CyberCafe - Aktualności Cyberbezpieczeństwa

W atakach phishingowych używane są powiadomienia przeglądarki do rozpowszechniania złośliwych linków przez nową platformę Matrix Push C2. Atak polega na nakłonieniu potencjalnych celów do zezwolenia na powiadomienia przez techniki inżynierii społecznej na stronach złośliwych lub kompromitowanych. Artykułszczegółowo opisuje sposób działania narzędzia oraz jego rozpowszechnianie i wykorzystywanie w cyberprzestępczości.

Nowa platforma Matrix Push C2 wykorzystuje powiadomienia przeglądarki do ataków phishingowych, omijając tradycyjne zabezpieczenia. Zestaw narzędzi jest oferowany jako MaaS przez modele subskrypcji, a jego celem jest kradzież danych i monetyzacja dostępu.

Amerykańska Agencja Cyberbezpieczeństwa i Infrastruktury (CISA) wydała ostrzeżenie dotyczące poważnej luki bezpieczeństwa w Oracle Identity Manager, która jest aktywnie wykorzystywana. Wrażliwość CVE-2025-61757 (Wynik CVSS: 9.8) pozwala na zdalne wykonanie kodu przed uwierzytelnieniem, co zostało odkryte przez badaczy Searchlight Cyber. Zaleca się pilne zastosowanie łatek w instytucjach rządowych do 12 grudnia 2025 r.

Agencja CISA ostrzega, że aktywnie wykorzystywana jest krytyczna podatność Oracle Identity Manager, umożliwiająca zdalne wykonywanie kodu. Wskazuje ona na istotne ryzyko dla organizacji.

W artykule poruszono kwestie związane z bezpieczeństwem, takie jak wykorzystanie słów zakazanych w internecie oraz wpływ algorytmów na treści dostępne w mediach społecznościowych. Autor wspomina także o butach sportowych marki Adidas nazwanych „Squid”.

Artykuł opisuje wprowadzone przez Microsoft nowe agenty bazujące na sztucznej inteligencji, które mają pomóc w zapobieganiu atakom hakerskim. Agenty te integrują się z istniejącymi narzędziami firmy, umożliwiając działaniom bezpieczeństwa przechodzenie od reaktywnych działań do proaktywnych strategii.

Cyberprzestępcy wykorzystują nowo odkrytą platformę Matrix Push C2 do dostarczania złośliwego oprogramowania poprzez fałszywe powiadomienia w przeglądarkach internetowych. Platforma ta umożliwia monitorowanie zainfekowanych klientów w czasie rzeczywistym i skanowanie portfeli kryptowalutowych. Atak opisany jest jako 'bezplikowy' ze względu na wykorzystanie systemu powiadomień przeglądarki, co eliminuje potrzebę tradycyjnego pliku z złośliwym oprogramowaniem na początku. Aby przeciwdziałać tej groźbie, zaleca się stosowanie technologii ADX, skupionej na blokowaniu ruchu wychodzącego.

Grafana wydała aktualizacje zabezpieczeń w celu rozwiązania najwyższego stopnia krytycznej usterki, która mogłaby umożliwić eskalację uprawnień lub podszywanie się pod użytkownika w określonych konfiguracjach. Usterka ta, oznaczona jako CVE-2025-41115, ma ocenę CVSS 10.0 i dotyczy komponentu System for Cross-domain Identity Management (SCIM), umożliwiającego zautomatyzowane zarządzanie użytkownikami. Grafana zaleca użytkownikom jak najszybsze zastosowanie łatek w celu zminimalizowania potencjalnych zagrożeń.

Grafana wypuściła aktualizacje zabezpieczeń w celu naprawienia krytycznej luki, która umożliwia eskalację uprawnień lub podszywanie się użytkownika przy określonych konfiguracjach. Wadliwość, oznaczona jako CVE-2025-41115, otrzymała ocenę CVSS 10.0 i dotyczy komponentu Systemu Zarządzania Tożsamościami Cross-domain (SCIM) w platformie Grafany.

GrapheneOS to system operacyjny mobilny skupiony na prywatności i bezpieczeństwie, rozwijany jako projekt non-profit i open-source. Działa on na zasadzie sandboxingu, zastosowania ograniczeń exploitów oraz modelu uprawnień Androida.

Oszustwo tzw. ghost tapping polega na nieuprawnionym ładowaniu opłat bez wiedzy ofiary poprzez wykorzystanie technologii zbliżeniowej. Choć atak wydaje się skomplikowany, nowoczesne metody zabezpieczeń chronią przed kradzieżą wrażliwych danych płatności. Zaleca się zachowanie czujności w reakcji na sygnały mogące wskazywać na próbę oszustwa oraz podjęcie odpowiednich środków ostrożności.

Google ułatwia udostępnianie plików między urządzeniami Android i iPhone za pomocą nowej funkcji Quick Share, opartej na bezpieczeństwie Rust. Udostępnianie między platformami jest limitowane do linii Pixel 10 i wykorzystuje standardy bezpieczeństwa eliminujące klasy podatności na błędy pamięci.

Google uaktualnia swoją usługę Quick Share, umożliwiającą udostępnianie plików między Androidem, a urządzeniami Apple za pomocą AirDrop. Nowa funkcja zapewnia bezpieczną wymianę plików między Pixel 10 i iPhone'ami, iPady oraz Mac'ami, korzystając z technologii języka Rust.

APT24, znany także jako Pitty Tiger, wykorzystuje nowe złośliwe oprogramowanie o nazwie BADAUDIO w trwającym od lat szpiegowskim ataku na Tajwan oraz sektory rządowe, opieki zdrowotnej, budowlane, inżynieryjne, górnicze, pozarządowe i telekomunikacyjne. Grupa stosuje zaawansowane techniki, w tym kompromitację zaopatrzenia, tarcia zaopatrzeniowe i hakerstwo celowane, demonstrując zdolność do wydobywania danych i adaptacyjnego szpiegostwa.

Grupa groźna APT24, znana z Chin, używa wcześniej nieudokumentowanego malware'a o nazwie BADAUDIO, aby uzyskać stały zdalny dostęp do skompromitowanych sieci w ramach blisko trzy letniej kampanii. Atakują organizacje na Tajwanie, wykorzystując zaawansowane wektory, takie jak ataki phishingowe czy kompromitacje dostaw łańcucha, co stanowi poważne zagrożenie dla cyberbezpieczeństwa. Kampania BADAUDIO trwa od listopada 2022 roku, a atakujący wykorzystują skomplikowane techniki ochrony, takie jak blokowanie odwrotnego inżynierowania, aby zwiększyć skuteczność zainfekowania systemów ofiar.

Artykuł opisuje zagrożenia związane z ghost tappingiem, czyli nieuprawnionymi płatnościami zbliżeniowymi, oraz podaje sposoby ochrony przed oszustami wykorzystującymi tę technikę, takie jak wykorzystanie biometrii w portfelach mobilnych czy uważność na potencjalne ataki. Autor radzi, jak rozpoznać potencjalne zagrożenia oraz jak skutecznie się przed nimi bronić.

Atak ShadowRay 2.0 wykorzystuje starą lukę w oprogramowaniu sztucznej inteligencji Ray do stworzenia samo-rozszerzającego się botnetu kryptowalut. Kampania obejmuje wysyłanie złośliwych poleceń, wykorzystanie GitLaba i GitHuba do dostarczania malware'u oraz taktyki maskujące działania w celu uniknięcia wykrycia.

Atak ShadowRay 2.0 to rozwinięcie poprzedniej fali ataków, które wykorzystują dwuletnią lukę w oprogramowaniu Ray do tworzenia botnetu do kopania kryptowalut. Atak polega na wykorzystaniu braku autoryzacji do zainfekowania klastrów z GPU i używania ich mocy obliczeniowej do nielegalnego kopania kryptowalut. Do zainfekowania klastrów służy atak na niewłaściwie zabezpieczone instancje i rozprzestrzenianie złośliwego oprogramowania między dashboardami. Cyberprzestępcy wykorzystują różne taktyki, takie jak wykorzystanie GitLab i GitHub do dostarczania złośliwego oprogramowania oraz maskowanie procesów na serwerach Ray jako legalne usługi jądra Linux, aby uniknąć wykrycia.

Podatność CVE-2025-61757 w Oracle Identity Manager została szczegółowo opisana przez Searchlight Cyber. Wykorzystanie luki umożliwiające zdalne wykonanie kodu poprzez dodanie ";.wadl" do końca adresu URL zostało zaprezentowane. Dane skanujące IP sugerują działanie pojedynczego atakującego.

