CyberCafe - Aktualności Cyberbezpieczeństwa

Grupa zagrożeń znana jako Silver Fox została zauważona realizująca operację fałszywej flagi mającą na celu podszywanie się pod rosyjską grupę zagrożeń w atakach skierowanych na organizacje w Chinach. Kampania trucizny seo (SEO) wykorzystuje przynęty firmy Microsoft Teams, aby oszukać nieświadomych użytkowników i zainstalować złośliwe oprogramowanie ValleyRAT (Winos 4.0), powiązane z chińską grupą cyberprzestępczą.

Grupa APT31, znana również jako Altaire, Bronze Vinewood, Judgement Panda czy RedBravo, przeprowadziła ataki cybernetyczne na sektor rosyjskiej informatyki w latach 2024-2025, pozostając niezauważona przez dłuższy czas. Ataki charakteryzują się wykorzystaniem legalnych usług chmurowych, takich jak Yandex Cloud, w celu uniknięcia wykrycia.

Chińska grupa APT31, znana także jako Altaire, Bronze Vinewood, Judgement Panda czy Red Keres, przeprowadzała cyberataki na sektor rosyjskiej informatyki w latach 2024-2025, pozostając niezauważoną przez długi czas. Ataki charakteryzowały się wykorzystaniem usług chmurowych, takich jak Yandex Cloud, do kontroli poleceń i eksfiltracji danych, w celu kamuflowania się i uniknięcia wykrycia.

W atakach phishingowych używane są powiadomienia przeglądarki do rozpowszechniania złośliwych linków przez nową platformę Matrix Push C2. Atak polega na nakłonieniu potencjalnych celów do zezwolenia na powiadomienia przez techniki inżynierii społecznej na stronach złośliwych lub kompromitowanych. Artykułszczegółowo opisuje sposób działania narzędzia oraz jego rozpowszechnianie i wykorzystywanie w cyberprzestępczości.

Nowa platforma Matrix Push C2 wykorzystuje powiadomienia przeglądarki do ataków phishingowych, omijając tradycyjne zabezpieczenia. Zestaw narzędzi jest oferowany jako MaaS przez modele subskrypcji, a jego celem jest kradzież danych i monetyzacja dostępu.

Amerykańska Agencja Cyberbezpieczeństwa i Infrastruktury (CISA) wydała ostrzeżenie dotyczące poważnej luki bezpieczeństwa w Oracle Identity Manager, która jest aktywnie wykorzystywana. Wrażliwość CVE-2025-61757 (Wynik CVSS: 9.8) pozwala na zdalne wykonanie kodu przed uwierzytelnieniem, co zostało odkryte przez badaczy Searchlight Cyber. Zaleca się pilne zastosowanie łatek w instytucjach rządowych do 12 grudnia 2025 r.

Agencja CISA ostrzega, że aktywnie wykorzystywana jest krytyczna podatność Oracle Identity Manager, umożliwiająca zdalne wykonywanie kodu. Wskazuje ona na istotne ryzyko dla organizacji.

Grafana wydała aktualizacje zabezpieczeń w celu rozwiązania najwyższego stopnia krytycznej usterki, która mogłaby umożliwić eskalację uprawnień lub podszywanie się pod użytkownika w określonych konfiguracjach. Usterka ta, oznaczona jako CVE-2025-41115, ma ocenę CVSS 10.0 i dotyczy komponentu System for Cross-domain Identity Management (SCIM), umożliwiającego zautomatyzowane zarządzanie użytkownikami. Grafana zaleca użytkownikom jak najszybsze zastosowanie łatek w celu zminimalizowania potencjalnych zagrożeń.

Grafana wypuściła aktualizacje zabezpieczeń w celu naprawienia krytycznej luki, która umożliwia eskalację uprawnień lub podszywanie się użytkownika przy określonych konfiguracjach. Wadliwość, oznaczona jako CVE-2025-41115, otrzymała ocenę CVSS 10.0 i dotyczy komponentu Systemu Zarządzania Tożsamościami Cross-domain (SCIM) w platformie Grafany.

Google ułatwia udostępnianie plików między urządzeniami Android i iPhone za pomocą nowej funkcji Quick Share, opartej na bezpieczeństwie Rust. Udostępnianie między platformami jest limitowane do linii Pixel 10 i wykorzystuje standardy bezpieczeństwa eliminujące klasy podatności na błędy pamięci.

Google uaktualnia swoją usługę Quick Share, umożliwiającą udostępnianie plików między Androidem, a urządzeniami Apple za pomocą AirDrop. Nowa funkcja zapewnia bezpieczną wymianę plików między Pixel 10 i iPhone'ami, iPady oraz Mac'ami, korzystając z technologii języka Rust.

Samsung Galaxy i Knox Suite stoją się popularnym wyborem wśród przedsiębiorstw, zapewniając kompleksowe rozwiązania bezpieczeństwa mobilnego.

Samsung Galaxy to nie tylko urządzenia, to solidna podstawa bezpieczeństwa mobilnego. Dzięki rozwiązaniom takim jak Samsung Knox i Knox Suite, IT administatorzy mogą wzmocnić ochronę danych korporacyjnych, zapewniając jednocześnie płynność pracy zespołu.

APT24, znany także jako Pitty Tiger, wykorzystuje nowe złośliwe oprogramowanie o nazwie BADAUDIO w trwającym od lat szpiegowskim ataku na Tajwan oraz sektory rządowe, opieki zdrowotnej, budowlane, inżynieryjne, górnicze, pozarządowe i telekomunikacyjne. Grupa stosuje zaawansowane techniki, w tym kompromitację zaopatrzenia, tarcia zaopatrzeniowe i hakerstwo celowane, demonstrując zdolność do wydobywania danych i adaptacyjnego szpiegostwa.

Grupa groźna APT24, znana z Chin, używa wcześniej nieudokumentowanego malware'a o nazwie BADAUDIO, aby uzyskać stały zdalny dostęp do skompromitowanych sieci w ramach blisko trzy letniej kampanii. Atakują organizacje na Tajwanie, wykorzystując zaawansowane wektory, takie jak ataki phishingowe czy kompromitacje dostaw łańcucha, co stanowi poważne zagrożenie dla cyberbezpieczeństwa. Kampania BADAUDIO trwa od listopada 2022 roku, a atakujący wykorzystują skomplikowane techniki ochrony, takie jak blokowanie odwrotnego inżynierowania, aby zwiększyć skuteczność zainfekowania systemów ofiar.

SEC podjął decyzję o zakończeniu procesu przeciwko SolarWinds i jego głównemu oficerowi ds. bezpieczeństwa informacji po zarzutach dotyczących wprowadzania inwestorów w błąd w kontekście ataku z 2020 roku. Wcześniejsze oskarżenia zostały odrzucone przez sąd, a SolarWinds oraz inni dostawcy zostali oskarżeni o wprowadzanie w błąd w związku z atakiem cybernetycznym.

U.S. Securities and Exchange Commission (SEC) zdecydowała o wycofaniu pozwu przeciwko SolarWinds i jego głównemu oficerowi ds. bezpieczeństwa informacji, Timothy'emu G. Brownowi, oskarżając firmę o wprowadzanie inwestorów w błąd dotyczące praktyk bezpieczeństwa, które doprowadziły do ataku na łańcuch dostaw w 2020 roku.

Salesforce ostrzega przed wykryciem 'niezwykłej aktywności' związanej z aplikacjami opublikowanymi przez Gainsight, podłączonymi do platformy. Firmy zalecają podjęcie działań ostrożności w odniesieniu do integracji zewnętrznych aplikacji i rotacji poświadczeń w przypadku wykrycia anomaliów.

Salesforce zidentyfikowało nieautoryzowany dostęp do danych poprzez aplikacje Gainsight, co skutkowało unieważnieniem tokenów OAuth i zablokowaniem aplikacji.

Linus Torvalds podczas spotkania Open Source Summit Korea 2025 w Linux Foundation rozmawiał z Dirkem Hohndelem na temat Linuxa, Rusta i sztucznej inteligencji. Torvalds podkreślił znaczenie ciągłego doskonalenia i adaptacji do innowacji sprzętowych w projekcie Linuxa, wspomniał o integracji języka Rust w jądrze systemu oraz o wpływie sztucznej inteligencji na rozwój oprogramowania open-source. Omówiono także negatywne aspekty działania AI, m.in. problem z AI crawlers na stronach internetowych. Torvalds oraz Hohndel podsumowali dyskusję zwracając uwagę na znaczenie hobby jako sposobu na radzenie sobie ze stresem w pracy informatyka.

