA nakazuje instytucjom rządowym zastosowanie odpowiednich środków zaradczych do 15 września 2025 roku, aby zabezpieczyć swoje sieci przed aktywnymi zagrożeniami.

Amerykańska Agencja Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) dodała trzy luki bezpieczeństwa dotykające Citrix Session Recording i Git do swojego katalogu Wykorzystywanych Luki (KEV) na podstawie aktywnego wykorzystania. Agencja zaleca agencjom Federalnego Cywilnego Składu Wykonawczego (FCEB) zastosowanie odpowiednich środków zaradczych do 15 września 2025 r. w celu zabezpieczenia sieci przed aktywnymi zagrożeniami.

Docker wydał poprawki, aby zlikwidować krytyczną lukę bezpieczeństwa dotykającą aplikacji Docker Desktop dla systemów Windows i macOS, która potencjalnie pozwalałaby atakującemu wydostać się poza granice kontenera. Podatność oznaczona jako CVE-2025-9074 ma ocenę CVSS na poziomie 9.3 i została zaadresowana w wersji 4.44.3. Problematyka dotyczy możliwości połączenia kontenera z interfejsem API Docker Engine bez wymaganej autoryzacji, co daje margines na pełny dostęp do systemu hosta.

Docker wypuścił poprawki adresujące krytyczną lukę bezpieczeństwa w aplikacji Docker Desktop dla systemów Windows i macOS, umożliwiającą potencjalnie atakującemu wyjście poza granice kontenera. Wulneralność oznaczona jako CVE-2025-9074, z oceną CVSS 9.3, została naprawiona w wersji 4.44.3. Pojawiła się możliwość dostępu do silnika Docker oraz uruchamiania dodatkowych kontenerów z niepo  tym, aby gniazdo Dockera było zamontowane, co mogłoby umożliwić nieautoryzowany dostęp do plików użytkownika na systemie hosta.

Analiza kampanii phishingowej, która wykorzystuje fałszywe wiadomości głosowe i zamówienia zakupu do dostarczania ładowacza malware o nazwie UpCrypter. Atak skupia się głównie na sektorach produkcyjnym, technologicznym, opieki zdrowotnej, budowlanym oraz handlu/hospitality, docierając do różnych krajów od początku sierpnia 2025 r., z największą liczbą infekcji w Austrii, Białorusi, Kanadzie, Egipcie, Indiach i Pakistanie. UpCrypter działa jako kanał dla różnych narzędzi zdalnego dostępu (RATs), takich jak PureHVNC RAT, DCRat i Babylon RAT, umożliwiając atakującemu pełną kontrolę nad skompromitowanymi hostami.

Nowa kampania phishingowa wykorzystuje sztuczki z fałszywymi wiadomościami głosowymi i zamówieniami zakupu do dostarczenia ładowacza oprogramowania zwanego UpCrypter. Atakujące sektory to m.in. produkcja, technologia, opieka zdrowotna, budownictwo oraz sektor handlowo-hotelarski. UpCrypter pełni rolę przewodnika dla różnych narzędzi zdalnego dostępu (RAT), umożliwiając cyberprzestępcom pełną kontrolę nad zainfekowanymi hostami.

W dzisiejszych czasach cyberbezpieczeństwo porusza się w tempie globalnej polityki. Nawet pojedyncze naruszenie może mieć ogromne skutki dla łańcuchów dostaw, przekształcić błąd w oprogramowaniu w punkt wyjścia do szantażu lub zmienić to, kto ma przewagę. Liderom biznesowym oznacza to, że obrona nie polega tylko na firewallach i łatkach - to kwestia strategii. Najmocniejsze organizacje nie są tymi, które mają najwięcej narzędzi, ale tymi, które widzą, jak ryzyko cybernetyczne łączy się z biznesem, zaufaniem i władzą. Przeczytaj więcej o słabościach w menedżerach haseł, wyzaniach w wykorzystaniu sztucznej inteligencji w zespołach cyberbezpieczeństwa oraz o sposobach zabezpieczenia swoich danych w chmurze.

W dzisiejszej rzeczywistości cyberbezpieczeństwa każde naruszenie może mieć daleko idące konsekwencje. Artykuł podkreśla braki techniczne, które stają się punktami nacisku w rzeczywistości, oraz dlaczego decyzje dotyczące bezpieczeństwa mają teraz znaczenie znacznie wykraczające poza obszar IT.

Grupa APT Transparent Tribe, znana również jako APT36, kontynuuje zaawansowane ataki na systemy Windows i BOSS Linux, wykorzystując złośliwe pliki skrótów na pulpicie, aby zdobyć dostęp do infrastruktury rządowej. Ich ataki obejmują phishing, instalację payloadów i mechanizmy utrzymujące wytrwałe dostanie do systemów.