W tym tygodniu w świecie hakerstwa i cyberbezpieczeństwa działo się wiele. Od Tajlandii, przez Londyn aż do Stanów Zjednoczonych, widzieliśmy aresztowania, działających szpiegów i duże ruchy w sieci. Hakerzy zostają złapani, a szpiedzy robią postępy. Nawet proste rzeczy, jak dodatki do przeglądarek internetowych i inteligentne urządzenia w domu, są wykorzystywane do atakowania ludzi. Każdego dnia pojawia się nowa historia, pokazująca, jak szybko zmienia się walka o kontrolę nad internetem. Rządy zaostrzają karanie cyberprzestępców, duże firmy technologiczne spieszą się z naprawą bezpieczeństwa. Badacze znajdują słabe punkty w aplikacjach i urządzeniach, których codziennie używamy. Zobaczyliśmy fałszywych rekruterów pracy na LinkedIn szpiegujących ludzi, ogromne przypadki prania brudnych pieniędzy za pomocą kryptowalut oraz zupełnie nowe złośliwe oprogramowanie stworzone tylko po to, aby przełamać zabezpieczenia Apple dla systemu MacOS. Wszystkie te historie przypominają nam, że ta sama technologia, która usprawnia życie, może zostać łatwo przekształcona w broń.

W ciągu ostatniego tygodnia działo się wiele w świecie hakerstwa i bezpieczeństwa online. Zatrzymano hakerów, szpiedzy doskonalą swoje zdolności, a nawet proste rzeczy jak dodatki do przeglądarek czy inteligentne urządzenia domowe są wykorzystywane do ataków. Widać, jak szybko zmieniają się walki o internet. Rządy zaostrzają działania przeciwko cyberprzestępczości, duże firmy technologiczne spieszą się, by zabezpieczyć swoje systemy, a badacze odkrywają słabe punkty w codziennych aplikacjach i urządzeniach. Nowe historie przypominają, że technologia, która ułatwia życie, może być łatwo przekształcona w broń.

CTM360 zidentyfikowało rosnącą kampanię hakowania kont WhatsApp, która celuje w użytkowników na całym świecie poprzez sieć oszukańczych portali uwierzytelniających i stron podszywających się. Kampania, wewnętrznie nazwana HackOnChat, nadużywa znajomego interfejsu sieciowego WhatsApp, wykorzystując taktyki inżynierii społecznej, aby wprowadzić użytkowników w błąd i skłonić do skompromitowania swoich kont.

CTM360 zidentyfikowało szybko rosnącą kampanię przejmowania kont na WhatsApp, której celem są użytkownicy na całym świecie poprzez sieć wprowadzających w błąd portali uwierzytelniających i stron podszywających się. Kampania, wewnętrznie nazwana HackOnChat, wykorzystuje znajomą interfejs internetowy WhatsApp, używając taktyk inżynierii społecznej, aby oszukać użytkowników i skłonić ich do naruszenia bezpieczeństwa swoich kont.

Pracownik techniczny holenderskiego operatora elektrowni wiatrowej został skazany na 120 godzin prac społecznych po tym, jak okazało się, że potajemnie zainstalował sprzęt do kopania kryptowalut na dwóch farmach wiatrowych Nordex. Incydent miał miejsce podczas powrotu firmy do normy po ataku ransomware. Sprawca podłączył trzy kopalnie kryptowalut oraz dwa węzły Helium do wewnętrznej sieci pracodawcy między sierpniem a listopadem 2022 roku. Sąd w Assen dowiedział się, że Nordex niedługo przed odkryciem nieupoważnionego kopania kryptowalut zmagał się z atakiem ransomware. Skazany musi zapłacić odszkodowanie i wykonać prace społeczne, co stanowi ostrzeżenie dla organizacji o zagrożeniach ze strony wewnętrznych pracowników.

Praktyka rozpoznawania i analizowania danych publicznie dostępnych w celu uzyskania użytecznych informacji, czyli OSINT, staje się coraz bardziej istotna w cyberbezpieczeństwie. Dzięki odpowiednio dobranym narzędziom, organizacje mogą lepiej zrozumieć swoje ślady cyfrowe i wykryć potencjalne słabe punkty przed ich wykorzystaniem przez złych aktorów.

W trwającej kampanii malvertisingowej o nazwie TamperedChef, atakujący wykorzystują fałszywe instalatory udające popularne oprogramowanie, aby zainstalować złośliwe oprogramowanie. Celem ataków jest ustanowienie trwałości i dostarczenie złośliwego oprogramowania JavaScript umożliwiającego zdalny dostęp i kontrolę. Infrastruktura została opisana jako przemysłowa i biznesowa, a koncentracja zainfekowań wykryto głównie w USA, a także w innych krajach. Sektor opieki zdrowotnej, budownictwa i przemysłu są najbardziej dotknięte.

Kampania TamperedChef wykorzystuje fałszywe instalatory udające popularne oprogramowanie, aby zainfekować użytkowników szkodliwym oprogramowaniem. Celem ataków jest ustanowienie trwałości i dostarczenie złośliwego oprogramowania JavaScript umożliwiającego zdalny dostęp i kontrolę. Atakujący wykorzystują inżynierię społeczną oraz certyfikaty cyfrowe w celu zwiększenia zaufania użytkowników i uniknięcia wykrycia przez systemy zabezpieczeń.

ChatGPT dla Nauczycieli to specjalna wersja stworzona przez OpenAI, oferująca dodatkowe zabezpieczenia i funkcje dla nauczycieli. Platforma umożliwia personalizację materiałów dydaktycznych, współpracę z innymi nauczycielami oraz wygodne korzystanie z sztucznej inteligencji.

ChatGPT dla Nauczycieli to dedykowana wersja popularnego chatbota dostosowana do potrzeb edukatorów. Narzędzie oferuje zwiększone bezpieczeństwo i funkcjonalności edukacyjne oraz umożliwia współpracę z innymi nauczycielami. Pomimo wątpliwości, AI staje się coraz bardziej powszechne w edukacji, jednak niektóre badania wskazują na potencjalne szkody dla myślenia krytycznego. Usługa jest bezpłatna dla nauczycieli w USA do czerwca 2027 r., a wdrożenie obejmuje zabezpieczenia zgodne z FERPA oraz funkcje ułatwiające współpracę i personalizację materiałów.

Luka bezpieczeństwa CVE-2025-11001 w 7-Zip została wykorzystana przez hakerów. Atak pozwala na wykonanie dowolnego kodu. Odkryto również inną lukę, CVE-2025-11002, umożliwiającą zdalne wykonanie kodu. Konieczne jest szybkie aktualizowanie 7-Zip, aby zapewnić optymalną ochronę.

Odkryta niedawno luka bezpieczeństwa w 7-Zip jest w tej chwili aktywnie eksploatowana w środowisku online. Podatność ta (CVE-2025-11001) pozwala na wykonanie dowolnego kodu i została naprawiona w wersji 25.00 w lipcu 2025 roku. Konieczne jest szybkie zastosowanie poprawek w celu zapewnienia optymalnej ochrony przed atakami.

Google Chrome został dotknięty nową, niebezpieczną luką bezpieczeństwa oznaczoną jako CVE-2025-13223, dającą atakującym potencjalną możliwość eksploatacji korekty sterty za pomocą specjalnie spreparowanej strony HTML. Wykrycie usterki to zasługa Najnowszej szóstej luki 'zero-day' w Chrome odnotowano 12 listopada, zaś sekcja Threat Analysis Group Google śledzi tego typu zagrożenia na co dzień. Konieczna jest pilna aktualizacja przeglądarki, aby zabezpieczyć się przed atakami.

Nowo odkryta kampania zainfekowała dziesiątki tysięcy przestarzałych lub wycofanych routerów ASUS na całym świecie, w tym głównie w Tajwanie, Stanach Zjednoczonych i Rosji. Ataki wykorzystują sześć znanych luk bezpieczeństwa w routerach ASUS WRT, aby przejąć kontrolę nad podatnymi urządzeniami i stworzyć masową sieć. Incydent ten nosi nazwę Operacja WrtHug i może być związany z grupami hakerskimi z Chin, choć dowody na to są ograniczone.

Nowo odkryta kampania zainfekowała dziesiątki tysięcy przestarzałych routerów ASUS typu end-of-life (EoL) na całym świecie, głównie w Tajwanie, USA i Rosji, tworząc ogromną sieć.

Operacja cyberbezpieczeństwa pod nazwą WrtHug, powiązana z Chinami, zainfekowała tysiące routerów ASUS na całym świecie w celu budowy sieci szpiegowskiej. Badacze SecurityScorecard wykryli, że przestępcy wykorzystują sześć podatności, głównie starszych, aby uzyskać podwyższone uprawnienia na urządzeniach SOHO, które kończą swoje życie użytkowe.