Atak ShadowRay 2.0 wykorzystuje starą lukę w oprogramowaniu sztucznej inteligencji Ray do stworzenia samo-rozszerzającego się botnetu kryptowalut. Kampania obejmuje wysyłanie złośliwych poleceń, wykorzystanie GitLaba i GitHuba do dostarczania malware'u oraz taktyki maskujące działania w celu uniknięcia wykrycia.

Atak ShadowRay 2.0 to rozwinięcie poprzedniej fali ataków, które wykorzystują dwuletnią lukę w oprogramowaniu Ray do tworzenia botnetu do kopania kryptowalut. Atak polega na wykorzystaniu braku autoryzacji do zainfekowania klastrów z GPU i używania ich mocy obliczeniowej do nielegalnego kopania kryptowalut. Do zainfekowania klastrów służy atak na niewłaściwie zabezpieczone instancje i rozprzestrzenianie złośliwego oprogramowania między dashboardami. Cyberprzestępcy wykorzystują różne taktyki, takie jak wykorzystanie GitLab i GitHub do dostarczania złośliwego oprogramowania oraz maskowanie procesów na serwerach Ray jako legalne usługi jądra Linux, aby uniknąć wykrycia.

Botnet Tsundere aktywnie się rozwija, atakując użytkowników systemu Windows poprzez instalację złośliwego oprogramowania. Botnet wykorzystuje metody takie jak przynęty z gier oraz centrala C2 oparta na Ethereum, co sprawia, że jest trudny do wykrycia. Analiza Kaspersky'ego ujawniła złożone strategie funkcjonowania botnetu oraz jego rosyjskie pochodzenie, sugerując powiązania z innymi kampaniami złośliwego oprogramowania.

Botnet Tsundere to aktywnie rozwijająca się sieć botów, która atakuje użytkowników Windows poprzez wykorzystanie fałszywych instalatorów gier oraz komunikacji z serwerem C2 opartym na Ethereum. Atakujący korzystają z skryptów JavaScript do uruchamiania złośliwego oprogramowania przeciwdziałającego.

Podatność CVE-2025-61757 w Oracle Identity Manager została szczegółowo opisana przez Searchlight Cyber. Wykorzystanie luki umożliwiające zdalne wykonanie kodu poprzez dodanie ";.wadl" do końca adresu URL zostało zaprezentowane. Dane skanujące IP sugerują działanie pojedynczego atakującego.

W tym tygodniu w świecie hakerstwa i cyberbezpieczeństwa działo się wiele. Od Tajlandii, przez Londyn aż do Stanów Zjednoczonych, widzieliśmy aresztowania, działających szpiegów i duże ruchy w sieci. Hakerzy zostają złapani, a szpiedzy robią postępy. Nawet proste rzeczy, jak dodatki do przeglądarek internetowych i inteligentne urządzenia w domu, są wykorzystywane do atakowania ludzi. Każdego dnia pojawia się nowa historia, pokazująca, jak szybko zmienia się walka o kontrolę nad internetem. Rządy zaostrzają karanie cyberprzestępców, duże firmy technologiczne spieszą się z naprawą bezpieczeństwa. Badacze znajdują słabe punkty w aplikacjach i urządzeniach, których codziennie używamy. Zobaczyliśmy fałszywych rekruterów pracy na LinkedIn szpiegujących ludzi, ogromne przypadki prania brudnych pieniędzy za pomocą kryptowalut oraz zupełnie nowe złośliwe oprogramowanie stworzone tylko po to, aby przełamać zabezpieczenia Apple dla systemu MacOS. Wszystkie te historie przypominają nam, że ta sama technologia, która usprawnia życie, może zostać łatwo przekształcona w broń.

W ciągu ostatniego tygodnia działo się wiele w świecie hakerstwa i bezpieczeństwa online. Zatrzymano hakerów, szpiedzy doskonalą swoje zdolności, a nawet proste rzeczy jak dodatki do przeglądarek czy inteligentne urządzenia domowe są wykorzystywane do ataków. Widać, jak szybko zmieniają się walki o internet. Rządy zaostrzają działania przeciwko cyberprzestępczości, duże firmy technologiczne spieszą się, by zabezpieczyć swoje systemy, a badacze odkrywają słabe punkty w codziennych aplikacjach i urządzeniach. Nowe historie przypominają, że technologia, która ułatwia życie, może być łatwo przekształcona w broń.

CTM360 zidentyfikowało rosnącą kampanię hakowania kont WhatsApp, która celuje w użytkowników na całym świecie poprzez sieć oszukańczych portali uwierzytelniających i stron podszywających się. Kampania, wewnętrznie nazwana HackOnChat, nadużywa znajomego interfejsu sieciowego WhatsApp, wykorzystując taktyki inżynierii społecznej, aby wprowadzić użytkowników w błąd i skłonić do skompromitowania swoich kont.

CTM360 zidentyfikowało szybko rosnącą kampanię przejmowania kont na WhatsApp, której celem są użytkownicy na całym świecie poprzez sieć wprowadzających w błąd portali uwierzytelniających i stron podszywających się. Kampania, wewnętrznie nazwana HackOnChat, wykorzystuje znajomą interfejs internetowy WhatsApp, używając taktyk inżynierii społecznej, aby oszukać użytkowników i skłonić ich do naruszenia bezpieczeństwa swoich kont.

Nowy trojan Sturnus przeznaczony dla systemu Android pozyskuje dane uwierzytelniające i umożliwia pełne przejęcie urządzenia w celu popełniania oszustw finansowych. Potrafi ominąć zaszyfrowane komunikatory, przeprowadzać ataki nakłamujące i wykorzystywać usługi dostępności Androida. Ma też zdolność do monitorowania aktywności urządzenia i zbierania treści z rozmów. Atakujący aktualizują narzędzia, aby unikać wykrycia i ulepszać swoje działania.

Nowy trojan bankowy Sturnus dla systemu Android umożliwia kradzież poświadczeń i pełne przejęcie urządzenia w celu popełniania oszustw finansowych. Ma zdolność ominięcia zaszyfrowanych wiadomości, narusza aplikacje bankowe poprzez wyświetlanie fałszywych okien logowania i może wykorzystać usługi dostępności systemu Android do przechwytywania klawiszy i rejestrowania interakcji z interfejsem użytkownika.

Cyberatakujący związani z Iranem przeprowadzili cyberwojnę jako część działań wspierających i wzmacniających ataki fizyczne, co Amazon określił jako cyber-umocnione ukierunkowanie kinetyczne.

Hakerzy działający na zlecenie Iranu przeprowadzili działania wojny cybernetycznej w celu ułatwienia i zwiększenia skuteczności ataków fizycznych. Amazon określił to jako cybernetycznie wspomaganą celowaną aktywność kinetyczną, gdzie cyberoperacje wspierają cele militarno-fizyczne. Przykładowo, grupa Imperial Kitten miała za zadanie zdobycie danych AIS statków w celu atakowania krytycznej infrastruktury żeglugowej, co doprowadziło do próby nieudanego ataku rakietowego na statek. Incydenty te pokazują jak cyberoperacje mogą służyć wrogiem do precyzyjnych ataków fizycznych na infrastrukturę morską.

W trwającej kampanii malvertisingowej o nazwie TamperedChef, atakujący wykorzystują fałszywe instalatory udające popularne oprogramowanie, aby zainstalować złośliwe oprogramowanie. Celem ataków jest ustanowienie trwałości i dostarczenie złośliwego oprogramowania JavaScript umożliwiającego zdalny dostęp i kontrolę. Infrastruktura została opisana jako przemysłowa i biznesowa, a koncentracja zainfekowań wykryto głównie w USA, a także w innych krajach. Sektor opieki zdrowotnej, budownictwa i przemysłu są najbardziej dotknięte.

Kampania TamperedChef wykorzystuje fałszywe instalatory udające popularne oprogramowanie, aby zainfekować użytkowników szkodliwym oprogramowaniem. Celem ataków jest ustanowienie trwałości i dostarczenie złośliwego oprogramowania JavaScript umożliwiającego zdalny dostęp i kontrolę. Atakujący wykorzystują inżynierię społeczną oraz certyfikaty cyfrowe w celu zwiększenia zaufania użytkowników i uniknięcia wykrycia przez systemy zabezpieczeń.

Luka bezpieczeństwa CVE-2025-11001 w 7-Zip została wykorzystana przez hakerów. Atak pozwala na wykonanie dowolnego kodu. Odkryto również inną lukę, CVE-2025-11002, umożliwiającą zdalne wykonanie kodu. Konieczne jest szybkie aktualizowanie 7-Zip, aby zapewnić optymalną ochronę.