Grupa APT36, znana jako Transparent Tribe, zaatakowała systemy Windows i BOSS Linux rządowych instytucji indyjskich za pomocą złośliwych skrótów do pulpitu. Ataki rozpoczynają się od phishingu, a malware umożliwia zdalną kontrolę, zbieranie danych i przechwytywanie poświadczeń.

W artykule zaprezentowano kampanie wykorzystujące znane podatności bezpieczeństwa oraz narażone serwery Redis do działań takich jak tworzenie botnetów IoT czy kopanie kryptowalut. Ataki obejmują wykorzystanie krytycznej luki CVE-2024-36401 w OSGeo GeoServer GeoTools, ewolucję botnetu PolarEdge oraz kampanię gayfemboy. Przestępcy stosują coraz bardziej wyszukane metody generowania dochodu na skutek złamanych systemów, wymagając przy tym proaktywnej obrony ze strony specjalistów cyberbezpieczeństwa.

Analiza nowych kampanii cyberprzestępczych wykorzystujących luki w zabezpieczeniach GeoServera, infrastrukturę PolarEdge oraz botnet gayfemboy. Atakujący skupiają się na stealthy, długoterminowej monetyzacji oraz wykazują coraz większą złożoność, wymagającą reakcji opartej na inteligencji oraz proaktywności.

Blog pisał krótko o kałamarnicy brodawkowatej. Można także wykorzystać ten wpis o kałamarnicy do omówienia aktualnych historii dotyczących bezpieczeństwa, o których nie wspomniano. Polityka moderacji bloga.

W ramach nowej inicjatywy edukacyjnej Anthropic, użytkownicy mogą uzyskać dostęp do trzech nowych kursów AI Fluency, pomagających rozwijać umiejętności związane z odpowiedzialnym wykorzystaniem sztucznej inteligencji. Kursy są bezpłatne, posiadają certyfikaty ukończenia i są dostosowane do potrzeb nauczycieli i studentów.

Europol zaprzecza informacji o nagrodzie w wysokości 50 000 dolarów za informacje dotyczące dwóch seniorów z grupy Qilin ransomware, rozpowszechnionej na nowym kanale Telegrama. Post został potwierdzony jako fałszywy, a prawdziwość informacji nie została potwierdzona przez Europol, co pokazuje problem fałszywych informacji w sieci.

Nowy atak wykorzystujący phishingowy email do dostarczenia otwartego backdooru VShell podczas infekcji Linux-specific malware za pomocą złośliwego pliku RAR. Atak wykorzystuje iniekcję polecenia powłoki, Base64-zakodowane ładunki Bash oraz manipulację z nazwami plików. Malware VShell umożliwia zdalną kontrolę nad systemem i unika wykrycia związanego z dyskiem, potrafi również atakować szeroki zakres urządzeń z systemem Linux.

Nowa technika ataku na systemy Linux poprzez zainfekowane pliki RAR zawierające złośliwe nazwy. Wykorzystuje ona iniekcję komend w powłokach systemowych oraz kodowanie Base64 do automatycznego wywołania złośliwego oprogramowania. Atak umożliwia przekazywanie szkodliwego oprogramowania bez wykrycia przez tradycyjne mechanizmy antywirusowe, wykorzystując lukę w przetwarzaniu nazw plików.

Fachowa analiza działań grup hakerskich chińskiego pochodzenia, Murky Panda, Genesis Panda i Glacial Panda, które wykorzystują lukę w chmurze, aby przełamać sieci korporacyjne. Atakują one sektory rządowe, technologiczne, akademickie, prawne oraz usługi profesjonalne w Ameryce Północnej. Działania te cechują się wysokim stopniem zaawansowania technologicznego oraz skomplikowaną propagacją, z wykorzystaniem dostawców usług IT i słabych zabezpieczeń w sektorze telekomunikacyjnym.

W artykule omówiono działalność trzech chińskich grup hakerskich: Murky Panda, Genesis Panda i Glacial Panda, które przeprowadzają skomplikowane ataki z wykorzystaniem luk w chmurze oraz branży telekomunikacyjnej. Zwracają uwagę na wykorzystywanie zerodniowych podatności, dostęp do systemów poprzez urządzenia internetowe oraz ataki na łańcuchy dostaw IT.

Pojawienie się nowych technologii AI niesie za sobą wiele wyzwań dla zachowania integralności danych. Artykuł omawia znaczenie integralności danych w środowiskach cyfrowych, zwracając uwagę na cztery kluczowe obszary integralności w systemach informatycznych.