CyberCafe - Aktualności Cyberbezpieczeństwa

Grupa APT31, znana również jako Altaire, Bronze Vinewood, Judgement Panda czy RedBravo, przeprowadziła ataki cybernetyczne na sektor rosyjskiej informatyki w latach 2024-2025, pozostając niezauważona przez dłuższy czas. Ataki charakteryzują się wykorzystaniem legalnych usług chmurowych, takich jak Yandex Cloud, w celu uniknięcia wykrycia.

Chińska grupa APT31, znana także jako Altaire, Bronze Vinewood, Judgement Panda czy Red Keres, przeprowadzała cyberataki na sektor rosyjskiej informatyki w latach 2024-2025, pozostając niezauważoną przez długi czas. Ataki charakteryzowały się wykorzystaniem usług chmurowych, takich jak Yandex Cloud, do kontroli poleceń i eksfiltracji danych, w celu kamuflowania się i uniknięcia wykrycia.

W atakach phishingowych używane są powiadomienia przeglądarki do rozpowszechniania złośliwych linków przez nową platformę Matrix Push C2. Atak polega na nakłonieniu potencjalnych celów do zezwolenia na powiadomienia przez techniki inżynierii społecznej na stronach złośliwych lub kompromitowanych. Artykułszczegółowo opisuje sposób działania narzędzia oraz jego rozpowszechnianie i wykorzystywanie w cyberprzestępczości.

Nowa platforma Matrix Push C2 wykorzystuje powiadomienia przeglądarki do ataków phishingowych, omijając tradycyjne zabezpieczenia. Zestaw narzędzi jest oferowany jako MaaS przez modele subskrypcji, a jego celem jest kradzież danych i monetyzacja dostępu.

ZDNET zbiera ogromne ilości danych z różnych źródeł, aby rekomendować najwyższej jakości produkty. Redakcja dba o precyzję informacji, oferując czytelnikom rzetelne porady dotyczące zakupów sprzętu technologicznego i innych produktów. Nagrodzeni w 2025 roku producenci koncentrują się na nowatorskich rozwiązaniach, od telefonów po sprzęt domowy, oferując użytkownikom wysoką jakość i funkcjonalność.

Artykuł opisuje wprowadzone przez Microsoft nowe agenty bazujące na sztucznej inteligencji, które mają pomóc w zapobieganiu atakom hakerskim. Agenty te integrują się z istniejącymi narzędziami firmy, umożliwiając działaniom bezpieczeństwa przechodzenie od reaktywnych działań do proaktywnych strategii.

ZDNET's Best of 2025 to coroczne nagrody przyznawane najwydajniejszym gadżetom i wynalazkom roku, od 100-calowych telewizorów po inteligentne pierścienie i chatboty oparte na sztucznej inteligencji. Wśród wygranych znajdują się nowoczesne urządzenia, które przeszły testy rzeczywistych zastosowań, oferując innowacyjne rozwiązania w branży technologii. Nie zabrakło także wyróżnienia dla narzędzi wspierających profesjonalne procesy, jak generatywna sztuczna inteligencja czy nowoczesne urządzenia do czyszczenia. Rok 2025 przynosi nowe standardy w dziedzinie ochrony prywatności, innowacyjnych produktów dla domu inteligentnego oraz rozwiązań poprawiających wydajność i wszechstronność urządzeń mobilnych. Jest to zbiór inspirujących technologicznych rozwiązań, które zmieniają sposób korzystania z nowoczesnych gadżetów i usług.

Cyberprzestępcy wykorzystują nowo odkrytą platformę Matrix Push C2 do dostarczania złośliwego oprogramowania poprzez fałszywe powiadomienia w przeglądarkach internetowych. Platforma ta umożliwia monitorowanie zainfekowanych klientów w czasie rzeczywistym i skanowanie portfeli kryptowalutowych. Atak opisany jest jako 'bezplikowy' ze względu na wykorzystanie systemu powiadomień przeglądarki, co eliminuje potrzebę tradycyjnego pliku z złośliwym oprogramowaniem na początku. Aby przeciwdziałać tej groźbie, zaleca się stosowanie technologii ADX, skupionej na blokowaniu ruchu wychodzącego.

APT24, znany także jako Pitty Tiger, wykorzystuje nowe złośliwe oprogramowanie o nazwie BADAUDIO w trwającym od lat szpiegowskim ataku na Tajwan oraz sektory rządowe, opieki zdrowotnej, budowlane, inżynieryjne, górnicze, pozarządowe i telekomunikacyjne. Grupa stosuje zaawansowane techniki, w tym kompromitację zaopatrzenia, tarcia zaopatrzeniowe i hakerstwo celowane, demonstrując zdolność do wydobywania danych i adaptacyjnego szpiegostwa.

Grupa groźna APT24, znana z Chin, używa wcześniej nieudokumentowanego malware'a o nazwie BADAUDIO, aby uzyskać stały zdalny dostęp do skompromitowanych sieci w ramach blisko trzy letniej kampanii. Atakują organizacje na Tajwanie, wykorzystując zaawansowane wektory, takie jak ataki phishingowe czy kompromitacje dostaw łańcucha, co stanowi poważne zagrożenie dla cyberbezpieczeństwa. Kampania BADAUDIO trwa od listopada 2022 roku, a atakujący wykorzystują skomplikowane techniki ochrony, takie jak blokowanie odwrotnego inżynierowania, aby zwiększyć skuteczność zainfekowania systemów ofiar.

Analizowany artykuł omawia nietypowe podejście do cyberbezpieczeństwa, które wykorzystuje napełnianie kodu CSS w celu omijania filtrów bezpieczeństwa. Osadzona w nim strona atakująca zawierała nadmiarowy kod CSS, mający potencjalnie zmienić profil statystyczny strony HTML i uniknąć wykrycia przez systemy heurystyczne. Autor spekuluje, że technika ta ma na celu obejście mniej skutecznych filtrów bezpieczeństwa. Jednakże wymaga to dalszej weryfikacji.

Botnet Tsundere aktywnie się rozwija, atakując użytkowników systemu Windows poprzez instalację złośliwego oprogramowania. Botnet wykorzystuje metody takie jak przynęty z gier oraz centrala C2 oparta na Ethereum, co sprawia, że jest trudny do wykrycia. Analiza Kaspersky'ego ujawniła złożone strategie funkcjonowania botnetu oraz jego rosyjskie pochodzenie, sugerując powiązania z innymi kampaniami złośliwego oprogramowania.

Botnet Tsundere to aktywnie rozwijająca się sieć botów, która atakuje użytkowników Windows poprzez wykorzystanie fałszywych instalatorów gier oraz komunikacji z serwerem C2 opartym na Ethereum. Atakujący korzystają z skryptów JavaScript do uruchamiania złośliwego oprogramowania przeciwdziałającego.

Aktualny przewodnik CISA i jego partnerów dotyczy sposobów ograniczania cyberprzestępczości wspieranej przez infrastrukturę Bulletproof Hosting, której dostawcy najczęściej ignorują prośby o usunięcie treści szkodliwych. Zalecane działania obejmują identyfikację zasobów internetowych, analizę ciągłego ruchu oraz wdrażanie automatycznych recenzji list blokujących, mających na celu ochronę systemów przed cyberzagrożeniami.

W tym tygodniu w świecie hakerstwa i cyberbezpieczeństwa działo się wiele. Od Tajlandii, przez Londyn aż do Stanów Zjednoczonych, widzieliśmy aresztowania, działających szpiegów i duże ruchy w sieci. Hakerzy zostają złapani, a szpiedzy robią postępy. Nawet proste rzeczy, jak dodatki do przeglądarek internetowych i inteligentne urządzenia w domu, są wykorzystywane do atakowania ludzi. Każdego dnia pojawia się nowa historia, pokazująca, jak szybko zmienia się walka o kontrolę nad internetem. Rządy zaostrzają karanie cyberprzestępców, duże firmy technologiczne spieszą się z naprawą bezpieczeństwa. Badacze znajdują słabe punkty w aplikacjach i urządzeniach, których codziennie używamy. Zobaczyliśmy fałszywych rekruterów pracy na LinkedIn szpiegujących ludzi, ogromne przypadki prania brudnych pieniędzy za pomocą kryptowalut oraz zupełnie nowe złośliwe oprogramowanie stworzone tylko po to, aby przełamać zabezpieczenia Apple dla systemu MacOS. Wszystkie te historie przypominają nam, że ta sama technologia, która usprawnia życie, może zostać łatwo przekształcona w broń.