Odkryta niedawno luka bezpieczeństwa w 7-Zip jest w tej chwili aktywnie eksploatowana w środowisku online. Podatność ta (CVE-2025-11001) pozwala na wykonanie dowolnego kodu i została naprawiona w wersji 25.00 w lipcu 2025 roku. Konieczne jest szybkie zastosowanie poprawek w celu zapewnienia optymalnej ochrony przed atakami.

Badacze cyberbezpieczeństwa ujawnili szczegóły nowej kampanii, która wykorzystuje inżynierię społeczną i przechwytującą WhatsApp do rozpowszechniania bankowego trojana Eternidade Stealer w atakach na użytkowników w Brazylii. Złośliwe oprogramowanie oparte na Python i Delphi coraz częściej jest wykorzystywane przez cyberprzestępców w Ameryce Łacińskiej, w tym kierowanych na instytucje brazylijskie. Kampania Water Saci, mająca na celu zaatakowanie użytkowników z tego kraju, wykorzystuje różnorodne potencjalne wektory zakażenia i odróżnia się geolokalizowanymi metodami wyłączania na komputerach ofiar spoza Brazylii. Eternidade Stealer, z systematycznością poluje na dane związane z bankowością, walutami cyfrowymi i serwisami płatności, poprzez podszywająca się do zalogowanych sesji bankowych aplikacji i skradając dane uwierzytelniające dane dotyczące takich usług jak np. Bradesco czy Coinbase.

Badacze cyberbezpieczeństwa ujawnili szczegóły nowej kampanii, która wykorzystuje inżynierię społeczną i przejmowanie WhatsApp do rozpowszechniania trojana bankowego Eternidade Stealer w atakach na użytkowników w Brazylii.

Google Chrome został dotknięty nową, niebezpieczną luką bezpieczeństwa oznaczoną jako CVE-2025-13223, dającą atakującym potencjalną możliwość eksploatacji korekty sterty za pomocą specjalnie spreparowanej strony HTML. Wykrycie usterki to zasługa Najnowszej szóstej luki 'zero-day' w Chrome odnotowano 12 listopada, zaś sekcja Threat Analysis Group Google śledzi tego typu zagrożenia na co dzień. Konieczna jest pilna aktualizacja przeglądarki, aby zabezpieczyć się przed atakami.

Linus Torvalds, twórca Linuxa i Gita, podczas Open Source Summit Korea 2025 wyraził optymizm co do trendów technologicznych, ale jednocześnie ostrzegł przed negatywnymi skutkami vibe coding. Omówił znaczenie utrzymania Linuxa, integrację Rusta w jądrze oraz wpływ sztucznej inteligencji na rozwój. Podkreślił konieczność równowagi między stabilnością a ewolucją oraz zachęcał nowych programistów do zaangażowania w projekty informatyczne.

Nowo odkryta kampania zainfekowała dziesiątki tysięcy przestarzałych lub wycofanych routerów ASUS na całym świecie, w tym głównie w Tajwanie, Stanach Zjednoczonych i Rosji. Ataki wykorzystują sześć znanych luk bezpieczeństwa w routerach ASUS WRT, aby przejąć kontrolę nad podatnymi urządzeniami i stworzyć masową sieć. Incydent ten nosi nazwę Operacja WrtHug i może być związany z grupami hakerskimi z Chin, choć dowody na to są ograniczone.

Nowo odkryta kampania zainfekowała dziesiątki tysięcy przestarzałych routerów ASUS typu end-of-life (EoL) na całym świecie, głównie w Tajwanie, USA i Rosji, tworząc ogromną sieć.

Nowoczesna strategia zastosowania Ringfencingu w zabezpieczeniach aplikacji, która skutecznie ogranicza dostęp zatwierdzonym programom i minimalizuje ryzyko wykorzystania legalnego oprogramowania w celach złośliwych.

Izolacja aplikacji za pomocą Ringfencing to kluczowa strategia zapobiegająca nadużyciom zatwierdzonego oprogramowania. Przesuwa ona podejście od reaktywnego do proaktywnego rozwiązywania problemu, zapewniając, że każda aplikacja operuje w granicach swojej niezbędnej funkcji, a wykrycie i reakcja pozostają planem awaryjnym, a nie główną obroną.

Artykuł przedstawia rekomendacje ZDNET dotyczące najlepszych laptopów w cenie do 1000 dolarów w 2025 roku. Zawiera opisy wybranych modeli, takich jak M2 MacBook Air, Acer Nitro V 16, Lenovo Yoga 7i, Acer Chromebook Plus Spin 514, HP OmniBook 5, HP OmniBook X Flip 16, Acer Aspire 14 AI, oraz Dell 14 Plus. Tekst prezentuje konkretne rekomendacje, zwracając uwagę na wydajność, specyfikacje techniczne oraz przeznaczenie poszczególnych laptopów dla różnych grup użytkowników, takich jak studenci, profesjonaliści czy gracze.

W III kwartale 2025 roku świat cyberbezpieczeństwa był na progu znaczących wydarzeń. Organizacje ścigały sprawców ataków ransomware, międzynarodowe operacje likwidowały infrastrukturę złośliwego oprogramowania, a badacze wykrywali nowe rodziny ransomware i szpiegowskie oprogramowanie. Warto zauważyć, że atakujący coraz sprawniej wykorzystują luki w zabezpieczeniach, co wymaga szybkiej reakcji na nowe zagrożenia.

Grupa zagrożeń PlushDaemon używa im- plantu EdgeStepper do przeprowadzania ataków na połączenie pomiędzy strona- mi (AitM), kierując zapytania DNS do węzła przechwytującego, co umożliwia instalację złośliwego oprogramowania poprzez przechwycone aktualizacje oprogramowania. Atakują głównie znajdujące się w Azji firmy, używając zaawansowanych technik w celu uzyskania dostępu do systemów ofiar.

Zagrożenie związane z PlushDaemon wykorzystuje nieudokumentowane narzędzie sieciowe o nazwie EdgeStepper do ataków AitM. Grupa ta jest aktywna od co najmniej 2018 roku i przeprowadziła ataki na różne podmioty w różnych krajach, m.in. w Azji. Schemat ataku zaczyna się od kompromitacji urządzenia sieciowego, co pozwala na instalację caEdgeStepper, który manipuluje zapytaniami DNS w celu infekcji systemu złośliwym oprogramowaniem SlowStepper. Ostatecznym celem jest zdobycie danych i kontroli nad zainfekowanym systemem przez grupę PlushDaemon.

Atakujący mogą wykorzystać domyślne konfiguracje platformy ServiceNow Now Assist z sztuczną inteligencją generatywną i wykorzystać jej zdolności agentywne do przeprowadzania ataków wstrzykiwania monitów drugiego rzędu.

W artykule omówiono wykorzystanie konfiguracji domyślnej platformy sztucznej inteligencji generatywnej Now Assist ServiceNow do przeprowadzania ataków typu prompt injection. Atakujący mogą kopiować, eksfiltrować dane korporacyjne, modyfikować rekordy i eskalować uprawnienia poprzez manipulację agentami AI.

W trzecim kwartale 2025 r. ransomware wzrósł, a trzy grupy odpowiedzialne były za większość przypadków. Dostęp do systemów najczęściej uzyskiwano poprzez skompromitowane dane logowania do VPN-ów. Ważne jest wdrożenie wieloczynnikowej autoryzacji oraz polityk dostępu.

Fortinet poinformował o nowej podatności w FortiWeb, która została wykorzystana w atakach. Podatność o średnim stopniu ryzyka wymaga autoryzacji i pozwala na wykonanie nieautoryzowanego kodu na systemie.

Fortinet zwraca uwagę na świeżą lukę w zabezpieczeniach FortiWeb, która została już wykorzystana w atakach. Wadliwość o średniej ciężkości (CVE-2025-58034) pozwala potencjalnemu atakującemu na wykonanie nieautoryzowanego kodu na systemie docelowym poprzez spreparowane żądania HTTP lub polecenia CLI.

Podstępny zestaw phishingowy 2FA rozwija swoje możliwości poprzez dodanie funkcji Browser-in-the-Browser (BitB), ułatwiając mniej doświadczonym przestępcom cybernetycznym przeprowadzanie ataków na większą skalę.

Analiza podstępnego zestawu phishingowego Sneaky 2FA, który wprowadza funkcjonalność BitB, ułatwiając ataki przestępcom o mniejszych umiejętnościach. W artykule opisano także atak Passkey Pwned, wykorzystujący złośliwe rozszerzenia przeglądarki oraz sposoby obejścia metodyk odporności na phishing, takie jak atak downgrade przez zestaw Tycoon.