W trzecim kwartale 2025 r. zaktualizowano metodykę obliczania wskaźników statystycznych na podstawie Kaspersky Security Network. Skoncentrowano się na atakach złośliwego oprogramowania na urządzenia mobilne oraz pakietach instalacyjnych. W obszarze mobilnym zauważono m.in. zwiększoną liczbę próbek szkodliwego oprogramowania dla systemu Android oraz przypadki wykorzystywania Trojanów do generowania sztucznych wyświetleń reklam. Ponadto, trendem było zmniejszenie udziału bankowych trojanów, co nie wynikało z ich zmniejszonej ilości, lecz z rosnącego udziału innych szkodliwych pakietów.

W III kwartale 2025 roku świat cyberbezpieczeństwa był na progu znaczących wydarzeń. Organizacje ścigały sprawców ataków ransomware, międzynarodowe operacje likwidowały infrastrukturę złośliwego oprogramowania, a badacze wykrywali nowe rodziny ransomware i szpiegowskie oprogramowanie. Warto zauważyć, że atakujący coraz sprawniej wykorzystują luki w zabezpieczeniach, co wymaga szybkiej reakcji na nowe zagrożenia.

Grupa zagrożeń PlushDaemon używa im- plantu EdgeStepper do przeprowadzania ataków na połączenie pomiędzy strona- mi (AitM), kierując zapytania DNS do węzła przechwytującego, co umożliwia instalację złośliwego oprogramowania poprzez przechwycone aktualizacje oprogramowania. Atakują głównie znajdujące się w Azji firmy, używając zaawansowanych technik w celu uzyskania dostępu do systemów ofiar.

Zagrożenie związane z PlushDaemon wykorzystuje nieudokumentowane narzędzie sieciowe o nazwie EdgeStepper do ataków AitM. Grupa ta jest aktywna od co najmniej 2018 roku i przeprowadziła ataki na różne podmioty w różnych krajach, m.in. w Azji. Schemat ataku zaczyna się od kompromitacji urządzenia sieciowego, co pozwala na instalację caEdgeStepper, który manipuluje zapytaniami DNS w celu infekcji systemu złośliwym oprogramowaniem SlowStepper. Ostatecznym celem jest zdobycie danych i kontroli nad zainfekowanym systemem przez grupę PlushDaemon.

Atakujący mogą wykorzystać domyślne konfiguracje platformy ServiceNow Now Assist z sztuczną inteligencją generatywną i wykorzystać jej zdolności agentywne do przeprowadzania ataków wstrzykiwania monitów drugiego rzędu.

W artykule omówiono wykorzystanie konfiguracji domyślnej platformy sztucznej inteligencji generatywnej Now Assist ServiceNow do przeprowadzania ataków typu prompt injection. Atakujący mogą kopiować, eksfiltrować dane korporacyjne, modyfikować rekordy i eskalować uprawnienia poprzez manipulację agentami AI.

PlushDaemon to grupa APT związana z Chinami odkryta przez analityków ESET, wykorzystująca narzędzie o nazwie EdgeStepper do przeprowadzania ataków adwersaryjnych pośredniczących. Grupa działa od co najmniej 2018 r. i zajmuje się szpiegostwem na terenie Chin, Tajwanu, Hongkongu, Kambodży, Korei Południowej, Stanów Zjednoczonych i Nowej Zelandii. Ich główną metodą ataku jest przejmowanie kontroli nad aktualizacjami oprogramowania poprzez przekierowanie ruchu na serwery kontrolowane przez atakujących. Wykorzystują oni m.in. narzędzia takie jak SlowStepper i EdgeStepper, a celami ich ataków są osoby i organizacje na całym świecie.

W trzecim kwartale 2025 r. ransomware wzrósł, a trzy grupy odpowiedzialne były za większość przypadków. Dostęp do systemów najczęściej uzyskiwano poprzez skompromitowane dane logowania do VPN-ów. Ważne jest wdrożenie wieloczynnikowej autoryzacji oraz polityk dostępu.

Fortinet poinformował o nowej podatności w FortiWeb, która została wykorzystana w atakach. Podatność o średnim stopniu ryzyka wymaga autoryzacji i pozwala na wykonanie nieautoryzowanego kodu na systemie.

Fortinet zwraca uwagę na świeżą lukę w zabezpieczeniach FortiWeb, która została już wykorzystana w atakach. Wadliwość o średniej ciężkości (CVE-2025-58034) pozwala potencjalnemu atakującemu na wykonanie nieautoryzowanego kodu na systemie docelowym poprzez spreparowane żądania HTTP lub polecenia CLI.

Meta rozwija program bug bounty oraz wprowadza narzędzie WhatsApp Research Proxy, aby ułatwić badania nad platformą. Firma ogłosiła, że w tym roku wypłaciła ponad 4 miliony dolarów za niemal 800 sprawdzonych i ważnych raportów. Dodatkowo wprowadzono poprawki i ochronę przed scrapowaniem danych w WhatsApp.

Meta rozwija program nagród za błędy, zapewniając badaczom narzędzie WhatsApp Research Proxy oraz inicjatywę skupiającą się na zwalczaniu nadużyć platformy. Firma przyznała w tym roku ponad 4 miliony dolarów za prawie 800 ważnych zgłoszeń, dodając również nowe zabezpieczenia przeciwko scrapowaniu danych WhatsApp.

Atak zdalny na amerykańską firmę nieruchomości wykorzystujący framework Tuoni z udziałem sztucznej inteligencji, stosujący techniki steganografii i wykonania w pamięci. Przestępcy wykorzystali socjotechnikę, podszywając się pod zaufanych kontaktów, by przekonać pracownika do uruchomienia złośliwego skryptu PowerShell.

Przedstawiono szczegóły ataku cybernetycznego skierowanego na główną amerykańską firmę z branży nieruchomości, wykorzystującego nowatorskie narzędzie do zarządzania i kontroli (C2) o nazwie Tuoni. Atak z pomocą socjotechniki i steganografii nie powiódł się, jednak ukazuje ciągłe zagrożenie ze strony zastosowania narzędzi red teaming w celach złośliwych.

W artykule ujawniono szczegóły ataku cybernetycznego na amerykańską firmę nieruchomości, wykorzystującego nowatorskie narzędzie Tuoni C2. Atak, mimo niepowodzenia, pokazał ciągłe nadużycie narzędzi red teaming do celów złośliwych.

Analitycy wskazują, że irańscy hakerzy atakują przemysł lotniczy, lotnictwo i obronę w Bliskim Wschodzie, wykorzystując złośliwe oprogramowanie DEEPROOT i TWOSTROKE. Grupa UNC1549 przeprowadza sofistykowane ataki poprzez wykorzystanie dostawców zewnętrznych i zaufanych partnerów, aby zdobyć dostęp do głównych celów. Ich działania skupiają się na długoterminowej obecności po wykryciu oraz minimalizacji śladów śledczych.

Irańscy hakerzy wykorzystują szkodliwe oprogramowanie DEEPROOT i TWOSTROKE w atakach na przemysł lotniczy, lotnictwo i obronę na Bliskim Wschodzie. Grupa UNC1549 łączy różne techniki, włączając phishing, ataki na dostawców oraz wykorzystywanie relacji biznesowych dla włamania się do systemów celów. Ich działania cechują się długotrwałą inwigilacją i dyskrecją w celu zapewnienia ciągłości ataku.

Google wydał poprawki zabezpieczeń dla przeglądarki Chrome, aby rozwiązać dwie luki bezpieczeństwa, w tym jedną, która jest aktywnie wykorzystywana przez cyberprzestępców. Aktualizacja obejmuje poprawki dla CVE-2025-13223 i CVE-2025-13224, które wykorzystują błąd typu konfuzji w silniku JavaScript i WebAssembly V8.

Google wypuścił aktualizacje bezpieczeństwa dla przeglądarki Chrome, aby zlikwidować dwie wady, w tym jedną, która była aktywnie wykorzystywana w środowisku zewnętrznym. Aktualizacja adresuje lukę typu konfuzja w silniku V8 JavaScript i WebAssembly, pozwalającą na wykonanie arbitralnego kodu lub awarię programu.

Analiza ataku na stronę internetową z wykorzystaniem podatności w oprogramowaniu bezpieczeństwa firmy Fortinet. W artykule opisano sytuacje, w której filtr WAF został obejrzany. Zalecono kontakt z właścicielem strony w celu odblokowania oraz podano identyfikator Cloudflare Ray ID.