W ciągu ostatniego tygodnia działo się wiele w świecie hakerstwa i bezpieczeństwa online. Zatrzymano hakerów, szpiedzy doskonalą swoje zdolności, a nawet proste rzeczy jak dodatki do przeglądarek czy inteligentne urządzenia domowe są wykorzystywane do ataków. Widać, jak szybko zmieniają się walki o internet. Rządy zaostrzają działania przeciwko cyberprzestępczości, duże firmy technologiczne spieszą się, by zabezpieczyć swoje systemy, a badacze odkrywają słabe punkty w codziennych aplikacjach i urządzeniach. Nowe historie przypominają, że technologia, która ułatwia życie, może być łatwo przekształcona w broń.

Google złożył skargę sądową przeciwko grupie cyberprzestępców z Chin, oskarżając ich o sprzedaż zestawów do phishingu, umożliwiających łatwe przeprowadzanie kampanii wyłudzeń. Osoby niewprawione mogą zostać podszyte pod znane marki w celu wyłudzenia poufnych danych. Oszustwa często zaczynają się od wiadomości SMS lub reklam, które kierują ofiary do podawania poufnych informacji na fałszywych stronach internetowych.

CTM360 zidentyfikowało rosnącą kampanię hakowania kont WhatsApp, która celuje w użytkowników na całym świecie poprzez sieć oszukańczych portali uwierzytelniających i stron podszywających się. Kampania, wewnętrznie nazwana HackOnChat, nadużywa znajomego interfejsu sieciowego WhatsApp, wykorzystując taktyki inżynierii społecznej, aby wprowadzić użytkowników w błąd i skłonić do skompromitowania swoich kont.

CTM360 zidentyfikowało szybko rosnącą kampanię przejmowania kont na WhatsApp, której celem są użytkownicy na całym świecie poprzez sieć wprowadzających w błąd portali uwierzytelniających i stron podszywających się. Kampania, wewnętrznie nazwana HackOnChat, wykorzystuje znajomą interfejs internetowy WhatsApp, używając taktyk inżynierii społecznej, aby oszukać użytkowników i skłonić ich do naruszenia bezpieczeństwa swoich kont.

Nowo odkryte zagrożenie Tsundere botnet wykorzystuje Blockchain i Node.js, związanego z wcześniejszymi atakami z 2024 roku. Botnet rozwija się i stanowi aktywne zagrożenie dla użytkowników systemu Windows. Infekcje mogą nastąpić poprzez pliki MSI i PowerShell, co sprawia, że stanowi on rosnące zagrożenie cybernetyczne.

Praktyka rozpoznawania i analizowania danych publicznie dostępnych w celu uzyskania użytecznych informacji, czyli OSINT, staje się coraz bardziej istotna w cyberbezpieczeństwie. Dzięki odpowiednio dobranym narzędziom, organizacje mogą lepiej zrozumieć swoje ślady cyfrowe i wykryć potencjalne słabe punkty przed ich wykorzystaniem przez złych aktorów.

Google Chrome został dotknięty nową, niebezpieczną luką bezpieczeństwa oznaczoną jako CVE-2025-13223, dającą atakującym potencjalną możliwość eksploatacji korekty sterty za pomocą specjalnie spreparowanej strony HTML. Wykrycie usterki to zasługa Najnowszej szóstej luki 'zero-day' w Chrome odnotowano 12 listopada, zaś sekcja Threat Analysis Group Google śledzi tego typu zagrożenia na co dzień. Konieczna jest pilna aktualizacja przeglądarki, aby zabezpieczyć się przed atakami.

W trzecim kwartale 2025 r. zaktualizowano metodykę obliczania wskaźników statystycznych na podstawie Kaspersky Security Network. Skoncentrowano się na atakach złośliwego oprogramowania na urządzenia mobilne oraz pakietach instalacyjnych. W obszarze mobilnym zauważono m.in. zwiększoną liczbę próbek szkodliwego oprogramowania dla systemu Android oraz przypadki wykorzystywania Trojanów do generowania sztucznych wyświetleń reklam. Ponadto, trendem było zmniejszenie udziału bankowych trojanów, co nie wynikało z ich zmniejszonej ilości, lecz z rosnącego udziału innych szkodliwych pakietów.

W III kwartale 2025 roku świat cyberbezpieczeństwa był na progu znaczących wydarzeń. Organizacje ścigały sprawców ataków ransomware, międzynarodowe operacje likwidowały infrastrukturę złośliwego oprogramowania, a badacze wykrywali nowe rodziny ransomware i szpiegowskie oprogramowanie. Warto zauważyć, że atakujący coraz sprawniej wykorzystują luki w zabezpieczeniach, co wymaga szybkiej reakcji na nowe zagrożenia.

Podstępny zestaw phishingowy 2FA rozwija swoje możliwości poprzez dodanie funkcji Browser-in-the-Browser (BitB), ułatwiając mniej doświadczonym przestępcom cybernetycznym przeprowadzanie ataków na większą skalę.

Analiza podstępnego zestawu phishingowego Sneaky 2FA, który wprowadza funkcjonalność BitB, ułatwiając ataki przestępcom o mniejszych umiejętnościach. W artykule opisano także atak Passkey Pwned, wykorzystujący złośliwe rozszerzenia przeglądarki oraz sposoby obejścia metodyk odporności na phishing, takie jak atak downgrade przez zestaw Tycoon.

Analitycy wskazują, że irańscy hakerzy atakują przemysł lotniczy, lotnictwo i obronę w Bliskim Wschodzie, wykorzystując złośliwe oprogramowanie DEEPROOT i TWOSTROKE. Grupa UNC1549 przeprowadza sofistykowane ataki poprzez wykorzystanie dostawców zewnętrznych i zaufanych partnerów, aby zdobyć dostęp do głównych celów. Ich działania skupiają się na długoterminowej obecności po wykryciu oraz minimalizacji śladów śledczych.

Irańscy hakerzy wykorzystują szkodliwe oprogramowanie DEEPROOT i TWOSTROKE w atakach na przemysł lotniczy, lotnictwo i obronę na Bliskim Wschodzie. Grupa UNC1549 łączy różne techniki, włączając phishing, ataki na dostawców oraz wykorzystywanie relacji biznesowych dla włamania się do systemów celów. Ich działania cechują się długotrwałą inwigilacją i dyskrecją w celu zapewnienia ciągłości ataku.

Microsoft poinformował o automatycznym wykryciu i zneutralizowaniu ataku typu DDoS o mocy 15,72 Tbps i blisko 3,64 miliarda pakietów na sekundę. Atak ten pochodził z botnetu IoT o nazwie AISURU i był największym atakiem DDoS widzianym w chmurze. Botnet AISURU był zasilany przez około 300 000 zainfekowanych urządzeń, a ataki z jego użyciem dotyczyły głównie gier online.

Microsoft poinformował o zneutralizowaniu ataku DDoS o mocy 15.72 Tbps i 3.64 mld pakietów na sekundę, przeprowadzonego przez botnet AISURU. Atak ten był największym obserwowanym w chmurze, a botnet AISURU napędzany jest przez około 300 000 zainfekowanych urządzeń IoT, przede wszystkim routery, kamery bezpieczeństwa oraz rejestratory DVR.

Badacze cyberbezpieczeństwa odkryli kampanie malware'u wykorzystujące taktykę inżynierii społecznej ClickFix do rozprzestrzeniania Amatera Stealer i NetSupport RAT. Amatera oferuje cyberprzestępcom rozległe możliwości kradzieży danych, a NetSupport RAT jest uruchamiany w zależności od określonych warunków. Odkrycie to wpisuje się w większy kontekst kampanii phishingowych propagujących różne rodziny malware'u.