Amerykańskie prawo dotyczące bezpieczeństwa cybernetycznego CISA 2015 otrzymało krótkoterminowe przedłużenie w celu wznowienia działalności rządu USA po długotrwałym zamknięciu. Przedłużenie to, chociaż mile widziane przez fachowców, stawia pod znakiem zapytania długoterminową przyszłość ustawy.

Meta rozwija program bug bounty oraz wprowadza narzędzie WhatsApp Research Proxy, aby ułatwić badania nad platformą. Firma ogłosiła, że w tym roku wypłaciła ponad 4 miliony dolarów za niemal 800 sprawdzonych i ważnych raportów. Dodatkowo wprowadzono poprawki i ochronę przed scrapowaniem danych w WhatsApp.

Meta rozwija program nagród za błędy, zapewniając badaczom narzędzie WhatsApp Research Proxy oraz inicjatywę skupiającą się na zwalczaniu nadużyć platformy. Firma przyznała w tym roku ponad 4 miliony dolarów za prawie 800 ważnych zgłoszeń, dodając również nowe zabezpieczenia przeciwko scrapowaniu danych WhatsApp.

Artykuł mówi o znaczeniu bezpieczeństwa danych w chmurze, wskazując na konieczność uwzględnienia złożoności oraz różnorodności zasad oraz ryzyka. Zaprasza na bezpłatny webinar z ekspertami, którzy dzielą się praktycznymi wskazówkami dotyczącymi zabezpieczeń chmurowych. Podkreśla, że korzystanie z różnych platform w chmurze wymaga równowagi między innowacją a kontrolą dostępu, szczególnie w obliczu rosnącego zagrożenia ze strony cyberataków.

W tekście opisano wyzwania związane z bezpieczeństwem danych w chmurze, jak również zaproszenie do udziału w bezpłatnym webinarze na temat zabezpieczania chmurowych obciążeń i infrastruktury.

Przedstawiono szczegóły ataku cybernetycznego skierowanego na główną amerykańską firmę z branży nieruchomości, wykorzystującego nowatorskie narzędzie do zarządzania i kontroli (C2) o nazwie Tuoni. Atak z pomocą socjotechniki i steganografii nie powiódł się, jednak ukazuje ciągłe zagrożenie ze strony zastosowania narzędzi red teaming w celach złośliwych.

W artykule ujawniono szczegóły ataku cybernetycznego na amerykańską firmę nieruchomości, wykorzystującego nowatorskie narzędzie Tuoni C2. Atak, mimo niepowodzenia, pokazał ciągłe nadużycie narzędzi red teaming do celów złośliwych.

Analitycy wskazują, że irańscy hakerzy atakują przemysł lotniczy, lotnictwo i obronę w Bliskim Wschodzie, wykorzystując złośliwe oprogramowanie DEEPROOT i TWOSTROKE. Grupa UNC1549 przeprowadza sofistykowane ataki poprzez wykorzystanie dostawców zewnętrznych i zaufanych partnerów, aby zdobyć dostęp do głównych celów. Ich działania skupiają się na długoterminowej obecności po wykryciu oraz minimalizacji śladów śledczych.

Irańscy hakerzy wykorzystują szkodliwe oprogramowanie DEEPROOT i TWOSTROKE w atakach na przemysł lotniczy, lotnictwo i obronę na Bliskim Wschodzie. Grupa UNC1549 łączy różne techniki, włączając phishing, ataki na dostawców oraz wykorzystywanie relacji biznesowych dla włamania się do systemów celów. Ich działania cechują się długotrwałą inwigilacją i dyskrecją w celu zapewnienia ciągłości ataku.

Zaawansowana tkanina bezpieczeństwa tożsamości integruje różnorodne funkcje dotyczące tożsamości, zapewniając ochronę zarówno dla ludzi, maszyn, jak i agentów SI. Poprzez eliminację narzędzi tożsamości działających w izolacji, tkanina zapewnia kompleksową i spójną ochronę oraz umożliwia skuteczną reakcję na zagrożenia cybernetyczne.

Tkanina bezpieczeństwa tożsamości (ISF) to spójny ramowy układ architektoniczny łączący różnorodne zdolności tożsamości. Poprzez ISF, zarządzanie tożsamością i administracją (IGA), zarządzanie dostępem (AM), zarządzanie dostępem uprzywilejowanym (PAM) oraz wykrywanie i reagowanie na zagrożenia tożsamością są zintegrowane w jedną spójną płaszczyznę kontrolną. Więcej informacji na temat korzyści i kluczowych elementów tkaniny bezpieczeństwa tożsamości.

Odkryto siedem złośliwych pakietów npm wydanych przez jednego sprawcę inspirowanego usługą maskowania o nazwie Adspect, które mają na celu oszukanie ofiar i badaczy bezpieczeństwa, kierując ich na podejrzane strony związane z kryptowalutami.

Odkryto siedem złośliwych pakietów npm wykorzystujących usługę cloakingową Adspect do odróżnienia prawdziwych ofiar od badaczy bezpieczeństwa, przekierowując ich na podejrzane strony związane z kryptowalutami. Pakiety te zawierają szkodliwe oprogramowanie, które obejmuje mechanizm cloakingu i blokowanie działań dewelopera w celu utrudnienia analizy.

Firma Checkout.com po uzyskaniu dostępu do danych przez hakerów publicznie przeprosiła za incydent, odrzuciła żądanie okupu i zamiast tego przekazała pieniądze na cele badawcze w dziedzinie cyberbezpieczeństwa. Mimo szybkiej i jasnej reakcji, nadal istnieje ryzyko związanego z przestarzałym systemem, co podkreśla ważność działań proaktywnych w zakresie zabezpieczeń danych, aby uniknąć podobnych incydentów.

Microsoft poinformował o automatycznym wykryciu i zneutralizowaniu ataku typu DDoS o mocy 15,72 Tbps i blisko 3,64 miliarda pakietów na sekundę. Atak ten pochodził z botnetu IoT o nazwie AISURU i był największym atakiem DDoS widzianym w chmurze. Botnet AISURU był zasilany przez około 300 000 zainfekowanych urządzeń, a ataki z jego użyciem dotyczyły głównie gier online.

Microsoft poinformował o zneutralizowaniu ataku DDoS o mocy 15.72 Tbps i 3.64 mld pakietów na sekundę, przeprowadzonego przez botnet AISURU. Atak ten był największym obserwowanym w chmurze, a botnet AISURU napędzany jest przez około 300 000 zainfekowanych urządzeń IoT, przede wszystkim routery, kamery bezpieczeństwa oraz rejestratory DVR.

Google wydał poprawki zabezpieczeń dla przeglądarki Chrome, aby rozwiązać dwie luki bezpieczeństwa, w tym jedną, która jest aktywnie wykorzystywana przez cyberprzestępców. Aktualizacja obejmuje poprawki dla CVE-2025-13223 i CVE-2025-13224, które wykorzystują błąd typu konfuzji w silniku JavaScript i WebAssembly V8.

Google wypuścił aktualizacje bezpieczeństwa dla przeglądarki Chrome, aby zlikwidować dwie wady, w tym jedną, która była aktywnie wykorzystywana w środowisku zewnętrznym. Aktualizacja adresuje lukę typu konfuzja w silniku V8 JavaScript i WebAssembly, pozwalającą na wykonanie arbitralnego kodu lub awarię programu.

Badacze cyberbezpieczeństwa odkryli kampanie malware'u wykorzystujące taktykę inżynierii społecznej ClickFix do rozprzestrzeniania Amatera Stealer i NetSupport RAT. Amatera oferuje cyberprzestępcom rozległe możliwości kradzieży danych, a NetSupport RAT jest uruchamiany w zależności od określonych warunków. Odkrycie to wpisuje się w większy kontekst kampanii phishingowych propagujących różne rodziny malware'u.

Badacze cyberbezpieczeństwa odkryli nową kampanię złośliwego oprogramowania wykorzystującą sprawdzoną taktykę inżynierii społecznej ClickFix do dystrybucji Amatera Stealer i NetSupport RAT. Odkrycia skupia się eSentire pod nazwą EVALUSION. Przestępcy internetowi korzystają z zaawansowanych technik unikania wykrycia, a ofiarą są użytkownicy wprowadzeni w błąd za pomocą przekierowań na fałszywe strony phishingowe.