Kraken, grupa operacyjna mówiąca po rosyjsku, wykorzystuje nietypowy proces benchmarkingu w celu mierzenia szybkości szyfrowania ofiar przez złośliwe oprogramowanie. Ich narzędzia obejmują systemy Windows, Linux oraz VMware ESXi, a ich tarcza ataku to organizacje w USA, UK, Kanadzie, Danii, Panamie i Kuwejcie. Współpraca z innymi grupami, takimi jak HelloKitty, wskazuje na ewolucję grupy Kraken na rynku przestępczym cyberprzestępczym.

Tydzień pokazał, jak szybko mogą się pojawić problemy, gdy nikt nie pilnuje. Ataki były ciche i podstępne, wykorzystując zaufane narzędzia codziennego użytku. Społeczeństwo przestępcze buduje systemy, wykorzystując aplikacje i usługi biznesowe do zarabiania pieniędzy, szpiegowania lub rozprzestrzeniania złośliwego oprogramowania. Konieczne jest zachowanie czujności, obserwacja najnowszych zagrożeń i zabezpieczenie się przed nimi.

Podsumowanie zawiera analizę ataków cybernetycznych, wykorzystanie podatności w Fortinet, zagrożenia związane z aplikacjami AI, oraz wskazówki dotyczące zabezpieczania ruchu aplikacji mobilnych. Istotne ostrzeżenia dotyczące patchy i kluczowe zagrożenia w kontekście cyberbezpieczeństwa.

LinkedIn stał się głównym celem ataków phishingowych z powodu braku monitorowania z zewnątrz. Skala ataków i brak możliwości blokowania sprawiają, że LinkedIn jest używany do ataków spear-phishingowych na czołowych pracowników firm. Atakujący wykorzystują kradzież kont i bezpieczne wiadomości bez analizy, by dotrzeć do celu. Phishing na LinkedIn może prowadzić do ogromnych szkód finansowych i naruszeń bezpieczeństwa.

Ataki phishingowe przenoszą się poza skrzynkę odbiorczą e-mail, a LinkedIn staje się popularnym celem ataków. Przyjrzyjmy się, dlaczego phishing na LinkedIn jest tak skuteczny i dlaczego firmy powinny się na niego przygotować.

Rozwój aplikacji AI towarzyszących może stanowić zagrożenie dla prywatności i cyberbezpieczeństwa użytkowników. Z aplikacjami tego typu wiążą się ryzyka związane z bezpieczeństwem danych osobowych oraz możliwość wykorzystania informacji przez cyberprzestępców. Ważne jest zachowanie ostrożności i nie ujawnianie danych, których nie chcielibyśmy udostępnić obcym osobom.

Google ogłosił, że dalsze przyjęcie języka programowania Rust w Androidzie spowodowało, że liczba podatności dotyczących bezpieczeństwa pamięci spadła poniżej 20% wszystkich podatności po raz pierwszy. Wprowadzenie Rusta skutkowało znacznym zmniejszeniem zagrożeń i usprawnieniem procesu dostarczania oprogramowania, co sprawia, że bezpieczeństwo idzie w parze z efektywnością. Google planuje rozszerzyć korzyści związane z bezpieczeństwem i produktywnością Rusta na inne obszary ekosystemu Androida, w tym na jądro, firmware i istotne aplikacje pierwszej strony, takie jak Nearby Presence, Message Layer Security (MLS) i Chromium.

Google ujawniło, że ciągłe wprowadzanie języka programowania Rust do Androida spowodowało spadek liczby podatności związanych z bezpieczeństwem pamięci poniżej 20% wszystkich podatności. Przejście to przyniosło również wzrost wydajności i przyspieszenie procesu dostarczania oprogramowania.

Botnet RondoDox wykorzystuje lukę w zabezpieczeniach serwerów XWiki, aby zwiększyć liczbę urządzeń w swoim botnetowym ataku. Exploit CVE-2025-24893 stanowi zagrożenie dla systemów, a agencje rządowe zostały zobowiązane do stosowania niezbędnych łatek. Wzrost prób wykorzystania luki w zabezpieczeniach wskazuje na szeroką aktywność zagrożeń, włącznie z botnetem RondoDox, który szybko dodaje nowe wektory ataku.

Analiza zwięzła artykułu o cyberbezpieczeństwie dotyczącego malwara RondoDox, który wykorzystuje niezałatane instancje XWiki do zwiększenia liczby urządzeń w swoim botnetcie.

Artykuł przedstawia obserwacje ataków na luki CVE-2025-64446 w honeypotach oraz omawia szczegóły żądań POST oraz tworzenia nowego admina wraz z próbą exploitacji.

Badacz zespołu skombinował spożycie kalorii przez krótkopłetwą pilotową wielorybicę, łącząc dane z różnych źródeł, takich jak ruch z tagów satelitarnych, pomiary ciała z dronów czy analiza żołądków wielorybów. Dowiedział się, że typowa wielorybica zjada między 82 a 202 kałamarnic na dzień, a rocznie około 74 000 kałamarnic na wieloryba. Dla wszystkich wielorybów w okolicy oznacza to około 88 000 ton kałamarnic spożywanych rocznie.

Analiza nowego rodzaju złośliwego dokumentu Microsoft Office, który ukrywa szkodliwy RTF dokument wewnątrz innego pliku, wykorzystując technikę rosyjskich lalek Matryoshka. Dokument zawiera exploit wykorzystujący CVE-2017-11882 oraz obfuskowany DLL sugerujący możliwe powiązanie z malwarem Formbook.

Cyberatak z wykorzystaniem sztucznej inteligencji AI przez hakerów ze wsparciem państwowym z Chin przeprowadzony we wrześniu 2025 r. na globalne cele, wykorzystując narzędzia takie jak Claude Code i MCP.

Organizacja państwowa z Chin zaangażowana w cyberzagrożenia wykorzystała technologię sztucznej inteligencji opracowaną przez firmę Anthropic do prowadzenia zautomatyzowanych ataków cybernetycznych w ramach wysoko zaawansowanej kampanii szpiegowskiej w połowie września 2025 r.

Ostrzeżenie przed lukiem uwierzytelniania w Fortinet FortiWeb, który umożliwia atakującemu przejęcie kont administratora i całkowite skompromitowanie urządzenia. Odkryto aktywne eksploatacje luki, która umożliwia dodanie nowego konta administratora przez atakujących. Konieczność pilnego zabezpieczenia systemów przed dostępem z zewnątrz oraz śledzenie nieautoryzowanych modyfikacji czy dodania nieuprawnionych kont administratorów.

Artykuł opisuje aktywną eksploatację luki w zabezpieczeniach Fortinet FortiWeb, która umożliwia atakującemu tworzenie kont administratora i całkowite skompromitowanie urządzenia. Wady zostały opisane, a autorzy zalecają podjęcie natychmiastowych działań naprawczych.

W 2025 roku ponad 50-61% nowych podatności było wykorzystywanych w ciągu 48 godzin od ujawnienia. Szybkość reakcji atakujących i obrońców różni się diametralnie, wymagając natychmiastowych działań w zakresie bezpieczeństwa cybernetycznego. Automatyzacja, polityka i działania w tempie maszynowym stają się kluczowe dla skutecznej obrony przed atakami.

Ataki cybernetyczne stają się coraz bardziej szybkie, wyprzedzając łatki o długą metę. W odpowiedzi na szybkość ataków, organizacje muszą przejść na automatyzację i szybkie działanie, aby uniknąć kompromitacji. Przyszłość cyberbezpieczeństwa należy do tych, którzy podejmują natychmiastowe i wyważone działania.

Biuletyn Zagrożeń analizuje najnowsze wydarzenia z dziedziny cyberbezpieczeństwa, których tematyka obejmuje nowe inicjatywy legislacyjne w Wielkiej Brytanii, naruszenia bezpieczeństwa przez byłego pracownika Intela, aktualizacje projektu OWASP, wycieki danych z firm AI, phishing na Facebooku, ulepszenia związane z przeglądarką Firefox oraz ataki phishingowe wykorzystujące nowe narzędzia i platformy technologiczne. Ostatnie wydarzenia potwierdzają, że świat cybernetyczny nigdy nie zwalnia tempa, a świadomość i uważność stanowią klucz do efektywnej obrony przed coraz bardziej zaawansowanymi zagrożeniami.