Badacze cyberbezpieczeństwa odkryli nową kampanię złośliwego oprogramowania wykorzystującą sprawdzoną taktykę inżynierii społecznej ClickFix do dystrybucji Amatera Stealer i NetSupport RAT. Odkrycia skupia się eSentire pod nazwą EVALUSION. Przestępcy internetowi korzystają z zaawansowanych technik unikania wykrycia, a ofiarą są użytkownicy wprowadzeni w błąd za pomocą przekierowań na fałszywe strony phishingowe.

LinkedIn stał się głównym celem ataków phishingowych z powodu braku monitorowania z zewnątrz. Skala ataków i brak możliwości blokowania sprawiają, że LinkedIn jest używany do ataków spear-phishingowych na czołowych pracowników firm. Atakujący wykorzystują kradzież kont i bezpieczne wiadomości bez analizy, by dotrzeć do celu. Phishing na LinkedIn może prowadzić do ogromnych szkód finansowych i naruszeń bezpieczeństwa.

Ataki phishingowe przenoszą się poza skrzynkę odbiorczą e-mail, a LinkedIn staje się popularnym celem ataków. Przyjrzyjmy się, dlaczego phishing na LinkedIn jest tak skuteczny i dlaczego firmy powinny się na niego przygotować.

Grupa zagrożeń posługująca się językiem rosyjskim prowadzi masową kampanię phishingową, w ramach której zarejestrowano ponad 4 300 domen od początku roku. Atak ma na celu klientów branży hotelarskiej, zwłaszcza gości hotelowych z rezerwacjami podróży. Kampania rozpoczęła się w pełni w lutym 2025 roku i wykorzystuje zaawansowany zestaw phishingowy, oszukując ofiary, że dokonują płatności za rezerwację hotelu. Zagrożenie obejmuje 43 różne języki, a strony fałszywe udające autentyczność wykorzystują nazwy domen związane z rezerwacjami, potwierdzeniami i wpłatami.

Rosyjskojęzyczna grupa przestępcza przeprowadza masową kampanię phishingową, rejestrując ponad 4 300 domen od początku roku. Atak skoncentrowany jest na klientach branży hotelarskiej, zwłaszcza gościach hotelowych, korzystających z popularnych platform rezerwacyjnych.

Biuletyn Zagrożeń analizuje najnowsze wydarzenia z dziedziny cyberbezpieczeństwa, których tematyka obejmuje nowe inicjatywy legislacyjne w Wielkiej Brytanii, naruszenia bezpieczeństwa przez byłego pracownika Intela, aktualizacje projektu OWASP, wycieki danych z firm AI, phishing na Facebooku, ulepszenia związane z przeglądarką Firefox oraz ataki phishingowe wykorzystujące nowe narzędzia i platformy technologiczne. Ostatnie wydarzenia potwierdzają, że świat cybernetyczny nigdy nie zwalnia tempa, a świadomość i uważność stanowią klucz do efektywnej obrony przed coraz bardziej zaawansowanymi zagrożeniami.

W artykule omówiono najnowsze wydarzenia z dziedziny cyberbezpieczeństwa, takie jak projekty prawne na rzecz wzmocnienia krajowej ochrony, przypadki wycieku danych, nowe puste zaznaczenia zagrożeń czy dostępność wsparcia dla menedżerów haseł. Opublikowano także wyniki badania dotyczącego wycieków tajnych informacji przez firmy zajmujące się sztuczną inteligencją oraz opisano nowe kampanie phishingowe. Również podjęto debatę na temat kontrowersyjnych zmian w wymogach dotyczących prywatności i bezpieczeństwa danych osobowych obywateli UE. Konkluzja wskazuje na nieustanny rozwój zagrożeń w cyberprzestrzeni, przy jednoczesnym postępie w dziedzinie ochrony danych i bezpieczeństwa.

Menedżery haseł stanowią kluczowy element praktyk związanych z cyberbezpieczeństwem, ale wymagają dodatkowych środków ostrożności. Zagrożenia wciąż ewoluują, dlatego ważne jest śledzenie aktualnych trendów w celu zabezpieczenia swoich informacji online.

Publikacja o analizie zabezpieczeń strony internetowej przed atakami online i możliwych działań prowadzących do blokady dostępu. Jest mowa o konieczności zgłoszenia do właściciela strony okoliczności prowadzących do zablokowania oraz podaniu identyfikatora Cloudflare Ray ID.

W artykule omówiono wykorzystanie inteligentnych przekierowań w narzędziu phishingowym mającym na celu uniknięcie wykrycia. Strona internetowa zastosowała usługę zabezpieczeń w celu obrony przed atakami online, co może prowadzić do blokowania działania użytkownika w odpowiedzi na określone działania. Autorzy zwracają uwagę na konieczność zbadania przyczyny blokady oraz zachęcają do kontaktu z właścicielem witryny w celu zgłoszenia faktu blokady.

Google złożył pozew sądowy przeciwko chińskim hakerom odpowiedzialnym za masową platformę phishingową o nazwie Lighthouse, która przyniosła ponad miliard dolarów zysków w ciągu ostatnich trzech lat. Pozew ma na celu rozbiórkę infrastruktury działającej pod przewodnictwem Act Racketeer Influenced and Corrupt Organizations, Ustawy Lanham oraz Ustawy o oszustwach komputerowych.

Google złożył pozew przeciwko hakerom z Chin, którzy stoją za masową platformą Phishing-as-a-Service o nazwie Lighthouse, oszukującą użytkowników na całym świecie. Pozew ma na celu rozbicie infrastruktury hakerów działających pod szyldem RICO Act, Lanham Act i Computer Fraud and Abuse Act, a także wyjaśnienie złożonego ekosystemu cyberprzestępczości działającego z Chin.

Active Directory pozostaje rdzeniem uwierzytelniania dla ponad 90% przedsiębiorstw z listy Fortune 1000. Atakując Active Directory, atakujący zyskują kontrolę nad całą siecią, powodując poważne konsekwencje, jak pokazał incydent związany z Change Healthcare w 2024 roku. W obliczu coraz bardziej zaawansowanych ataków, konieczne jest wprowadzenie podejścia wielowarstwowego, które adresuje kradzież danych uwierzytelniających, zarządzanie przywilejami oraz ciągłe monitorowanie.

W artykule przedstawiono potrzebę wzmocnienia bezpieczeństwa Active Directory z uwagi na rosnące zagrożenia i skomplikowaną strukturę, która stanowi kuszący cel dla atakujących. Przedstawiono także konkretne przypadki ataków oraz zalecenia dotyczące zabezpieczeń, w tym polityk hasłowych, zarządzania przywilejami, monitorowania ciągłego i podejścia zero trust.

Microsoft wydał patche na 63 nowe luki bezpieczeństwa w swoim oprogramowaniu, w tym jeden wykorzystywany w działaniach atakujących. Najważniejszą podatnością jest zerodniowa luka w jądrze Windows, umożliwiająca eskalację uprawnień.

Microsoft wydał łatki dla 63 nowych luk bezpieczeństwa w swoim oprogramowaniu, w tym zerodniowej luki w Windows Kernel. Aktualizacje obejmują także luki w Microsoft Edge oraz inne ważne podatności, takie jak eksploatacje przywilejów w jądrze systemu Windows i przepełnienia bufora w komponentach graficznych Microsoftu.

Malware 'Maverick' to nowe zagrożenie atakujące brazylijskie banki poprzez WhatsApp. Jest podobny do wcześniejszego Coyote, działa na komputerach użytkowników w Brazylii, monitoruje aplikacje bankowe i rozmawia z serwerem zdalnym w celu kradzieży danych logowania do kont bankowych. Trend Micro uważa, że Maverick może być ewolucją Coyote, choć Kaspersky traktuje go jako zupełnie nowe zagrożenie. Malware wykorzystuje skrypty PowerShell i Visual Basic Script, aby kontrolować sesje przeglądarki i rozprzestrzeniać złośliwe pliki ZIP za pośrednictwem WhatsApp. Atak koncentruje się na użytkownikach w Brazylii, a jego efektywność wynika z popularności WhatsApp w tym kraju.