Tydzień pokazał, jak szybko mogą się pojawić problemy, gdy nikt nie pilnuje. Ataki były ciche i podstępne, wykorzystując zaufane narzędzia codziennego użytku. Społeczeństwo przestępcze buduje systemy, wykorzystując aplikacje i usługi biznesowe do zarabiania pieniędzy, szpiegowania lub rozprzestrzeniania złośliwego oprogramowania. Konieczne jest zachowanie czujności, obserwacja najnowszych zagrożeń i zabezpieczenie się przed nimi.

Podsumowanie zawiera analizę ataków cybernetycznych, wykorzystanie podatności w Fortinet, zagrożenia związane z aplikacjami AI, oraz wskazówki dotyczące zabezpieczania ruchu aplikacji mobilnych. Istotne ostrzeżenia dotyczące patchy i kluczowe zagrożenia w kontekście cyberbezpieczeństwa.

LinkedIn stał się głównym celem ataków phishingowych z powodu braku monitorowania z zewnątrz. Skala ataków i brak możliwości blokowania sprawiają, że LinkedIn jest używany do ataków spear-phishingowych na czołowych pracowników firm. Atakujący wykorzystują kradzież kont i bezpieczne wiadomości bez analizy, by dotrzeć do celu. Phishing na LinkedIn może prowadzić do ogromnych szkód finansowych i naruszeń bezpieczeństwa.

Ataki phishingowe przenoszą się poza skrzynkę odbiorczą e-mail, a LinkedIn staje się popularnym celem ataków. Przyjrzyjmy się, dlaczego phishing na LinkedIn jest tak skuteczny i dlaczego firmy powinny się na niego przygotować.

Dragon Breath, znany jako APT-Q-27 oraz Golden Eye, używa wieloetapowego narzędzia ładowania o kodowej nazwie RONINGLOADER do dostarczenia zmodyfikowanej wersji trojana zdalnego dostępu Gh0st RAT. Kampania skierowana głównie do użytkowników mówiących po chińsku wykorzystuje zainfekowane instalatory NSIS udające legitymacyjne aplikacje takie jak Google Chrome i Microsoft Teams. Grupa hakerska jest aktywna od co najmniej 2020 roku i wiązana z większą chińskojęzyczną jednostką Miuuti Group, atakującą branże gamingu online i hazardu. W ostatniej dokumentowanej kampanii installer NSIS aktywuje dwa kolejne zagnieżdżone installery, z których jeden instaluje legalne oprogramowanie, a drugi wzmacnia atak. RONINGLOADER próbuje usuwać haki użytkownika, podwyższać uprawnienia, unikać programów antywirusowych i uruchamiać proces ataku.

Dragon Breath, znany pod nazwami APT-Q-27 i Golden Eye, wykorzystuje multi-stage loader RONINGLOADER do dostarczenia zmodyfikowanej wersji trojana zdalnego dostępu Gh0st RAT. Kampania ta jest skierowana głównie do użytkowników posługujących się językiem chińskim i wykorzystuje złośliwe instalatory NSIS podszywające się pod legitymalne aplikacje takie jak Google Chrome czy Microsoft Teams. Zespół hackingowy działa od co najmniej 2020 roku i jest powiązany z większym, chińskojęzycznym podmiotem znany jako Grupa Miuuti, atakujący branżę gier online i hazardowych. Ostatecznym celem załadowywania złośliwych plików jest wstrzymanie procesów bezpieczeństwa, umożliwiając wdrożenie Gh0st RAT.

Google ogłosił, że dalsze przyjęcie języka programowania Rust w Androidzie spowodowało, że liczba podatności dotyczących bezpieczeństwa pamięci spadła poniżej 20% wszystkich podatności po raz pierwszy. Wprowadzenie Rusta skutkowało znacznym zmniejszeniem zagrożeń i usprawnieniem procesu dostarczania oprogramowania, co sprawia, że bezpieczeństwo idzie w parze z efektywnością. Google planuje rozszerzyć korzyści związane z bezpieczeństwem i produktywnością Rusta na inne obszary ekosystemu Androida, w tym na jądro, firmware i istotne aplikacje pierwszej strony, takie jak Nearby Presence, Message Layer Security (MLS) i Chromium.

Google ujawniło, że ciągłe wprowadzanie języka programowania Rust do Androida spowodowało spadek liczby podatności związanych z bezpieczeństwem pamięci poniżej 20% wszystkich podatności. Przejście to przyniosło również wzrost wydajności i przyspieszenie procesu dostarczania oprogramowania.

Botnet RondoDox wykorzystuje lukę w zabezpieczeniach serwerów XWiki, aby zwiększyć liczbę urządzeń w swoim botnetowym ataku. Exploit CVE-2025-24893 stanowi zagrożenie dla systemów, a agencje rządowe zostały zobowiązane do stosowania niezbędnych łatek. Wzrost prób wykorzystania luki w zabezpieczeniach wskazuje na szeroką aktywność zagrożeń, włącznie z botnetem RondoDox, który szybko dodaje nowe wektory ataku.

Analiza zwięzła artykułu o cyberbezpieczeństwie dotyczącego malwara RondoDox, który wykorzystuje niezałatane instancje XWiki do zwiększenia liczby urządzeń w swoim botnetcie.

Pięciu jednostek przyznało się do wspierania nielegalnych działań związanych z generowaniem przychodów przez Koreę Północną, umożliwiając oszustwa pracowników IT i podszywanie się pod firmy amerykańskie.

Pięciu osobom zarzucono pomaganie w generowaniu dochodów dla Korei Północnej poprzez oszustwa ze współpracownikami IT poza USA, wykorzystując ich tożsamości oraz podszywając się pod nich. Dochody miały być przeznaczone na programy zbrojeniowe. Za działalność fałszywych zatrudnień odpowiada zarówno personel wspierający IT z zagranicy, jak i dostarczający skradzione dane. USA podejmują działania w celu zwalczania tych działań i przeciwdziałania przeznaczaniu środków na cele reżimu w Korei Północnej.

Badacz zespołu skombinował spożycie kalorii przez krótkopłetwą pilotową wielorybicę, łącząc dane z różnych źródeł, takich jak ruch z tagów satelitarnych, pomiary ciała z dronów czy analiza żołądków wielorybów. Dowiedział się, że typowa wielorybica zjada między 82 a 202 kałamarnic na dzień, a rocznie około 74 000 kałamarnic na wieloryba. Dla wszystkich wielorybów w okolicy oznacza to około 88 000 ton kałamarnic spożywanych rocznie.

Północnokoreańscy sprawcy zagrożenia stojący za kampanią Contagious Interview ponownie zmienili taktykę, wykorzystując usługi przechowywania JSON do dostarczania złośliwych ładunków. Podstęp polega na zbliżaniu się do potencjalnych celów na stronach networkingowych takich jak LinkedIn, instruując je do pobrania demo projektu hostowanego na platformach takich jak GitHub, GitLab lub Bitbucket, który w rzeczywistości zawiera złośliwe oprogramowanie.

Grupa północnokoreańskich hakerów stosuje usługi przechowywania JSON do przeprowadzania ataków z użyciem złośliwego oprogramowania, podszywając się pod projekty kodu, aby ukryć etapowe ładunki i pozyskać wrażliwe dane.

Odkryto krytyczne podatności umożliwiające zdalne wykonanie kodu w popularnych silnikach wnioskowania sztucznej inteligencji, a także zagrożenia związane z nowymi atakami na przeglądarki i środowiska programistyczne AI.

Badacze cyberbezpieczeństwa odkryli krytyczne luki umożliwiające zdalne wykonanie kodu w głównych silnikach wnioskowania sztucznej inteligencji, w tym w projektach Meta, Nvidia, Microsoft oraz na otwartoźródłowej platformie PyTorch.

Iraniańska grupa APT42 rozpoczęła kampanię szpiegowską o nazwie SpearSpecter, skierowaną na wysoko postawionych urzędników obronnych i rządowych, wykorzystując zaawansowane techniki inżynierii społecznej. Działania te mają na celu zdobycie poufnych informacji i dostępu do kluczowych systemów, korzystając z złożonych ataków cybernetycznych.

Iraniańska grupa APT42 przeprowadza kampanię szpiegowską o nazwie SpearSpecter, targetując wysoko postawionych urzędników obronnych i rządowych poprzez zaawansowane taktyki inżynierii społecznej. Kampania skupia się również na członkach rodzin celów, poszerzając powierzchnię ataku. Wykorzystując różne subgrupy, grupa APT42 stosuje skuteczne kampanie inżynierii społecznej, wykorzystując m.in. PowerShell backdoor TAMECAT do długoterminowego dostępu.