W artykule omówiono najnowsze wydarzenia z dziedziny cyberbezpieczeństwa, takie jak projekty prawne na rzecz wzmocnienia krajowej ochrony, przypadki wycieku danych, nowe puste zaznaczenia zagrożeń czy dostępność wsparcia dla menedżerów haseł. Opublikowano także wyniki badania dotyczącego wycieków tajnych informacji przez firmy zajmujące się sztuczną inteligencją oraz opisano nowe kampanie phishingowe. Również podjęto debatę na temat kontrowersyjnych zmian w wymogach dotyczących prywatności i bezpieczeństwa danych osobowych obywateli UE. Konkluzja wskazuje na nieustanny rozwój zagrożeń w cyberprzestrzeni, przy jednoczesnym postępie w dziedzinie ochrony danych i bezpieczeństwa.

Menedżery haseł stanowią kluczowy element praktyk związanych z cyberbezpieczeństwem, ale wymagają dodatkowych środków ostrożności. Zagrożenia wciąż ewoluują, dlatego ważne jest śledzenie aktualnych trendów w celu zabezpieczenia swoich informacji online.

Według najnowszych danych CISA odkryła krytyczną lukę bezpieczeństwa w oprogramowaniu WatchGuard Fireware, która została wykorzystana przez cyberprzestępców do ataków na ponad 54 000 Fireboxów. W celu zabezpieczenia się przed zagrożeniem, agencje federalne oraz użytkownicy powinni jak najszybciej zastosować aktualizacje udostępnione przez WatchGuard.

Krytyczny błąd bezpieczeństwa w oprogramowaniu WatchGuard Fireware został dodany do katalogu znanych wykorzystywanych podatności przez CISA. Wrażliwość dotyczy Fireware OS i pozwala na wykonanie arbitralnego kodu przez zdalnego atakującego. Ponad 54 000 urządzeń Firebox pozostaje podatnych na atak - zaleca się agencjom używającym tych urządzeń aktualizację do 3 grudnia 2025 roku.

W listopadzie Microsoft ogłosił 63 łaty dotyczące 13 rodzin produktów, z czego cztery z nich uznano za krytyczne. W ciągu kolejnych 30 dni firmie szacuje się, że pięć CVE może być bardziej podatnych na eksploatację. W tym miesiącu wiele problemów można wykryć bezpośrednio dzięki zabezpieczeniom Sophos. Wraz z łatami dla systemu Windows, w tym miesiącu opublikowano także poprawki dla Chrome i Adobe. Najważniejsze to CVE związane z wyższym niż 9.0 wynikiem CVSS, w tym luki w Microsoft Office i Windows. W raporcie znajdują się dodatkowe wytyczne dotyczące zabezpieczeń serwerów Windows oraz informacje na temat CVE przypisanych do różnych rodzin produktów.

Google złożył pozew sądowy przeciwko chińskim hakerom odpowiedzialnym za masową platformę phishingową o nazwie Lighthouse, która przyniosła ponad miliard dolarów zysków w ciągu ostatnich trzech lat. Pozew ma na celu rozbiórkę infrastruktury działającej pod przewodnictwem Act Racketeer Influenced and Corrupt Organizations, Ustawy Lanham oraz Ustawy o oszustwach komputerowych.

Google złożył pozew przeciwko hakerom z Chin, którzy stoją za masową platformą Phishing-as-a-Service o nazwie Lighthouse, oszukującą użytkowników na całym świecie. Pozew ma na celu rozbicie infrastruktury hakerów działających pod szyldem RICO Act, Lanham Act i Computer Fraud and Abuse Act, a także wyjaśnienie złożonego ekosystemu cyberprzestępczości działającego z Chin.

Raport Amazona ujawnił wykorzystanie dwóch luki zero-day w produktach Cisco ISE i Citrix NetScaler, zwracając uwagę na coraz bardziej zaawansowane zagrożenia dla infrastruktury kontrolującej dostęp do sieci.

Zespół inteligencji zagrożeń Amazona ujawnił wykorzystywanie dwóch luk zerodniowych w Cisco ISE i Citrix NetScaler ADC w atakach z użyciem własnego oprogramowania malware. Ataki zostały zauważone dzięki sieci MadPot, a wykorzystywany backdoor umożliwiał monitorowanie i modyfikowanie ruchu sieciowego. Incydent podkreśla konieczność wdrażania kompleksowych strategii obronnych.

Active Directory pozostaje rdzeniem uwierzytelniania dla ponad 90% przedsiębiorstw z listy Fortune 1000. Atakując Active Directory, atakujący zyskują kontrolę nad całą siecią, powodując poważne konsekwencje, jak pokazał incydent związany z Change Healthcare w 2024 roku. W obliczu coraz bardziej zaawansowanych ataków, konieczne jest wprowadzenie podejścia wielowarstwowego, które adresuje kradzież danych uwierzytelniających, zarządzanie przywilejami oraz ciągłe monitorowanie.

W artykule przedstawiono potrzebę wzmocnienia bezpieczeństwa Active Directory z uwagi na rosnące zagrożenia i skomplikowaną strukturę, która stanowi kuszący cel dla atakujących. Przedstawiono także konkretne przypadki ataków oraz zalecenia dotyczące zabezpieczeń, w tym polityk hasłowych, zarządzania przywilejami, monitorowania ciągłego i podejścia zero trust.

Microsoft wydał patche na 63 nowe luki bezpieczeństwa w swoim oprogramowaniu, w tym jeden wykorzystywany w działaniach atakujących. Najważniejszą podatnością jest zerodniowa luka w jądrze Windows, umożliwiająca eskalację uprawnień.

Microsoft wydał łatki dla 63 nowych luk bezpieczeństwa w swoim oprogramowaniu, w tym zerodniowej luki w Windows Kernel. Aktualizacje obejmują także luki w Microsoft Edge oraz inne ważne podatności, takie jak eksploatacje przywilejów w jądrze systemu Windows i przepełnienia bufora w komponentach graficznych Microsoftu.

Malware 'Maverick' to nowe zagrożenie atakujące brazylijskie banki poprzez WhatsApp. Jest podobny do wcześniejszego Coyote, działa na komputerach użytkowników w Brazylii, monitoruje aplikacje bankowe i rozmawia z serwerem zdalnym w celu kradzieży danych logowania do kont bankowych. Trend Micro uważa, że Maverick może być ewolucją Coyote, choć Kaspersky traktuje go jako zupełnie nowe zagrożenie. Malware wykorzystuje skrypty PowerShell i Visual Basic Script, aby kontrolować sesje przeglądarki i rozprzestrzeniać złośliwe pliki ZIP za pośrednictwem WhatsApp. Atak koncentruje się na użytkownikach w Brazylii, a jego efektywność wynika z popularności WhatsApp w tym kraju.

Odkryto nowe złośliwe oprogramowanie Maverick rozprzestrzeniane poprzez WhatsApp, które atakuje brazylijskie instytucje finansowe. Program jest zdolny do monitorowania aktywnych sesji przeglądarek w poszukiwaniu stron bankowych oraz rozpowszechniania się przez WhatsApp Web. Trend Micro wskazuje na podobieństwa z wcześniej znanym oprogramowaniem Coyote, sugerując, że Maverick może być jego ewolucją. CyberProof oraz Sophos potwierdzają złożoność nowego łańcucha ataku, który umożliwia kradzież danych i kontrolę nad zainfekowanymi urządzeniami.

GootLoader, związanym z grupą groźnych cyberprzestępców Hive0127, ponownie się pojawił, wykorzystując nową metodę ukrywania malwara na stronach WordPress. Oprogramowanie wykorzystuje m.in. niestandardowe czcionki WOFF2 do maskowania nazw plików i atakuje z wykorzystaniem tzw. zakażonych archiwów ZIP. Przestępcy rozprzestrzeniają to zagrożenie przede wszystkim za pomocą taktyki manipulowania wynikami wyszukiwania w celu dostarczenia dodatkowych ładunków, w tym ransomware'u.

Złośliwe oprogramowanie GootLoader powróciło, wykorzystując niestandardowe czcionki WOFF2 do zamaskowania nazw plików, atakując strony WordPress. Atak polega na przekierowywaniu użytkowników za pomocą oszukujących fraz w wyszukiwarkach oraz ukrywaniu prawdziwej natury plików ZIP za pomocą trików obfuscacji.

Artykuł omawia rosnące zagrożenie związane z tzw. cieniem AI w firmach, wskazując na ryzyko niewidoczne dla zespołów bezpieczeństwa oraz konieczność zwrócenia uwagi na potencjalne zagrożenia związane z nieautoryzowanym używaniem sztucznej inteligencji. Przestrzega przed ryzykiem wycieku danych, nieautoryzowanym działaniem programów AI i koniecznością podejmowania działań w celu zapewnienia bezpieczeństwa organizacji.

Odkryto eksploatację luki zapewniającej dostęp N-day w Triofox, co pozwoliło atakującym na instalowanie złośliwego oprogramowania poprzez funkcję antywirusową. Sugeruje się aktualizację i audyt kont administatorów w celu zapewnienia bezpieczeństwa.