Odkryto nowe złośliwe oprogramowanie Maverick rozprzestrzeniane poprzez WhatsApp, które atakuje brazylijskie instytucje finansowe. Program jest zdolny do monitorowania aktywnych sesji przeglądarek w poszukiwaniu stron bankowych oraz rozpowszechniania się przez WhatsApp Web. Trend Micro wskazuje na podobieństwa z wcześniej znanym oprogramowaniem Coyote, sugerując, że Maverick może być jego ewolucją. CyberProof oraz Sophos potwierdzają złożoność nowego łańcucha ataku, który umożliwia kradzież danych i kontrolę nad zainfekowanymi urządzeniami.

Ataki na łańcuch dostaw z wykorzystaniem technologii AI wzrosły o 156% w zeszłym roku. Poznaj dlaczego tradycyjne obrony zawodzą i co CISO powinien zrobić teraz, aby chronić swoje organizacje.

Ataki na łańcuchy dostaw z wykorzystaniem sztucznej inteligencji wzrosły o 156% w zeszłym roku. Artykuł analizuje nowe, bardziej zaawansowane ataki oraz przedstawia konieczne działania, jakimi muszą teraz zająć się specjaliści ds. bezpieczeństwa informatycznego CISO, aby chronić swoje organizacje.

Fantasy Hub to nowy trojan zdalnego dostępu dla systemu Android, oferowany na rosyjskojęzycznych kanałach Telegram jako usługa Malware-as-a-Service. Malware ten umożliwia kontrolę urządzenia oraz szpiegostwo, zagrażając głównie użytkownikom korzystającym z bankowości mobilnej.

Nowy trojan zdalnego dostępu Fantasy Hub na system Android staje się usługą Malware-as-a-Service (MaaS), przekształcając Telegram w narzędzie dla cyberprzestępców. Usługa umożliwia kontrolę urządzenia, szpiegostwo oraz zbieranie danych, stanowiąc bezpośrednie zagrożenie dla przedsiębiorstw i użytkowników korzystających z bankowości mobilnej.

Konni, grupa odpowiadająca za liczne ataki, wykorzystała usługi Google do zdalnego resetowania urządzeń ofiar, co prowadziło do nieautoryzowanego usuwania danych osobistych. Atak polegał m.in. na podszywaniu się pod doradców psychologicznych i aktywistów praw człowieka z Korei Północnej oraz rozpowszechnianiu złośliwego oprogramowania.

Grupa cyberprzestępcza związana z Koreą Północną, Konni, przeprowadziła nową serię ataków wymierzonych w urządzenia z systemem Android oraz Windows w celu kradzieży danych i zdalnej kontroli. Atakujący udają doradców psychicznych i aktywistów praw człowieka z Korei Północnej, rozprowadzając złośliwe oprogramowanie podszywające się pod programy łagodzące stres. Zauważalne jest także wykorzystanie przez nich usługi śledzenia aktywów Google'a, Find Hub, do zdalnego resetowania urządzeń ofiar, co prowadzi do nieautoryzowanego usuwania danych osobistych. Atak został wykryty we wrześniu 2025 roku. Konni po raz pierwszy użyła legalnych funkcji zarządzania do zdalnego resetowania urządzeń mobilnych, prowadząc do kradzieży danych, zdalnego monitorowania systemu oraz kradzieży danych logowania.

Raport o bezpieczeństwie przeglądarek ujawnia, że wiele ryzyk związanych z tożsamością, usługami SaaS i AI koncentruje się w przeglądarce użytkownika, tworząc nowe zagrożenia. Rozwijające się zagrożenia obejmują m.in. niewłaściwie zarządzane rozszerzenia, narzędzia GenAI dostępne przez konta osobiste, skopiowanie wrażliwych danych do pól wiadomości oraz sesje omijające uwierzytelnianie SSO. Raport analizuje te i inne kluczowe wyniki oraz zmieniające się siedlisko kontroli w bezpieczeństwie przedsiębiorstw.

Raport o bezpieczeństwie przeglądarek z 2025 roku ukazuje, że największe ryzyka związane z tożsamością, SaaS oraz sztuczną inteligencją zbiegają się w jednym miejscu - w przeglądarce użytkownika. Artykuł analizuje kluczowe wnioski z raportu i ukazuje zmieniające się miejsce kontroli w bezpieczeństwie przedsiębiorstw, zwracając uwagę na pojawiające się zagrożenia związane z rozwojem GenAI i 'agentic' AI przeglądarek, które stanowią nowe obszary ataku, omijając tradycyjne narzędzia bezpieczeństwa.

Grupa cyberbezpieczeństwa Sekoia zidentyfikowała olbrzymią kampanię phishingową wymierzoną w branżę hotelarską, która wykorzystuje taktykę ClickFix do zbierania danych logowania menedżerów hoteli i instaluje złośliwe oprogramowanie PureRAT. Atakujący za pomocą złożonej operacji wykorzystują naruszone konta e-mail do wysyłania złośliwych wiadomości do wielu hoteli, udając firmę Booking.com. Ich celem jest kradzież danych logowania, umożliwiających nieautoryzowany dostęp do platform rezerwacyjnych takich jak Booking.com czy Expedia.

Zaawansowana kampania phishingowa skupiająca się na branży hotelarskiej, celująca w menedżerów hoteli, by wykradać ich dane logowania i wykorzystująca malware jak PureRAT. Atakujący wykorzystują m.in. spoofing wiadomości od Booking.com, aby przekierować ofiary na złośliwe strony, co prowadzi do kradzieży danych logowania oraz oszustw na platformach rezerwacyjnych. Złożone oprogramowanie napastnika wspiera szereg funkcji, a atakujący kupują skradzione dane z hoteli w celu dalszego wykorzystania w działaniach przestępczych.

Raport przedstawia wybrane działania grup APT zbadanych i przeanalizowanych przez ESET Research w okresie od kwietnia do września 2025 roku. Opisuje on istotne trendy i rozwój zagrożeń oraz zawiera jedynie niewielką część danych wywiadowczych w zakresie cyberbezpieczeństwa dostarczanych klientom raportów APT firmy ESET.

Grupa groźnego działania wykorzystuje załączniki złośliwe rozpowszechniane za pomocą phishingowych e-maili, atakując prawdopodobnie sektor obronny w Rosji i Białorusi. Kampania używa tylnich drzwi, ukrytych w plikach archiwum, skrótach Windows i usługach Tor i OpenSSH, aby zainfekować hosty komputerowe i umożliwić atakującym zdalny dostęp.

W artykule omówiono kwestię efektywności szkoleń z zakresu phishingu. Przedstawiono argumenty zwolenników i przeciwników tego typu symulacji oraz wyniki recentów badań wskazujące na ich ograniczone działanie. Autor podkreśla rolę zgłaszania podejrzanych e-maili przez użytkowników jako kluczowego środka walki z phishingiem, zamiast skupiania się na wskaźnikach kliknięć. Podano także wskazówki dla organizacji planujących przeprowadzenie symulacji phishingowych.

W październiku 2025 roku Biuro Komisarza Informacji Wielkiej Brytanii nałożyło karę w wysokości 200 000 funtów na jednoosobowego przedsiębiorcę, który wysłał prawie milion spamowych wiadomości tekstowych do osób w całym kraju, wielu z nich borykających się już z długami. Przestępstwo polegało na promowaniu rozwiązań długów i dotacji na oszczędność energii poprzez wysyłanie masowych wiadomości tekstowych, z których wiele obiecywało zamrożenie odsetek i kwot długu. Chociaż smsy marketingowe pozostają legalne, pod warunkiem zgody odbiorcy, przypadek ten wykazał brak takiej zgody oraz ukierunkowanie na osoby finansowo zagrożone. Praktyki takie są nie tylko uciążliwe dla tysięcy odbiorców, ale także szkodliwe dla tych w trudnej sytuacji finansowej.

LinkedIn planuje wykorzystać dane użytkowników z UK, UE, Szwajcarii, Kanady i Hongkongu do szkolenia swoich modeli sztucznej inteligencji oraz do personalizowanych reklam. Użytkownicy muszą aktywnie zrezygnować z udziału w tym procesie, aby chronić swoje dane. Należy podjąć odpowiednie kroki, aby kontrolować rozpowszechnianie danych profilowych i minimalizować ryzyko nadużycia.