W trzecim kwartale 2025 roku liczba aktywnych grup ransomware i wymuszających okup osiągnęła rekordowe 85, co stanowi największą liczbę do tej pory. Rynek, który kiedyś był skoncentrowany wokół kilku gigantów oferujących ransomware-as-a-service (RaaS), rozpadł się na dziesiątki mniejszych, krótkotrwałych operacji. Fragmentacja ta niesie ze sobą szereg wyzwań dla profesjonalistów cyberbezpieczeństwa, osłabiając przewidywalność i wiarygodność rynku ransomware.

W trzecim kwartale 2025 r. fragmentacja rynku ransomware — dawniej zdominowanego przez duże grupy RaaS — doprowadziła do powstania wielu mniejszych, krótkotrwałych operacji. Obecność ponad 85 platform udostępniania danych o ofiarach świadczy o wzroście działań poza tradycyjnymi hierarchiami. Powrót LockBit 5.0 zapowiada możliwą rekoncentrację ransomware economy, wzmacniając jednocześnie problematyczną strukturę rynku. Ewolucja zagrożeń cybernetycznych w stronę działań marketingowych kontrastuje z obniżającymi się stawkami wypłat okupów i malejącym zaufaniem ofiar do obiecujących szyfrowania hakerów. W obliczu tych zmian należy monitorować mobilność affiliate, nakładanie się infrastruktury oraz ekonomiczne incentywy, które podtrzymują ransomware pomimo jego fragmentacji.

Cyberatak z wykorzystaniem sztucznej inteligencji AI przez hakerów ze wsparciem państwowym z Chin przeprowadzony we wrześniu 2025 r. na globalne cele, wykorzystując narzędzia takie jak Claude Code i MCP.

Organizacja państwowa z Chin zaangażowana w cyberzagrożenia wykorzystała technologię sztucznej inteligencji opracowaną przez firmę Anthropic do prowadzenia zautomatyzowanych ataków cybernetycznych w ramach wysoko zaawansowanej kampanii szpiegowskiej w połowie września 2025 r.

Ostrzeżenie przed lukiem uwierzytelniania w Fortinet FortiWeb, który umożliwia atakującemu przejęcie kont administratora i całkowite skompromitowanie urządzenia. Odkryto aktywne eksploatacje luki, która umożliwia dodanie nowego konta administratora przez atakujących. Konieczność pilnego zabezpieczenia systemów przed dostępem z zewnątrz oraz śledzenie nieautoryzowanych modyfikacji czy dodania nieuprawnionych kont administratorów.

Artykuł opisuje aktywną eksploatację luki w zabezpieczeniach Fortinet FortiWeb, która umożliwia atakującemu tworzenie kont administratora i całkowite skompromitowanie urządzenia. Wady zostały opisane, a autorzy zalecają podjęcie natychmiastowych działań naprawczych.

Grupa zagrożeń posługująca się językiem rosyjskim prowadzi masową kampanię phishingową, w ramach której zarejestrowano ponad 4 300 domen od początku roku. Atak ma na celu klientów branży hotelarskiej, zwłaszcza gości hotelowych z rezerwacjami podróży. Kampania rozpoczęła się w pełni w lutym 2025 roku i wykorzystuje zaawansowany zestaw phishingowy, oszukując ofiary, że dokonują płatności za rezerwację hotelu. Zagrożenie obejmuje 43 różne języki, a strony fałszywe udające autentyczność wykorzystują nazwy domen związane z rezerwacjami, potwierdzeniami i wpłatami.

Rosyjskojęzyczna grupa przestępcza przeprowadza masową kampanię phishingową, rejestrując ponad 4 300 domen od początku roku. Atak skoncentrowany jest na klientach branży hotelarskiej, zwłaszcza gościach hotelowych, korzystających z popularnych platform rezerwacyjnych.

Złośliwe rozszerzenie udające prawidłowy portfel Ethereum w przeglądarce Chrome zostało odkryte przez badaczy cyberbezpieczeństwa. Nazywa się ono „Safery: Ethereum Wallet” i ma funkcjonalność kradzieży fraz-kluczy użytkowników, po czym przekodowuje je na adresy portfeli Sui, umożliwiając złoczyńcy podsłuchanie transakcji na blockchainie.

Odkryto złośliwe rozszerzenie do Chrome'a udające legitimacyjny portfel Ethereum, które w rzeczywistości kradnie frazy seed użytkowników, kodując je jako adresy portfela Sui i wysyłając mikrotransakcje z kontrolowanego przez cyberprzestępcę portfela. Zagrożeni są użytkownicy, a obrońcy zalecają skanowanie rozszerzeń i blokowanie podejrzanych zachowań.

W 2025 roku ponad 50-61% nowych podatności było wykorzystywanych w ciągu 48 godzin od ujawnienia. Szybkość reakcji atakujących i obrońców różni się diametralnie, wymagając natychmiastowych działań w zakresie bezpieczeństwa cybernetycznego. Automatyzacja, polityka i działania w tempie maszynowym stają się kluczowe dla skutecznej obrony przed atakami.

Ataki cybernetyczne stają się coraz bardziej szybkie, wyprzedzając łatki o długą metę. W odpowiedzi na szybkość ataków, organizacje muszą przejść na automatyzację i szybkie działanie, aby uniknąć kompromitacji. Przyszłość cyberbezpieczeństwa należy do tych, którzy podejmują natychmiastowe i wyważone działania.

Wspólna operacja organów ścigania Europolu i Eurojust doprowadziła do zakłócenia działalności rodzin szkodliwego oprogramowania Rhadamanthys Stealer, Venom RAT i botnetu Elysium. Włady sprawiający szkody cyberprzestępcy zostali zatrzymani, setki tysięcy zainfekowanych komputerów zostało oczyszczonych, a dziesiątki serwerów i domen przejętych, co oznacza znaczący cios w ekosystem cyberprzestępczy. Współdziałanie organów ścigania i sektora prywatnego odegrało kluczową rolę w tej operacji, zwalczając infrastrukturę wspierającą ransomware oraz groźne narzędzia cybernetyczne.

W ramach wspólnych działań prawniczych pod przewodnictwem Europolu i Eurojustu zaburzono rodziny złośliwego oprogramowania takie jak Rhadamanthys Stealer, Venom RAT oraz botnet Elysium. Operacja ta, przeprowadzona między 10 a 13 listopada 2025 r., jest najnowszą fazą działań operacji Koniec Gry, mającej na celu obalenie infrastruktur przestępczych i zwalczanie sprawców ransomware na całym świecie.

Biuletyn Zagrożeń analizuje najnowsze wydarzenia z dziedziny cyberbezpieczeństwa, których tematyka obejmuje nowe inicjatywy legislacyjne w Wielkiej Brytanii, naruszenia bezpieczeństwa przez byłego pracownika Intela, aktualizacje projektu OWASP, wycieki danych z firm AI, phishing na Facebooku, ulepszenia związane z przeglądarką Firefox oraz ataki phishingowe wykorzystujące nowe narzędzia i platformy technologiczne. Ostatnie wydarzenia potwierdzają, że świat cybernetyczny nigdy nie zwalnia tempa, a świadomość i uważność stanowią klucz do efektywnej obrony przed coraz bardziej zaawansowanymi zagrożeniami.

W artykule omówiono najnowsze wydarzenia z dziedziny cyberbezpieczeństwa, takie jak projekty prawne na rzecz wzmocnienia krajowej ochrony, przypadki wycieku danych, nowe puste zaznaczenia zagrożeń czy dostępność wsparcia dla menedżerów haseł. Opublikowano także wyniki badania dotyczącego wycieków tajnych informacji przez firmy zajmujące się sztuczną inteligencją oraz opisano nowe kampanie phishingowe. Również podjęto debatę na temat kontrowersyjnych zmian w wymogach dotyczących prywatności i bezpieczeństwa danych osobowych obywateli UE. Konkluzja wskazuje na nieustanny rozwój zagrożeń w cyberprzestrzeni, przy jednoczesnym postępie w dziedzinie ochrony danych i bezpieczeństwa.

Według najnowszych danych CISA odkryła krytyczną lukę bezpieczeństwa w oprogramowaniu WatchGuard Fireware, która została wykorzystana przez cyberprzestępców do ataków na ponad 54 000 Fireboxów. W celu zabezpieczenia się przed zagrożeniem, agencje federalne oraz użytkownicy powinni jak najszybciej zastosować aktualizacje udostępnione przez WatchGuard.