Firma Google's Mandiant Threat Defense ujawniła wykorzystanie luki bezpieczeństwa w Triofox przez grupę zagrożenia UNC6485, umożliwiającej zdalne uruchamianie szkodliwego oprogramowania. Atakujący wykorzystali niezabezpieczony dostęp, aby uzyskać kontrolę nad konfiguracją i infiltrować system wykorzystując mechanizm antywirusowy.

Konni, grupa odpowiadająca za liczne ataki, wykorzystała usługi Google do zdalnego resetowania urządzeń ofiar, co prowadziło do nieautoryzowanego usuwania danych osobistych. Atak polegał m.in. na podszywaniu się pod doradców psychologicznych i aktywistów praw człowieka z Korei Północnej oraz rozpowszechnianiu złośliwego oprogramowania.

Grupa cyberprzestępcza związana z Koreą Północną, Konni, przeprowadziła nową serię ataków wymierzonych w urządzenia z systemem Android oraz Windows w celu kradzieży danych i zdalnej kontroli. Atakujący udają doradców psychicznych i aktywistów praw człowieka z Korei Północnej, rozprowadzając złośliwe oprogramowanie podszywające się pod programy łagodzące stres. Zauważalne jest także wykorzystanie przez nich usługi śledzenia aktywów Google'a, Find Hub, do zdalnego resetowania urządzeń ofiar, co prowadzi do nieautoryzowanego usuwania danych osobistych. Atak został wykryty we wrześniu 2025 roku. Konni po raz pierwszy użyła legalnych funkcji zarządzania do zdalnego resetowania urządzeń mobilnych, prowadząc do kradzieży danych, zdalnego monitorowania systemu oraz kradzieży danych logowania.

W minionym tygodniu ataki cybernetyczne nie zwolniły tempa, a atakujący stają się coraz bardziej sprytni. Malware ukryty w maszynach wirtualnych, wycieki informacji związane z chatami opartymi na sztucznej inteligencji, czy też cichy spyware celujący w urządzenia z systemem Android, to tylko część widocznego zagrożenia. Odkrycia wskazują na ewolucję cyberprzestępczości, gdzie granice między technicznym kamuflażem a strategiczną koordynacją zacierają się.

W ostatnim tygodniu cyberzagrożenia nie zwolniły tempa, a atakujący stają się coraz bardziej sprytni. Artykuł porusza tematy związane z ukrywaniem złośliwego oprogramowania w maszynach wirtualnych, wyjawianiem rozmów AI oraz cichym atakowaniem urządzeń z systemem Android. Należy zwrócić uwagę, że cyberprzestępczość szybko ewoluuje, a granice między techniczną dyskrecją a strategiczną koordynacją zaciekliwie się zacierają.

W uznaniu dla osiągnięć Davida Harleya, doświadczonego badacza cyberbezpieczeństwa, autora i mentora, który był mostem między stroną techniczną a ludzką w dziedzinie bezpieczeństwa.

Południowokoreańska policja odkryła operację hakerską, która kradła wrażliwe dane z salonów masażu i szantażowała ich męskich klientów. Przestępcy wyłudzili około 200 milionów KRW, podszywając się pod usługi biznesowe. Grupa została ujawniona w wyniku przypadkowego śledztwa policyjnego i działała na terenie kilku miast. Ich ofiarami padły osoby indywidualne, a nie instytucje publiczne czy instytucje finansowe, co czyni tę sprawę szczególnie niepokojącą.

Raport przedstawia wybrane działania grup APT zbadanych i przeanalizowanych przez ESET Research w okresie od kwietnia do września 2025 roku. Opisuje on istotne trendy i rozwój zagrożeń oraz zawiera jedynie niewielką część danych wywiadowczych w zakresie cyberbezpieczeństwa dostarczanych klientom raportów APT firmy ESET.

W artykule omawia się przypadki ataków grupy zaawansowanych trwałych zagrożeń (APT) o nazwie 'Bronze Butler', które wykorzystują lukę zero-day do przejęcia kontroli nad organizacjami w Japonii. Autor zauważa, że wiele działań podejmowanych przez użytkowników online może spowodować blokadę zabezpieczeń, a jednym z elementów ochrony jest usługa Cloudflare.

Oszustwa na platformach komunikacyjnych, takich jak WhatsApp, stanowią poważne zagrożenie dla poufności danych użytkowników. Oszuści wykorzystując psychologiczną manipulację, próbują wyłudzić informacje finansowe i osobiste poprzez udostępnienie ekranu podczas wideorozmowy. Działając pod przykrywką różnych pretekstów, przestępcy otrzymują dostęp do danych bankowych, haseł i kodów weryfikacyjnych, co pozwala im na kradzież tożsamości i oszustwa finansowe. Kluczem do bezpieczeństwa przed tym oszustwem jest świadomość i dyscyplina w zachowaniu podczas rozmów video na WhatsApp oraz unikanie udostępniania ekranu czy instalowania podejrzanych aplikacji zleconych przez nieznajomych.

W tej odsłonie podcastu Unlocked 403 eksperci z ESET rozmawiają o psychologii wykorzystywanej przez oszustów internetowych oraz o tym, dlaczego ludzie pozostają podatni na ataki typu social engineering. Omawiają również jak dostępność publicznie dostępnych informacji ułatwia oszustom oraz jak można się przed nimi chronić.

W odcinku tym Tanya Janca, uznaną ekspertka ds. bezpieczeństwa aplikacji i założycielka We Hack Purple, dzieli się swoimi doświadczeniami z pierwszej linii cyberbezpieczeństwa, w tym z czasów pracy jako tester penetracyjny i reagujący na incydenty.

W 2025 roku grupa zagrożeń BRONZE BUTLER wykorzystała zerodniową lukę w oprogramowaniu Motex LANSCOPE Endpoint Manager do kradzieży poufnych informacji. Atakujący uzyskali dostęp początkowy poprzez CVE-2025-61932, umożliwiający im wykonanie poleceń z uprawnieniami SYSTEM. Zagrożenie wykorzystało również złośliwe oprogramowanie Gokcpdoor oraz ramkę Havoc C2 do przeprowadzenia ataku. Zalecenia CTU™ obejmują aktualizację serwerów LANSCOPE oraz monitorowanie urządzeń narażonych na zagrożenie.

Starsze osoby są coraz częstszymi celami oszustw online, co może prowadzić do znacznych strat finansowych. Jednak efektywne działania ochronne, oparte na komunikacji rodzinnej i technicznych zabezpieczeniach, mogą znacząco zmniejszyć to ryzyko.

LinkedIn planuje wykorzystać dane użytkowników z UK, UE, Szwajcarii, Kanady i Hongkongu do szkolenia swoich modeli sztucznej inteligencji oraz do personalizowanych reklam. Użytkownicy muszą aktywnie zrezygnować z udziału w tym procesie, aby chronić swoje dane. Należy podjąć odpowiednie kroki, aby kontrolować rozpowszechnianie danych profilowych i minimalizować ryzyko nadużycia.

Rozpoznawana jest eksploatacja podatności na zdalne wykonanie kodu w usłudze Windows Server Update Service (WSUS) firmy Microsoft, na skutek której pozyskiwane są wrażliwe informacje z serwerów WSUS. Przeprowadzono analizę techniczną podatności oraz udostępniono kod proof-of-concept na GitHub, co wymusiło wydanie pilnej aktualizacji bezpieczeństwa przez firmę Microsoft. Wiele środowisk klientów Sophos zostało zaatakowanych, a skradzione dane trafiły na publiczne adresy użycia webhook.site. Rekomendowane są działania zapobiegawcze dla organizacji korzystających z usługi WSUS.

Analiza najnowszych zagrożeń cybernetycznych wykrytych przez Kaspersky, w tym operacji ForumTroll wykorzystującej szpiegowskie oprogramowanie komercyjne Dante rozwinięte przez włoską firmę Memento Labs (dawniej Hacking Team). Atak został zidentyfikowany jako działalność grupy APT ForumTroll. Artykuł szczegółowo opisuje atak oraz techniki obronne stosowane przez oprogramowanie.

Analiza krytycznej podatności w logice nagród protokołu BetterBank, która doprowadziła do milionowych strat i zwrócenia części skradzionych aktywów przez atakującego.

Kampania cyberespionage PassiveNeuron ma na celu atakowanie serwerów organizacji rządowych, finansowych i przemysłowych w Azji, Afryce i Ameryce Łacińskiej. Atakujący używają zaawansowanych implantów APT, takich jak Neursite i NeuralExecutor, aby zyskać zdalny dostęp i wykonać złośliwe komendy. Badacze z Kaspersky odkrywają szczegóły kampanii oraz wskazują na możliwe przynależności do aktora chińskojęzycznego.