Analiza najnowszych zagrożeń cybernetycznych wykrytych przez Kaspersky, w tym operacji ForumTroll wykorzystującej szpiegowskie oprogramowanie komercyjne Dante rozwinięte przez włoską firmę Memento Labs (dawniej Hacking Team). Atak został zidentyfikowany jako działalność grupy APT ForumTroll. Artykuł szczegółowo opisuje atak oraz techniki obronne stosowane przez oprogramowanie.

Analiza krytycznej podatności w logice nagród protokołu BetterBank, która doprowadziła do milionowych strat i zwrócenia części skradzionych aktywów przez atakującego.

SnakeStealer to szkodliwe oprogramowanie, które ma niezaspokojoną chęć zdobywania cennych danych osobowych. Ostatnio zyskał na popularności i stał się jednym z głównych zagrożeń infostealingu. Artykuł podkreśla konieczność stosowania silnych praktyk cyberbezpieczeństwa, aby unikać infostealerów takich jak SnakeStealer.

Zagrożenia cybernetyczne stale ewoluują, a phishing w e-mailach nie jest wyjątkiem. Autorzy zagrożeń nieustannie wprowadzają nowe metody omijania filtrów bezpieczeństwa i unikania czujności użytkowników. Tymczasem, ugruntowane - nawet zapomniane - taktyki nie zniknęły; wręcz przeciwnie, niektóre zyskują drugie życie. Artykuł opisuje niektóre nietypowe techniki, jakimi posługują się złośliwi aktorzy w 2025 roku.

Kampania cyberespionage PassiveNeuron ma na celu atakowanie serwerów organizacji rządowych, finansowych i przemysłowych w Azji, Afryce i Ameryce Łacińskiej. Atakujący używają zaawansowanych implantów APT, takich jak Neursite i NeuralExecutor, aby zyskać zdalny dostęp i wykonać złośliwe komendy. Badacze z Kaspersky odkrywają szczegóły kampanii oraz wskazują na możliwe przynależności do aktora chińskojęzycznego.

Google Threat Intelligence Group (GTIG) zidentyfikowało trzy nowe rodziny malware'ów przypisane grupie hakerskiej z Rosji znanej jako kolbergerowcy. To oznacza zwiększoną aktywność ze strony tego aktora zagrożenia. Nowe malware'y, oznaczone jako NOROBOT, YESROBOT i MAYBEROBOT, stanowią kolekcję powiązanych rodzin malware'ów połączonych za pomocą łańcucha dostaw. Ataki wymierzone w osoby wysokiego profilu w organizacjach pozarządowych i doradców politycznych skupiły się na wykorzystaniu podstępnego typu przynęt ClickFix, aby wywołać uruchomienie złośliwych poleceń PowerShell w systemie Windows. Malware'y NOROBOT i MAYBEROBOT są śledzone przez Zscaler ThreatLabz pod nazwami BAITSWITCH i SIMPLEFIX. Google zauważyło, że te malware'y są najprawdopodobniej przeznaczone dla znaczących celów, które mogły zostać już skompromitowane poprzez phishing w celu pozyskania dodatkowej wiedzy z ich urządzeń.

Ataki ClickFix, FileFix, fałszywe CAPTCHA - bez względu na nazwę, są szybko rosnącym źródłem naruszeń bezpieczeństwa, gdzie użytkownicy interakcjonują z złośliwymi skryptami w przeglądarce internetowej. Ataki te polegają na wykorzystywaniu użytkowników do uruchamiania złośliwych poleceń na ich urządzeniach poprzez kopiowanie złośliwego kodu i lokalne jego uruchamianie.

Podsumowanie analizy zagrożeń cybernetycznych w lipcu i sierpniu. Ransomware nadal stanowi główne zagrożenie, z nowymi schematami ataków i fragmentacją krajobrazu ransomware. Zalecenia obejmują szybkie łatanie podatności, MFA odporna na phishing oraz monitorowanie chmury i hybrydowych środowisk.

Analiza odkrycia złośliwego pakietu w ekosystemie npm, który udaje popularne pakiety i instaluje agenta AdaptixC2 na zainfekowanych urządzeniach. Atak ten pokazuje rosnącą tendencję wykorzystywania otwartych ekosystemów oprogramowania do dystrybucji szkodliwego oprogramowania.

Artykuł omawia zagrożenia związane z SEO spamem i ukrytymi linkami na stronach internetowych. Przedstawia techniki wykorzystywane przez atakujących oraz metody ochrony przed nimi, takie jak regularne aktualizacje oprogramowania, kontrola dostępu i wykorzystanie zapór aplikacyjnych. Przestrzeń także informuje o konsekwencjach takich działań i sposobach wykrywania SEO spamu na stronach internetowych.

Artykuł opisuje skomplikowaną kampanię malware w Brazylii, gdzie rozprzestrzeniany jest złośliwy plik LNK za pomocą WhatsApp. Celuje głównie w Brazylijczyków i używa portugalsko nazwane adresy URL. Ostatecznie dostarcza nowego Trojana bankowego o nazwie Maverick, zawierającego wiele podobieństw kodowych z Coyote. Cała łańcuch infekcji jest bardzo zaawansowany i całkowicie bezplikowy, z wieloma złożonymi etapami, jak manipulacja użytkownika, pobieranie skryptów PowerShell, obfuskacja, deszyfrowanie kodów, zabezpieczenia komunikacyjne i współpraca z C2. Trojan ten wyróżnia się także nadużywaniem WhatsApp do rozprzestrzeniania, oraz wykazuje zastosowanie AI w procesie pisania kodu.

W artykule opisano nową technikę, w której cyberprzestępcy wykorzystali sztuczną inteligencję chatbota do promowania phishingowych oszustw. Zostało to nazwane techniką „Grokking”. Tekst ostrzega przed zagrożeniami wynikającymi z manipulacji botami AI oraz wyjaśnia, dlaczego należy zachować ostrożność i nie ufać automatycznym odpowiedziom wygenerowanym przez takie narzędzia.

W październiku warto pomyśleć o dodatkowych zabezpieczeniach dla kont online. Hasła same w sobie nie są wystarczające - istotna jest wieloczynnikowa autoryzacja, szczególnie w obliczu zagrożeń cyfrowych.

Analityk cyberbezpieczeństwa relacjonuje historię Nathana Michaela, przywódcy grupy przestępczej Oak Cliff Swipers, która zaczęła od kradzieży kart kredytowych i obrotu nimi, a skończyła jako rozbudowane przedsięwzięcie przestępcze. W artykule podkreślono rolę platformy do ochrony końcowych punktów Zero Trust, a także inwestycje w bezpieczeństwo, takie jak zachowanie cyberbezpieczeństwa przez wyeliminowanie niebezpieczeństw znanych i nieznanych. Ponadto wzmianki o firmach takich jak Pantheon i ich usługi wspomagające szybkość, bezpieczeństwo i niezawodność stron internetowych.

Pliki PDF stają się popularnym narzędziem do ukrywania złośliwego oprogramowania, które może kraść dane i pieniądze. Cyberprzestępcy coraz częściej wykorzystują PDF-y jako przynętę w atakach, wymuszając na ofiarach otwieranie zainfekowanych załączników. Dla bezpieczeństwa warto zachować ostrożność i stosować sprawdzone zasady przy otrzymywaniu i otwieraniu plików PDF.

Analiza dotycząca dwóch kampanii rozpowszechniających szpiegowskie oprogramowanie ukrywające się pod aplikacjami Signal i ToTok na platformę Android, skierowanych do użytkowników z Zjednoczonych Emiratów Arabskich. Oprogramowanie to exfiltruje poufne dane z zainfekowanych urządzeń i jest rozpowszechniane za pomocą fałszywych witryn internetowych i inżynierii społecznej. Badacze ESET odkryli rodzinę szkodliwego oprogramowania Android/Spy.ProSpy i Android/Spy.ToSpy działającą jako ulepszenia i wtyczki dla aplikacji komunikacyjnych Signal i ToTok. Znaczącą cechą kampanii jest konieczność instalacji ręcznej z zewnętrznych źródeł, co stanowi potencjalne zagrożenie dla użytkowników zainteresowanych prywatnością.