Krytyczny błąd bezpieczeństwa w oprogramowaniu WatchGuard Fireware został dodany do katalogu znanych wykorzystywanych podatności przez CISA. Wrażliwość dotyczy Fireware OS i pozwala na wykonanie arbitralnego kodu przez zdalnego atakującego. Ponad 54 000 urządzeń Firebox pozostaje podatnych na atak - zaleca się agencjom używającym tych urządzeń aktualizację do 3 grudnia 2025 roku.

Wielkoskalowa kampania spamu zalewa rejestr npm tysiącami fałszywych pakietów od początku 2024 roku, mając prawdopodobnie na celu finansowe motywacje. Złośliwe pakiety nazwano Robakami związku potraw indonezyjskich.

Badacze cybersecurity zwracają uwagę na masową kampanię spamową, która zalała rejestr npm tysiącami fałszywych pakietów od początku 2024 roku. Atak ma charakter prawdopodobnie motywowany finansowo.

W listopadzie Microsoft ogłosił 63 łaty dotyczące 13 rodzin produktów, z czego cztery z nich uznano za krytyczne. W ciągu kolejnych 30 dni firmie szacuje się, że pięć CVE może być bardziej podatnych na eksploatację. W tym miesiącu wiele problemów można wykryć bezpośrednio dzięki zabezpieczeniom Sophos. Wraz z łatami dla systemu Windows, w tym miesiącu opublikowano także poprawki dla Chrome i Adobe. Najważniejsze to CVE związane z wyższym niż 9.0 wynikiem CVSS, w tym luki w Microsoft Office i Windows. W raporcie znajdują się dodatkowe wytyczne dotyczące zabezpieczeń serwerów Windows oraz informacje na temat CVE przypisanych do różnych rodzin produktów.

Google złożył pozew sądowy przeciwko chińskim hakerom odpowiedzialnym za masową platformę phishingową o nazwie Lighthouse, która przyniosła ponad miliard dolarów zysków w ciągu ostatnich trzech lat. Pozew ma na celu rozbiórkę infrastruktury działającej pod przewodnictwem Act Racketeer Influenced and Corrupt Organizations, Ustawy Lanham oraz Ustawy o oszustwach komputerowych.

Google złożył pozew przeciwko hakerom z Chin, którzy stoją za masową platformą Phishing-as-a-Service o nazwie Lighthouse, oszukującą użytkowników na całym świecie. Pozew ma na celu rozbicie infrastruktury hakerów działających pod szyldem RICO Act, Lanham Act i Computer Fraud and Abuse Act, a także wyjaśnienie złożonego ekosystemu cyberprzestępczości działającego z Chin.

Raport Amazona ujawnił wykorzystanie dwóch luki zero-day w produktach Cisco ISE i Citrix NetScaler, zwracając uwagę na coraz bardziej zaawansowane zagrożenia dla infrastruktury kontrolującej dostęp do sieci.

Zespół inteligencji zagrożeń Amazona ujawnił wykorzystywanie dwóch luk zerodniowych w Cisco ISE i Citrix NetScaler ADC w atakach z użyciem własnego oprogramowania malware. Ataki zostały zauważone dzięki sieci MadPot, a wykorzystywany backdoor umożliwiał monitorowanie i modyfikowanie ruchu sieciowego. Incydent podkreśla konieczność wdrażania kompleksowych strategii obronnych.

Zapoznaj się z nowym podejściem do redukcji dynamicznej powierzchni ataku, które pomaga zespołom bezpieczeństwa zamykać luki zanim natrafią na nie atakujący.

Zarejestruj się na bezpłatny webinar dotyczący cyberbezpieczeństwa, aby dowiedzieć się, jak Dynamiczne Ograniczenie Powierzchni Ataku pomaga zespołom bezpieczeństwa zamykać luki przed atakującymi, zapewniając spokojne i pewne zapobieganie problemom zamiast ich ścigania.

Active Directory pozostaje rdzeniem uwierzytelniania dla ponad 90% przedsiębiorstw z listy Fortune 1000. Atakując Active Directory, atakujący zyskują kontrolę nad całą siecią, powodując poważne konsekwencje, jak pokazał incydent związany z Change Healthcare w 2024 roku. W obliczu coraz bardziej zaawansowanych ataków, konieczne jest wprowadzenie podejścia wielowarstwowego, które adresuje kradzież danych uwierzytelniających, zarządzanie przywilejami oraz ciągłe monitorowanie.

W artykule przedstawiono potrzebę wzmocnienia bezpieczeństwa Active Directory z uwagi na rosnące zagrożenia i skomplikowaną strukturę, która stanowi kuszący cel dla atakujących. Przedstawiono także konkretne przypadki ataków oraz zalecenia dotyczące zabezpieczeń, w tym polityk hasłowych, zarządzania przywilejami, monitorowania ciągłego i podejścia zero trust.

Microsoft wydał patche na 63 nowe luki bezpieczeństwa w swoim oprogramowaniu, w tym jeden wykorzystywany w działaniach atakujących. Najważniejszą podatnością jest zerodniowa luka w jądrze Windows, umożliwiająca eskalację uprawnień.

Microsoft wydał łatki dla 63 nowych luk bezpieczeństwa w swoim oprogramowaniu, w tym zerodniowej luki w Windows Kernel. Aktualizacje obejmują także luki w Microsoft Edge oraz inne ważne podatności, takie jak eksploatacje przywilejów w jądrze systemu Windows i przepełnienia bufora w komponentach graficznych Microsoftu.

Google zaprezentował technologię Private AI Compute, która umożliwia bezpieczne przetwarzanie zapytań sztucznej inteligencji w chmurze, jednocześnie chroniąc prywatność użytkowników. Mechanizm ten oparty jest na Trillium Tensor Processing Units (TPUs) i Titanium Intelligence Enclaves (TIE), zapewniając pełną wydajność i moc modeli Gemini przy jednoczesnym zapewnieniu poufności danych osobowych.

Google prezentuje nową technologię poprawiającą prywatność, nazwaną Prywatne Obliczenia AI, z myślą o przetwarzaniu zapytań sztucznej inteligencji w bezpiecznej platformie w chmurze.

Artykuł dotyczy ostrzeżeń Microsoftu dotyczących wykrytych luk zerodniowych i krytycznych błędów zero-click w bezpieczeństwie. Należy podjąć natychmiastowe działania w celu zabezpieczenia systemów przed potencjalnymi atakami.

Malware 'Maverick' to nowe zagrożenie atakujące brazylijskie banki poprzez WhatsApp. Jest podobny do wcześniejszego Coyote, działa na komputerach użytkowników w Brazylii, monitoruje aplikacje bankowe i rozmawia z serwerem zdalnym w celu kradzieży danych logowania do kont bankowych. Trend Micro uważa, że Maverick może być ewolucją Coyote, choć Kaspersky traktuje go jako zupełnie nowe zagrożenie. Malware wykorzystuje skrypty PowerShell i Visual Basic Script, aby kontrolować sesje przeglądarki i rozprzestrzeniać złośliwe pliki ZIP za pośrednictwem WhatsApp. Atak koncentruje się na użytkownikach w Brazylii, a jego efektywność wynika z popularności WhatsApp w tym kraju.

Odkryto nowe złośliwe oprogramowanie Maverick rozprzestrzeniane poprzez WhatsApp, które atakuje brazylijskie instytucje finansowe. Program jest zdolny do monitorowania aktywnych sesji przeglądarek w poszukiwaniu stron bankowych oraz rozpowszechniania się przez WhatsApp Web. Trend Micro wskazuje na podobieństwa z wcześniej znanym oprogramowaniem Coyote, sugerując, że Maverick może być jego ewolucją. CyberProof oraz Sophos potwierdzają złożoność nowego łańcucha ataku, który umożliwia kradzież danych i kontrolę nad zainfekowanymi urządzeniami.

GootLoader, związanym z grupą groźnych cyberprzestępców Hive0127, ponownie się pojawił, wykorzystując nową metodę ukrywania malwara na stronach WordPress. Oprogramowanie wykorzystuje m.in. niestandardowe czcionki WOFF2 do maskowania nazw plików i atakuje z wykorzystaniem tzw. zakażonych archiwów ZIP. Przestępcy rozprzestrzeniają to zagrożenie przede wszystkim za pomocą taktyki manipulowania wynikami wyszukiwania w celu dostarczenia dodatkowych ładunków, w tym ransomware'u.

Złośliwe oprogramowanie GootLoader powróciło, wykorzystując niestandardowe czcionki WOFF2 do zamaskowania nazw plików, atakując strony WordPress. Atak polega na przekierowywaniu użytkowników za pomocą oszukujących fraz w wyszukiwarkach oraz ukrywaniu prawdziwej natury plików ZIP za pomocą trików obfuscacji.