W najnowszych incydentach cyberbezpieczeństwa widoczny trend długotrwałych, cichych włamań. Obrona polega teraz nie tylko na szybkim łataniu podatności, ale również na inteligentnym monitorowaniu i czujności na to, czego się nie spodziewamy. W artykule omówione zostały atak na F5 ze strony państwa, krytyczne podatności oraz konieczność zapobiegania wyciekom danych z chmur obliczeniowych poprzez właściwą konfigurację.

Podsumowanie analizy zagrożeń cybernetycznych w lipcu i sierpniu. Ransomware nadal stanowi główne zagrożenie, z nowymi schematami ataków i fragmentacją krajobrazu ransomware. Zalecenia obejmują szybkie łatanie podatności, MFA odporna na phishing oraz monitorowanie chmury i hybrydowych środowisk.

W artykule przedstawiono wykorzystanie luki w autentykacji platformy obsługi klienta Zendesk przez cyberprzestępców, którzy zalewają skrzynki mailowe atakowanych osób groźnymi wiadomościami. Ich działania mają związek z brakiem uczestnictwa firmy w autoryzacji urządzenia.

Analiza odkrycia złośliwego pakietu w ekosystemie npm, który udaje popularne pakiety i instaluje agenta AdaptixC2 na zainfekowanych urządzeniach. Atak ten pokazuje rosnącą tendencję wykorzystywania otwartych ekosystemów oprogramowania do dystrybucji szkodliwego oprogramowania.

Artykuł omawia zagrożenia związane z SEO spamem i ukrytymi linkami na stronach internetowych. Przedstawia techniki wykorzystywane przez atakujących oraz metody ochrony przed nimi, takie jak regularne aktualizacje oprogramowania, kontrola dostępu i wykorzystanie zapór aplikacyjnych. Przestrzeń także informuje o konsekwencjach takich działań i sposobach wykrywania SEO spamu na stronach internetowych.

Artykuł porusza zagrożenia związane z pobieraniem modów do gry Minecraft, wskazując na ryzyko związane z malware, które może udawać mody. Dodatkowo podkreśla istniejące zagrożenia cyberprzestępczości i proponuje środki ostrożności dla graczy, aby zminimalizować ryzyko zainfekowania systemu.

W dniu 15 października 2025 r. F5 poinformowało o skompromitowaniu przez podmiot zagrożenia państwowego niektórych systemów, co spowodowało wyciek danych, w tym kodu źródłowego i informacji o nieujawnionych podatnościach produktowych. Artykuł omawia potencjalne konsekwencje ataku oraz działania zalecane dla organizacji.

Microsoft ogłosił 170 łatek dotyczących 21 rodzin produktów, w tym 8 klasyfikowanych jako krytyczne. Wśród nich znajdują się problemy aktywnie eksploatowane oraz publicznie ujawnione. Ponadto w tym miesiącu pojawiło się wiele wskazówek i łat dla różnych produktów, z czego 14 dotyczy przeglądarki Edge. Poza rekordową liczbą łatek, warto zwrócić uwagę na konkretne problemy, takie jak błędy dotyczące modemów, a także nietypowe błędy, jak te dotyczące RDP czy funkcji Taskbar w Windows. Ponadto, podano informacje dotyczące patchy świętujących zakończenie wsparcia w październiku 2025 roku, włączając w to produkty takie jak Windows 10, Office 2016 i 2019 oraz Exchange Server i Visio 2016 i 2019.

Artykuł opisuje skomplikowaną kampanię malware w Brazylii, gdzie rozprzestrzeniany jest złośliwy plik LNK za pomocą WhatsApp. Celuje głównie w Brazylijczyków i używa portugalsko nazwane adresy URL. Ostatecznie dostarcza nowego Trojana bankowego o nazwie Maverick, zawierającego wiele podobieństw kodowych z Coyote. Cała łańcuch infekcji jest bardzo zaawansowany i całkowicie bezplikowy, z wieloma złożonymi etapami, jak manipulacja użytkownika, pobieranie skryptów PowerShell, obfuskacja, deszyfrowanie kodów, zabezpieczenia komunikacyjne i współpraca z C2. Trojan ten wyróżnia się także nadużywaniem WhatsApp do rozprzestrzeniania, oraz wykazuje zastosowanie AI w procesie pisania kodu.

Chińscy cyberprzestępcy związani z grupą Flax Typhoon przeprowadzili zaawansowaną kampanię, wykorzystując ArcGIS Server jako tylną furtkę do systemu ofiar. Atak ten ukazał, jak atakujący coraz częściej nadużywają zaufanych narzędzi i usług, aby ominąć środki bezpieczeństwa i uzyskać nieautoryzowany dostęp do systemów ofiar.

W 2025 roku coraz większa liczba luk w oprogramowaniu sprawia, że opóźnienie lub pominięcie aktualizacji zabezpieczeń może kosztować firmę dużo. Miesiąc październik to czas, kiedy liderzy IT powinni zastanowić się nad lepszą ochroną swoich systemów komputerowych, zwłaszcza że rekordowa liczba nowo odkrytych luk w oprogramowaniu stanie się zaproszeniem dla cyberprzestępców. Warto dowiedzieć się więcej o znaczeniu terminowego łatania podatności, śledzić nowości z okazji Miesiąca Świadomości Cyberbezpieczeństwa i skorzystać z programów szkoleniowych w zakresie cyberbezpieczeństwa proponowanych przez ESET.

W artykule opisano nową technikę, w której cyberprzestępcy wykorzystali sztuczną inteligencję chatbota do promowania phishingowych oszustw. Zostało to nazwane techniką „Grokking”. Tekst ostrzega przed zagrożeniami wynikającymi z manipulacji botami AI oraz wyjaśnia, dlaczego należy zachować ostrożność i nie ufać automatycznym odpowiedziom wygenerowanym przez takie narzędzia.

Analityk cyberbezpieczeństwa relacjonuje historię Nathana Michaela, przywódcy grupy przestępczej Oak Cliff Swipers, która zaczęła od kradzieży kart kredytowych i obrotu nimi, a skończyła jako rozbudowane przedsięwzięcie przestępcze. W artykule podkreślono rolę platformy do ochrony końcowych punktów Zero Trust, a także inwestycje w bezpieczeństwo, takie jak zachowanie cyberbezpieczeństwa przez wyeliminowanie niebezpieczeństw znanych i nieznanych. Ponadto wzmianki o firmach takich jak Pantheon i ich usługi wspomagające szybkość, bezpieczeństwo i niezawodność stron internetowych.

Pliki PDF stają się popularnym narzędziem do ukrywania złośliwego oprogramowania, które może kraść dane i pieniądze. Cyberprzestępcy coraz częściej wykorzystują PDF-y jako przynętę w atakach, wymuszając na ofiarach otwieranie zainfekowanych załączników. Dla bezpieczeństwa warto zachować ostrożność i stosować sprawdzone zasady przy otrzymywaniu i otwieraniu plików PDF.

Przemysł produkcji staje w obliczu wyjątkowo wymagającego środowiska zagrożeń, które sprawiają, że ataki są szczególnie szkodliwe. Produkcja jest sektorem o niskiej tolerancji na przestój, złożonymi łańcuchami dostaw oraz cennymi własnościami intelektualnymi, co stawia IT i liderów ds. bezpieczeństwa przed poważnymi wyzwaniami przestępczości cybernetycznej.

Analiza serii zdarzeń związanych z operacją pakowania jako usługi (PaaS) przez HeartCrypt. Badania wykazały, że ataki były przypisywane różnym aktorom zagrożeń. W analizie wykryto tysiące próbek, setki podrobionych dostawców oprogramowania oraz różne metody ataków. Przedstawiono konkretne przypadki ataków i mechanizmy zainfekowania, wskazując na przykłady z Włoch, Kolumbii i innych krajów.

Grupa DeceptiveDevelopment podległa Korei Północnej działa od co najmniej 2023 roku, koncentrując się na zyskach finansowych. Ich działania obejmują ataki na programistów wszystkich głównych systemów, a szczególnie tych w projektach związanych z kryptowalutami i Web3. Działają za pomocą innowacyjnych technik inżynierii społecznej, takich jak fałszywe profile rekruterów, aby dostarczyć zainfekowane kodu podczas pozornych rozmów kwalifikacyjnych. Ich typowe narzędzia to infostealery BeaverTail, OtterCookie i WeaselStore, oraz RAT InvisibleFerret.