Analiza serii zdarzeń związanych z operacją pakowania jako usługi (PaaS) przez HeartCrypt. Badania wykazały, że ataki były przypisywane różnym aktorom zagrożeń. W analizie wykryto tysiące próbek, setki podrobionych dostawców oprogramowania oraz różne metody ataków. Przedstawiono konkretne przypadki ataków i mechanizmy zainfekowania, wskazując na przykłady z Włoch, Kolumbii i innych krajów.

Powszechne stosowanie plików SVG przez cyberprzestępców jako nośników wirusów staje się coraz bardziej niebezpieczne. Celem kampanii jest zainstalowanie trojana zdalnego dostępu AsyncRAT poprzez bojowe pliki SVG. Atakujący wykorzystują także sztuczną inteligencję do generowania spersonalizowanych plików dla każdego celu. Alertuje się na ryzyko i zaleca ostrożność przy klikaniu w linki i załączniki, szczególnie w przypadku plików SVG.

Firma cyberbezpieczeństwa Sophos padła ofiarą phishingu, co spowodowało próbę ataku na ich sieć. Artykuł podkreśla znaczenie kontroli, współpracy oraz kultury organizacyjnej w radzeniu sobie z incydentami bezpieczeństwa cybernetycznego.

W artykule przeanalizowano pierwsze znane przypadki współpracy między grupami Gamaredon i Turla w Ukrainie, z wykorzystaniem technik cyberataków. Odkryte zostały działania obu APT grup, Gamaredon, odpowiedzialnej za ataki na instytucje rządowe, i Turla, znanego z cyberszpiegostwa na cele wysokiej rangi. Wskazano na wykorzystanie narzędzi takich jak PteroLNK, PteroStew i Kazuar v3, oraz świadczące o współpracy techniczne wskaźniki. Analiza wskazuje na współpracę między FSB związane z grupami. Dodatkowo ukazano historię współpracy między tymi grupami oraz ich związki z rosyjskimi służbami bezpieczeństwa.

Małe firmy stanowią atrakcyjny cel dla cyberprzestępców, ponieważ są częstszymi ofiarami ransomware niż duże przedsiębiorstwa. Ransomware-as-a-service obniża bariery przestępczości internetowej, a grupy ransomware zmieniają taktykę, wykorzystując coraz nowocześniejsze narzędzia, w tym sztuczną inteligencję. W odpowiedzi na rosnące zagrożenia, SMBs powinny skupić się na prewencji, ocenie ryzyka i możliwości skorzystania z usług zarządzania wykrywaniem i reagowaniem.

Grupa ransomware Akira nadal skupia się na atakach na urządzenia SonicWall, wykorzystując lukę w SSL VPN oraz błędy konfiguracyjne do nieautoryzowanego dostępu. Zalecane środki ostrożności obejmują zmianę haseł, usuwanie nieużywanych kont, konfigurację MFA oraz ograniczenie dostępu do portalu Virtual Office.

Aktorzy groźby związani z grupą ransomware Akira nadal atakują urządzenia SonicWall w celu uzyskania początkowego dostępu. Firmy z branży cyberbezpieczeństwa obserwują wzrost naruszeń związanych z urządzeniami SonicWall w związku z wykorzystaniem słabego punktu żetonowania SSL VPN oraz błędów konfiguracyjnych przez hakerów ransomware Akira.

Trzy francuskie regionalne agencje zdrowia padły ofiarą cyberataków, które naruszyły dane osobowe pacjentów na terenie kraju. Ataki te wykorzystały serwery przechowujące dane tożsamości pacjentów z publicznych szpitali w regionach Hauts-de-France, Normandii i Pays de la Loire.

Operator jednej z najbardziej ruchliwych linii kolejowych w Wielkiej Brytanii przyznał, że nieautoryzowana trzecia strona uzyskała dostęp do danych klientów poprzez dostawcę. Choć żadne informacje dotyczące banku, kart płatniczych czy haseł nie zostały naruszone, wciąż istnieje ryzyko wykorzystania skompromitowanych danych do ataków phishingowych.

Nowa kampania wykorzystująca oprogramowanie ScreenConnect firmy ConnectWise do dostarczenia trojana AsyncRAT w celu kradzieży danych zainfekowanych hostów. Atak składa się z wielu etapów, w tym wykorzystanie VBScript i PowerShell do uruchomienia złożonych komponentów oraz maskowanie się jako 'Skype Updater' dla utrzymywania trwałości.

Nowa kampania ataku cybernetycznego wykorzystuje legalne oprogramowanie do zdalnego monitoringu i zarządzania w celu instalacji trojana AsyncRAT, który kradnie dane zainfekowanych hostów.

Apple wprowadza nową funkcję Memory Integrity Enforcement (MIE) w iPhonie 17, mającą na celu ochronę przed zaawansowanym szpiegostwem i cyberzagrożeniami. MIE zapewnia stałą ochronę pamięci, zwłaszcza przed atakami na poziomie systemu operacyjnego i pamięci. Dzięki tej innowacji, Apple chce zmniejszyć skuteczność i zwiększyć koszty skomplikowanych ataków cybernetycznych.

Microsoft w ostatnim piątku zajęło się 80 lukami bezpieczeństwa w swoim oprogramowaniu, w tym jednym ujawnionym publicznie w chwili wydania. Naprawiono m.in. CVE-2025-55234, a także krytyczne CVE-2025-54914 wpływające na Azure Networking. Aktualizacja obejmuje także luki w Edge opartym na Chromium, Newtonsoft.Json, Windows BitLocker i inne. Wiele z nich dotyczy eskalacji uprawnień oraz zdalnego wykonania kodu. W skład poprawek wchodzi także eliminacja nowej techniki ruchu bocznego BitLockMove wykorzystującej manipulację kluczami rejestru BitLockera.

Microsoft w ramach najnowszej aktualizacji poprawił 80 luk bezpieczeństwa, w tym błąd w SMB i błędy CVSS 10.0 w usłudze Azure. Poprawki obejmują luki związane m.in. z eskalacją uprawnień, wykonaniem zdalnym czy wyciekiem informacji. Szczególną uwagę zasługuje podatność CVE-2025-54914 na platformie Azure Networking, a także luk w Windows NTLM i Windows BitLocker.

Według nowego badania Sophos, w sektorze edukacji w ostatnim roku spadły zarówno wymagania jak i wpłaty ransomware, co świadczy o poprawie zdolności do odzyskiwania danych oraz odporności na ataki. Instytucje edukacyjne skuteczniej bronią się przed atakami i coraz rzadziej płacą okup, co może zniechęcać cyberprzestępców. Wysoki odsetek ataków zatrzymanych przed zaszyfrowaniem danych oraz szybsza reakcja na incydenty to pozytywne sygnały dla sektora edukacji.

Komitet Wyborczy Izby Reprezentantów Chin wydał ostrzeżenie dotyczące cyberataków związanych z Chinami, które mają na celu kradzież danych i wpływ na politykę handlową i zagraniczną USA.

Komitet Wyborczy ds. Chin formalnie ostrzega przed skierowanymi cyberdziałaniami związanymi z Chinami, mającymi na celu szpiegostwo cyfrowe w trakcie negocjacji handlowych. Atakujący podszywają się pod kongresmena Johna Roberta Moolenaara, aby pozyskać poufne informacje. Ataki mają na celu kradzież danych i unikanie wykrycia, wykorzystując oprogramowanie i usługi chmurowe. Brońcy państwowi z Chin zaprzeczają oskarżeniom, a eksperci zwracają uwagę na wykorzystanie ataków phishingowych jako sposobu na przekazanie złośliwego oprogramowania. Ostrzeżenia przed potencjalnymi zagrożeniami i konieczność podjęcia działań bezpieczeństwa.

Microsoft wydał aktualizacje naprawiające 81 podatności w bieżącym wydaniu Patch Tuesday, w tym dwie zaliczone do kategorii zero-day. Pierwsza dotyczy nieprawidłowego przetwarzania wyjątkowych warunków w Newtonsoft.Json – części SQL Servera. Druga natomiast to podatność na podwyższenie uprawnień (EoP) w Windows SMB, która może być wykorzystana zdalnie. Firmy powinny uważnie monitorować te problemy i podejmować odpowiednie środki ostrożności.