Ataki na łańcuch dostaw z wykorzystaniem technologii AI wzrosły o 156% w zeszłym roku. Poznaj dlaczego tradycyjne obrony zawodzą i co CISO powinien zrobić teraz, aby chronić swoje organizacje.

Ataki na łańcuchy dostaw z wykorzystaniem sztucznej inteligencji wzrosły o 156% w zeszłym roku. Artykuł analizuje nowe, bardziej zaawansowane ataki oraz przedstawia konieczne działania, jakimi muszą teraz zająć się specjaliści ds. bezpieczeństwa informatycznego CISO, aby chronić swoje organizacje.

Odkryto złośliwy pakiet npm o nazwie „@acitons/artifact”, który podszywa się pod prawdziwy pakiet „@actions/artifact” z zamiarem atakowania repozytoriów należących do GitHub. Pakiet ten zawierał szkodliwe skrypty mające na celu kradzież tokenów i publikację złośliwych artefaktów jako GitHub. Szerokość ataku była ograniczona do repozytoriów należących do GitHub oraz użytkownika „y8793hfiuashfjksdhfjsk”.

Złośliwy pakiet npm o nazwie „@acitons/artifact” został odkryty przez badaczy cyberbezpieczeństwa. Pakiet ten ma na celu zastąpienie prawidłowego pakietu „@actions/artifact” i jest skonfigurowany w taki sposób, aby atakować repozytoria GitHuba. W pakiecie wykryto szereg wersji, które zawierały złośliwe skrypty pobierające i uruchamiające malware. Microsoft, właściciel GitHuba, potwierdził, że pakiety te były częścią ćwiczeń Red Team i nie stanowiły zagrożenia dla systemów ani danych GitHuba.

Fantasy Hub to nowy trojan zdalnego dostępu dla systemu Android, oferowany na rosyjskojęzycznych kanałach Telegram jako usługa Malware-as-a-Service. Malware ten umożliwia kontrolę urządzenia oraz szpiegostwo, zagrażając głównie użytkownikom korzystającym z bankowości mobilnej.

Nowy trojan zdalnego dostępu Fantasy Hub na system Android staje się usługą Malware-as-a-Service (MaaS), przekształcając Telegram w narzędzie dla cyberprzestępców. Usługa umożliwia kontrolę urządzenia, szpiegostwo oraz zbieranie danych, stanowiąc bezpośrednie zagrożenie dla przedsiębiorstw i użytkowników korzystających z bankowości mobilnej.

Odkryto eksploatację luki zapewniającej dostęp N-day w Triofox, co pozwoliło atakującym na instalowanie złośliwego oprogramowania poprzez funkcję antywirusową. Sugeruje się aktualizację i audyt kont administatorów w celu zapewnienia bezpieczeństwa.

Firma Google's Mandiant Threat Defense ujawniła wykorzystanie luki bezpieczeństwa w Triofox przez grupę zagrożenia UNC6485, umożliwiającej zdalne uruchamianie szkodliwego oprogramowania. Atakujący wykorzystali niezabezpieczony dostęp, aby uzyskać kontrolę nad konfiguracją i infiltrować system wykorzystując mechanizm antywirusowy.

Grupa cyberprzestępcza związana z Koreą Północną, Konni, przeprowadziła nową serię ataków wymierzonych w urządzenia z systemem Android oraz Windows w celu kradzieży danych i zdalnej kontroli. Atakujący udają doradców psychicznych i aktywistów praw człowieka z Korei Północnej, rozprowadzając złośliwe oprogramowanie podszywające się pod programy łagodzące stres. Zauważalne jest także wykorzystanie przez nich usługi śledzenia aktywów Google'a, Find Hub, do zdalnego resetowania urządzeń ofiar, co prowadzi do nieautoryzowanego usuwania danych osobistych. Atak został wykryty we wrześniu 2025 roku. Konni po raz pierwszy użyła legalnych funkcji zarządzania do zdalnego resetowania urządzeń mobilnych, prowadząc do kradzieży danych, zdalnego monitorowania systemu oraz kradzieży danych logowania.

W minionym tygodniu ataki cybernetyczne nie zwolniły tempa, a atakujący stają się coraz bardziej sprytni. Malware ukryty w maszynach wirtualnych, wycieki informacji związane z chatami opartymi na sztucznej inteligencji, czy też cichy spyware celujący w urządzenia z systemem Android, to tylko część widocznego zagrożenia. Odkrycia wskazują na ewolucję cyberprzestępczości, gdzie granice między technicznym kamuflażem a strategiczną koordynacją zacierają się.

W ostatnim tygodniu cyberzagrożenia nie zwolniły tempa, a atakujący stają się coraz bardziej sprytni. Artykuł porusza tematy związane z ukrywaniem złośliwego oprogramowania w maszynach wirtualnych, wyjawianiem rozmów AI oraz cichym atakowaniem urządzeń z systemem Android. Należy zwrócić uwagę, że cyberprzestępczość szybko ewoluuje, a granice między techniczną dyskrecją a strategiczną koordynacją zaciekliwie się zacierają.

Raport o bezpieczeństwie przeglądarek ujawnia, że wiele ryzyk związanych z tożsamością, usługami SaaS i AI koncentruje się w przeglądarce użytkownika, tworząc nowe zagrożenia. Rozwijające się zagrożenia obejmują m.in. niewłaściwie zarządzane rozszerzenia, narzędzia GenAI dostępne przez konta osobiste, skopiowanie wrażliwych danych do pól wiadomości oraz sesje omijające uwierzytelnianie SSO. Raport analizuje te i inne kluczowe wyniki oraz zmieniające się siedlisko kontroli w bezpieczeństwie przedsiębiorstw.

Raport o bezpieczeństwie przeglądarek z 2025 roku ukazuje, że największe ryzyka związane z tożsamością, SaaS oraz sztuczną inteligencją zbiegają się w jednym miejscu - w przeglądarce użytkownika. Artykuł analizuje kluczowe wnioski z raportu i ukazuje zmieniające się miejsce kontroli w bezpieczeństwie przedsiębiorstw, zwracając uwagę na pojawiające się zagrożenia związane z rozwojem GenAI i 'agentic' AI przeglądarek, które stanowią nowe obszary ataku, omijając tradycyjne narzędzia bezpieczeństwa.

Grupa cyberbezpieczeństwa Sekoia zidentyfikowała olbrzymią kampanię phishingową wymierzoną w branżę hotelarską, która wykorzystuje taktykę ClickFix do zbierania danych logowania menedżerów hoteli i instaluje złośliwe oprogramowanie PureRAT. Atakujący za pomocą złożonej operacji wykorzystują naruszone konta e-mail do wysyłania złośliwych wiadomości do wielu hoteli, udając firmę Booking.com. Ich celem jest kradzież danych logowania, umożliwiających nieautoryzowany dostęp do platform rezerwacyjnych takich jak Booking.com czy Expedia.

Zaawansowana kampania phishingowa skupiająca się na branży hotelarskiej, celująca w menedżerów hoteli, by wykradać ich dane logowania i wykorzystująca malware jak PureRAT. Atakujący wykorzystują m.in. spoofing wiadomości od Booking.com, aby przekierować ofiary na złośliwe strony, co prowadzi do kradzieży danych logowania oraz oszustw na platformach rezerwacyjnych. Złożone oprogramowanie napastnika wspiera szereg funkcji, a atakujący kupują skradzione dane z hoteli w celu dalszego wykorzystania w działaniach przestępczych.

Raport przedstawia wybrane działania grup APT zbadanych i przeanalizowanych przez ESET Research w okresie od kwietnia do września 2025 roku. Opisuje on istotne trendy i rozwój zagrożeń oraz zawiera jedynie niewielką część danych wywiadowczych w zakresie cyberbezpieczeństwa dostarczanych klientom raportów APT firmy ESET.

Rozpoznawana jest eksploatacja podatności na zdalne wykonanie kodu w usłudze Windows Server Update Service (WSUS) firmy Microsoft, na skutek której pozyskiwane są wrażliwe informacje z serwerów WSUS. Przeprowadzono analizę techniczną podatności oraz udostępniono kod proof-of-concept na GitHub, co wymusiło wydanie pilnej aktualizacji bezpieczeństwa przez firmę Microsoft. Wiele środowisk klientów Sophos zostało zaatakowanych, a skradzione dane trafiły na publiczne adresy użycia webhook.site. Rekomendowane są działania zapobiegawcze dla organizacji korzystających z usługi WSUS.