Małe firmy stanowią atrakcyjny cel dla cyberprzestępców, ponieważ są częstszymi ofiarami ransomware niż duże przedsiębiorstwa. Ransomware-as-a-service obniża bariery przestępczości internetowej, a grupy ransomware zmieniają taktykę, wykorzystując coraz nowocześniejsze narzędzia, w tym sztuczną inteligencję. W odpowiedzi na rosnące zagrożenia, SMBs powinny skupić się na prewencji, ocenie ryzyka i możliwości skorzystania z usług zarządzania wykrywaniem i reagowaniem.

Grupa Warlock, nazywana również GOLD SALEM, prowadzi operację ransomware od marca 2025 roku. Liczba 60 opublikowanych ofiar umieszcza ją w środku ransomware'owych operacji tego okresu. Grupa działa głównie poza Chinami i Rosją, ale opublikowała nazwę rosyjskiego podmiotu na swojej stronie. GOLD SALEM szukał exploitów i współpracy z brokerami dostępu, co sugeruje możliwe rozszerzenie operacji na usługi ransomware-as-a-service.

HybridPetya to nowe odkrycie ESET Research - złośliwe oprogramowanie będące naśladowcą znanej Petya/NotPetya, zdolne do kompromitacji systemów opartych na UEFI oraz wykorzystującego CVE‑2024‑7344 do omijania UEFI Secure Boot na przestarzałych systemach. Nieaktywne w dziczy, ale potencjalnie groźne ze względu na możliwości szyfrowania MFT oraz bypassowania Secure Boot, wart uwagi dla przyszłego monitorowania zagrożeń.

Artykuł omawia zagrożenie polegające na wykorzystaniu luki RCE w Apple CarPlay, które pozostaje niezaadresowane w większości samochodów. Istnieje ryzyko ataku mającego wpływ na bezpieczeństwo systemów pokładowych i użytkowników.

Badacze cyberbezpieczeństwa odkryli zaawansowaną kampanię złośliwego oprogramowania bez plików, wykorzystującą legalne narzędzia systemowe. Atak umożliwia uruchomienie trojana zdalnego dostępu AsyncRAT, trudnego do wykrycia, analizy czy usunięcia.

Senator Ron Wyden z Oregonu zaapelował do Federalnej Komisji Handlu o dochodzenie w sprawie luk w cyberbezpieczeństwie Microsoftu, związanych z atakiem ransomware na krytyczną infrastrukturę USA. Atak na Ascension, jedną z największych systemów szpitalnych w kraju, rozpoczął się od kliknięcia przez kontrahenta złośliwego linku w wynikach wyszukiwania Bing, infekując jego laptopa. Wykorzystując wysłużone szyfrowanie RC4, hakerzy uzyskali dostęp do sieci Ascension i narażając dane 5,6 miliona pacjentów.

Senator Ron Wyden wezwał Federalną Komisję Handlu do zbadania Microsoftu i pociągnięcia go do odpowiedzialności za tzw. 'rażące zaniedbania w cyberbezpieczeństwie', które umożliwiły ataki ransomware na krytyczną infrastrukturę USA, w tym sieci służby zdrowia.

Senator Ron Wyden zaapelował do Federalnej Komisji Handlu (FTC) o dochodzenie w sprawie Microsoftu w związku z zarzutami dotyczącymi 'rażącego zaniedbania w cyberbezpieczeństwie', które umożliwiły ataki ransomware na krytyczną infrastrukturę USA, w tym sieci opieki zdrowotnej.

Grupa ransomware Akira nadal skupia się na atakach na urządzenia SonicWall, wykorzystując lukę w SSL VPN oraz błędy konfiguracyjne do nieautoryzowanego dostępu. Zalecane środki ostrożności obejmują zmianę haseł, usuwanie nieużywanych kont, konfigurację MFA oraz ograniczenie dostępu do portalu Virtual Office.

Aktorzy groźby związani z grupą ransomware Akira nadal atakują urządzenia SonicWall w celu uzyskania początkowego dostępu. Firmy z branży cyberbezpieczeństwa obserwują wzrost naruszeń związanych z urządzeniami SonicWall w związku z wykorzystaniem słabego punktu żetonowania SSL VPN oraz błędów konfiguracyjnych przez hakerów ransomware Akira.

Analiza trendów w cyberbezpieczeństwie wskazująca na coraz większą liczbę ataków opartych na kradzieży danych logowania, oraz metody ich przeciwdziałania dla zachowania bezpieczeństwa organizacji. Zalecenia obejmują m.in. stosowanie wieloskładnikowej autentykacji, szkolenie pracowników i monitorowanie środowiska IT.

Nowa kampania wykorzystująca oprogramowanie ScreenConnect firmy ConnectWise do dostarczenia trojana AsyncRAT w celu kradzieży danych zainfekowanych hostów. Atak składa się z wielu etapów, w tym wykorzystanie VBScript i PowerShell do uruchomienia złożonych komponentów oraz maskowanie się jako 'Skype Updater' dla utrzymywania trwałości.

Nowa kampania ataku cybernetycznego wykorzystuje legalne oprogramowanie do zdalnego monitoringu i zarządzania w celu instalacji trojana AsyncRAT, który kradnie dane zainfekowanych hostów.

Microsoft ogłosił 81 łatek dotykających 15 rodzin produktów. Wśród nich występuje dziewięć krytycznych zagrożeń oraz dziewięć, które osiągnęły co najmniej punkt 8.0 w CVSS - nie są to jednak te same problemy. Żaden z nich nie jest obecnie wykorzystywany w dzikiej naturze, choć jedno zagrożenie związane z Windows (CVE-2025-55234, dotyczące protokołu SMB) zostało publicznie ujawnione.

Apple wprowadza nową funkcję Memory Integrity Enforcement (MIE) w iPhonie 17, mającą na celu ochronę przed zaawansowanym szpiegostwem i cyberzagrożeniami. MIE zapewnia stałą ochronę pamięci, zwłaszcza przed atakami na poziomie systemu operacyjnego i pamięci. Dzięki tej innowacji, Apple chce zmniejszyć skuteczność i zwiększyć koszty skomplikowanych ataków cybernetycznych.

Artykuł analizuje rosnące zagrożenia związane z hacktawizmem i grupami motywowanymi geopolitycznie, wskazując na trzy główne klastry zagrożeń w cyberprzestrzeni. Grupy te, działając w strefach konfliktu, wykorzystują coraz bardziej złożone metody ataków, wymieniając narzędzia i współpracując w celu osiągnięcia wspólnych celów. Raport zawiera informacje na temat aktualnych taktyk i technik używanych przez hacktawistów oraz grupy APT, identyfikując trzy kluczowe klastry zagrożeń na przyszłość.

Odkryto, że luka w rozszerzeniu Cursor pozwala repozytoriom automatycznie wykonywać kod przy otwarciu folderu, nawet bez zgody programisty. Atakujący mogą wykorzystać tę funkcjonalność, wpuszczając złośliwy kod podczas otwierania repozytorium w Visual Studio Code z zainstalowanym Cursorem. Ostrzeżenia dotyczące potencjalnych konsekwencji i zalecenia ekspertów dotyczące ograniczania ryzyka i zwiększania bezpieczeństwa.

Sansec Forensics Team ostrzega o krytycznej podatności w platformie e-commerce Adobe Commerce i Magento, która umożliwia przejęcie kont klientów oraz zdalne wykonanie nieuwierzytelnionego kodu. Zaleca się natychmiastowe zastosowanie oficjalnego poprawki i zabezpieczenie systemów bezpieczeństwa.

Microsoft w ostatnim piątku zajęło się 80 lukami bezpieczeństwa w swoim oprogramowaniu, w tym jednym ujawnionym publicznie w chwili wydania. Naprawiono m.in. CVE-2025-55234, a także krytyczne CVE-2025-54914 wpływające na Azure Networking. Aktualizacja obejmuje także luki w Edge opartym na Chromium, Newtonsoft.Json, Windows BitLocker i inne. Wiele z nich dotyczy eskalacji uprawnień oraz zdalnego wykonania kodu. W skład poprawek wchodzi także eliminacja nowej techniki ruchu bocznego BitLockMove wykorzystującej manipulację kluczami rejestru BitLockera.

Microsoft w ramach najnowszej aktualizacji poprawił 80 luk bezpieczeństwa, w tym błąd w SMB i błędy CVSS 10.0 w usłudze Azure. Poprawki obejmują luki związane m.in. z eskalacją uprawnień, wykonaniem zdalnym czy wyciekiem informacji. Szczególną uwagę zasługuje podatność CVE-2025-54914 na platformie Azure Networking, a także luk w Windows NTLM i Windows BitLocker.