Nowy zestaw phishingowy Salty2FA stanowi poważne zagrożenie dla firm z sektorów finansowego, energetycznego i telekomunikacyjnego w USA i UE. Wprowadzony do obiegu przez platformy Phishing-as-a-Service, Salty2FA potrafi ominąć różne metody dwuetapowej autoryzacji, w tym przekazywanie przez push, SMS czy połączenia głosowe. Analiza kampanii i incydentów prowadzonych przy użyciu tego narzędzia wskazuje, że aktywność Salty2FA zyskuje na sile od czerwca 2025 roku, z potwierdzonymi atakami trwającymi do dnia dzisiejszego. Badania pokazują, że interaktywne piaskownice, takie jak ANY.RUN, mogą pomóc firmom w szybszej identyfikacji zagrożeń i zwiększeniu skuteczności obrony przed ewoluującymi zestawami phishingowymi.

Nowy zestaw phishingowy o nazwie Salty2FA, odkryty przez badaczy z ANY.RUN, omija metody dwuetapowej autoryzacji, atakując przedsiębiorstwa z sektorów finansowego, energetycznego i telekomunikacyjnego w USA i UE.

Salty2FA to nowe narzędzie, które podnosi poziom zagrożenia przez phishing w środowiskach korporacyjnych. Atakujący mogą wykorzystać tę technikę do złamania zabezpieczeń, co stanowi wyzwanie dla przedsiębiorstw w dziedzinie cyberbezpieczeństwa.

Atakujący przypadkiem odsłania swoje sposoby działania i codzienne aktywności po zainstalowaniu oprogramowania zabezpieczającego Huntress na własnej maszynie operacyjnej. Incydent ten dał analitykom niezwykłe spojrzenie na to, jak atakujący korzystają z sztucznej inteligencji, narzędzi badawczych i automatyzacji do doskonalenia swoich działań. Przez trzy miesiące Huntress obserwował atakującego testującego wiele narzędzi bezpieczeństwa, korzystającego z platform automatyzacji pracy, takich jak Make.com, oraz badającego interfejsy API Botów Telegram w celu usprawnienia operacji. Odkryte dane ujawniły zainteresowanie generowaniem tekstów i arkuszy kalkulacyjnych z wykorzystaniem sztucznej inteligencji do tworzenia wiadomości phishingowych i zarządzania skradzionymi informacjami.

Atorzy zagrożeń wykorzystują narzędzie Axios i funkcję Direct Send firmy Microsoft do wykonywania skutecznych ataków phishingowych na platformę Microsoft 365. Kampanie phishingowe wykorzystujące te narzędzia zyskują przewagę nad tradycyjnymi mechanizmami obronnymi, umożliwiając cyberprzestępcom kradzież poświadczeń w sposób skalowalny i precyzyjny.

W ostatnich kampaniach phishingowych zauważono wykorzystanie narzędzi HTTP takich jak Axios w połączeniu z funkcją Direct Send firmy Microsoft, co tworzy 'bardzo efektywny potok ataków'. Atakujący starają się wykorzystać Axios do brania nad bezpieczeństwa, a także do przechwytują sesje i uzyskiwania kodów uwierzytelniania wieloetapowego. Ataki phishingowe rozwijają się w kierunku zaawansowanych operacji na poziomie przedsiębiorstwa, wykorzystując zaawansowane taktyki unikania wykrycia i wiarygodne symulacje MFA, aby ersus ja odróżnić od prawdziwej aktywności.

Nowy atak na łańcuch dostaw cyfrowych skierowany był na popularne otwarte paczki npm z co najmniej dwiema miliardami tygodniowych pobrań. Atak wykorzystał zaawansowany phishing, który spowodował skompromitowanie kilkunastu paczek npm i skierowanie funduszy na konta kontrolowane przez atakujących.

Salty2FA Phishing Kit to zaawansowane narzędzie wykorzystywane w kampanii phishingowej, które wykorzystuje innowacyjne techniki, takie jak rotacja subdomen oparta na sesji, nadużycie platform legitmacyjnych do wystawiania przynęt phishingowych oraz replikacja marki firmowej na stronach logowania. Cyberprzestępcy wykorzystują również różne taktyki unikania wykrycia, co sprawia, że śledzenie działań takiej kampanii staje się trudne. Eksperci zalecają zwiększoną świadomość użytkowników oraz aktualizację strategii obronnych.

Ekspert cyberbezpieczeństwa ostrzega przed nagłym wzrostem aktywności phishingowej z wykorzystaniem Axios User Agent i funkcji Direct Send firmy Microsoft. Ataki oparte na Axios cechują się wyjątkowym sukcesem i są trudne do wykrycia, co sprawia, że stanowią poważne zagrożenie dla organizacji.

Chińscy sprawcy podszywający się pod przedstawiciela Moolenaar-a próbowali pozyskać tajne informacje w trakcie rozmów handlowych USA-Chiny. Oszuści wykorzystywali pliki i linki do uzyskania dostępu do systemów ofiar, aby wpłynąć na politykę i strategie negocjacji USA oraz zdobyć przewagę handlową i polityczną.

Nowe kampanie malware wykorzystujące zaawansowane techniki unikania wykrycia i socjotechniki podnoszą ryzyko związane z phishingiem i AI. Malware takie jak MostereRAT i MetaStealer atakują użytkowników japońskich, wykorzystując złośliwe wiadomości e-mail, fałszywe instalatory programów i manipulacje interfejsem użytkownika w celu omijania rozwiązań bezpieczeństwa.

Badacze cyberbezpieczeństwa odkryli szczegóły kampanii phishingowej, która wykorzystuje nowy malware MostereRAT, przekształcony z bankowego na trojana zdalnego dostępu. Z kolei inna kampania wykorzystuje techniki ClickFix do dystrybucji informacyjnego kradzieżyusu MetaStealer. Natomiast CloudSEK opisało nowatorskie dostosowanie taktyki ClickFix, wykorzystującej niewidzialne komunikaty poprzez obfuskację z użyciem CSS, aby zwiększyć ryzyko wykorzystania przez AI i produkować podsumowania z kontrolowanymi instrukcjami ClickFix od atakujących.

Odkryto nowy wariant kampanii wykorzystującej sieć TOR do ataków cryptojackingowych, celujących w narażone interfejsy Docker. Atak polega na wykorzystaniu Docker API, montowaniu systemu plików hosta w nowym kontenerze i wykonywaniu skryptów z domeny .onion.

Odkryto wariant niedawno ujawnionej kampanii, która wykorzystuje sieć TOR do ataków cryptojackingowych skierowanych na narażone interfejsy API Docker. Atak polega na infiltrowaniu źle skonfigurowanych interfejsów API Docker, instalowaniu kryptowalutowego kopacza XMRig i tworzeniu botnetu. Ponadto, aktywność obejmuje ataki Telnet i związane z portem 9222 w celu rozprzestrzeniania się i przeprowadzania kradzieży danych.

W wyniku ataku łańcucha dostaw oprogramowania wiele pakietów npm zostało skompromitowanych po zdobyciu dostępu do konta utrzymującego poprzez atak phishingowy. Sprawca, przedstawiając się jako npm, nakłonił użytkownika do podania swoich danych uwierzytelniających, co spowodowało opublikowanie złośliwej wersji pakietów. Malware wstrzyknięty do kodu źródłowego miał na celu kradzież kryptowalut poprzez manipulację zapytaniami. Incydent ten uwydatnia potrzebę zwiększenia czujności i zabezpieczenia łańcuchów dostaw.

Podczas cyberataków na 20 popularnych pakietów npm pojawiają się ryzyka dla użytkowników związane z kradzieżą kryptowalut. Incydent ten podkreśla potrzebę zwiększenia świadomości i zabezpieczenia ciągłej integracji/dostarczania ciągłego oraz kontroli zależności.

Firma fintech Wealthsimple potwierdziła naruszenie danych dotyczące wycieku informacji poufnych klientów. Atak został wykryty 30 sierpnia i spowodowany został skompromitowanym oprogramowaniem dostarczonym przez zewnętrznego dostawcę.

Nowy rodzaj malware MostereRAT skierowany jest na użytkowników systemów Windows i umożliwia atakującym pełną kontrolę nad skompromitowanymi urządzeniami. Kampania phishingowa charakteryzuje się zaawansowanymi technikami unikania wykrycia oraz kreatywnym wykorzystaniem języka kodowania chińskiego.

W artykule omówiono technikę wykorzystującą infiltrację poprzez proces wdrażania nowych pracowników w celu zagrożenia bezpieczeństwa organizacji. Dowiedz się, jak niebezpieczne mogą być praktyki związane z zdalnym rekrutowaniem i dlaczego konieczne jest wprowadzenie zerowych uprawnień stałych (ZSP).

W artykule poruszona została kwestia infiltracji za pomocą zatrudnienia, zamiast tradycyjnego phishingu, w kontekście wzrostu zagrożenia związanego z zatrudnianiem pracowników na odległość. Wskazano na konieczność zastosowania podejścia Zero Standing Privileges (ZSP), aby zabezpieczyć organizację.

Grupa Noisy Bear, możliwie pochodzenia rosyjskiego, zidentyfikowana jako odpowiedzialna za ataki na sektor energetyczny Kazachstanu poprzez kampanię phishingową BarrelFire. Ataki te wykorzystują fałszywe dokumenty i zaawansowane techniki, a infrastruktura sprawcy jest hostowana w Rosji. Raporty wskazują także na aktywność innych zagrożeń cybernetycznych skierowanych na Rosję, Polskę i innych krajach.

Grupa zagrożeń Noisy Bear, prawdopodobnie pochodzenia rosyjskiego, przeprowadza ataki na sektor energetyczny w Kazachstanie, wykorzystując kampanię phishingową BarrelFire. Atak polega na wysyłaniu fałszywych dokumentów związanych z departamentem IT KazMunaiGas, zainfekowanych szkodliwym oprogramowaniem. Badacze zidentyfikowali infrastrukturę ataków i ujawnili związki ze sferą cyberbezpieczeństwa innych krajów, takich jak Ukraina, Polska i Rosja.

Grupa TAG-150, odpowiedzialna za ramy złośliwego oprogramowania jako usługi (MaaS) i narzędzie CastleLoader, stworzyła także trojana zdalnego dostępu znany jako CastleRAT. Złośliwe programy te są wykorzystywane jako wektory dostępu do szerokiej gamy dodatkowych ładunków, w tym trojanów zdalnego dostępu i kradzieży informacji. Nowo odkryty CastleRAT pozwala na pobieranie kolejnych ładunków, udostępnia zdolności zdalnego powłoki i potrafi samodzielnie się usunąć.

Analiza operacji złośliwego oprogramowania CastleLoader oraz nowo odkrytego trojana zdalnego dostępu CastleRAT przeprowadzona przez zespół Recorded Future Insikt Group. Odkrycie obejmuje funkcjonalności, takie jak zbieranie informacji systemowych, pobieranie i wykonywanie dodatkowych obciążeń oraz wykonywanie poleceń za pomocą CMD i PowerShell. Dodatkowe informacje dotyczą różnych wariantów i funkcji malwersów, takich jak DeerStealer, RedLine, StealC czy NetSupport RAT, a także techniki wywoływania zakażeń poprzez phishing i repozytoria GitHub.

W II kwartale 2025 r. ataki mobilne z udziałem złośliwego oprogramowania, adware'u i niechcianego oprogramowania spadły do wartości 10,71 miliona. Odkryto nową złośliwą aplikację SparkKitty kradnącą obrazy z galerii na Androida i iOS. Warto zauważyć Trojana-DDoS.AndroidOS.Agent.a, który umożliwia ataki DDoS z urządzeń mobilnych. Liczba próbek złośliwego oprogramowania na Androida i potencjalnie niechcianego oprogramowania zmniejszyła się w porównaniu do poprzedniego kwartału. Bankowe trojany pozostają w pierwszej kolejności, z rodzina Mamont dominującą tę kategorię.

Nowa kampania malware'u wykorzystująca pliki SVG w atakach phishingowych na system sądownictwa Kolumbii. Oceana plików SVG rozpowszechniana drogą mailową, wykonująca skrypt JavaScript w celu zainfekowania strony HTML podszywającej się pod portal urzędu Prokuratora Generalnego Kolumbii. Odkrycie 44 unikalnych plików SVG, które uniknęły wykrycia przez silniki antywirusowe, wskutek zastosowania obfuskacji i innych technik. Dodatkowo opisano infekcję macOS przez Atomic macOS Stealer i wprowadzenie nowych metod instalacji omijających Gatekeeper macOS.

Badacze cyberbezpieczeństwa odkryli nową kampanię malware, wykorzystującą pliki Scalable Vector Graphics (SVG) w atakach phishingowych udająccych kolumbijski system sądowy. Pliki te rozsyłane są za pomocą e-maili i zawierają złośliwe skrypty JavaScript, dekodujące i wstrzykujące zakodowaną w Base64 stronę phishingową udającą portal Fiscalía General de la Nación. Zarówno użytkownicy jak i firmy narażone są na kradzież danych, kradzież finansową i inne ataki pochodne.

Badanie eksperckie ujawniło, że północnokoreańscy hakerzy próbują wykorzystać platformy inteligencji zagrożeń do ataków phishingowych. Grupa działa koordynowanie, demonstrując wytrwałość i skupiając się na szybkiej reakcji na ewentualne wycieki. Alertuje się zarówno poszukujących pracy, jak i dostawców infrastruktury na niebezpieczeństwo.

Analiza wykazała, że strona wykorzystuje usługę bezpieczeństwa do ochrony się przed atakami internetowymi. Istnieje kilka działań, które mogą spowodować zablokowanie dostępu, w tym wprowadzenie określonego słowa lub frazy, polecenia SQL lub zniekształconych danych. Użytkownicy są zachęcani do kontaktu z właścicielem strony w celu odblokowania dostępu, podając informacje dotyczące działań podejmowanych podczas blokady oraz identyfikator Ray ID Cloudflare.

Artykuł omawia trudności z wprowadzeniem passkeyów jako nowej formy sprawdzania tożsamości w świecie cyberbezpieczeństwa. Autor dzieli się doświadczeniem z próby stosowania passkeyów i analizuje różnice między nimi a tradycyjnymi hasłami oraz wyzwania związane z ich implementacją na różnych platformach.

W styczniu 2025 roku eksperci w dziedzinie cyberbezpieczeństwa z Wiz Research odkryli przypadkowy wyciek danych u chińskiego specjalisty AI, DeepSeek, narażając ponad milion wrażliwych strumieni logów. Artykuł omawia różne rodzaje wycieków danych, zarówno celowe, jak i nieumyślne, oraz podkreśla konieczność ochrony przed nimi.

W styczniu 2025 roku eksperci ds. cyberbezpieczeństwa z Wiz Research odkryli wyciek danych u specjalisty od sztucznej inteligencji DeepSeek z Chin, narażając ponad milion wrażliwych strumieni logów na ryzyko. Wyciek danych może być niezamierzony lub celowy, a jego konsekwencje mogą być katastrofalne dla organizacji, włącznie z dużymi karami finansowymi i stratą reputacji.

Artykuł przedstawia badania dotyczące praktycznych ataków na asystentów LLM. Przestępczość cybernetyczna polegająca na wstrzykiwaniu poleceń stwarza zagrożenia dla bezpieczeństwa użytkowników. Autorzy proponują ramy analizy zagrożeń i oceny ryzyka oraz przedstawiają nowy wariant ataków, wykorzystujący pośrednie wstrzykiwanie poleceń poprzez interakcje użytkownika, takie jak e-maile, zaproszenia kalendarzowe i udostępnione dokumenty. Nasze badania wskazują, że 73% analizowanych zagrożeń stanowi wysokie krytyczne ryzyko dla użytkowników. Omawiamy sposoby łagodzenia ryzyka oraz wykazujemy, że ryzyko można znacząco obniżyć do bardzo niskiego-średniego po wdrożeniu środków zaradczych. Przekazaliśmy nasze wnioski Google, które wdrożyło dedykowane środki zaradcze.

Iranijczycy przeprowadzili koordynowaną kampanię spear-phishingu, wykorzystując fałszywe maile dyplomatyczne, aby infiltrować ambasady i konsulaty na całym świecie. Atak skupiał się głównie na Europie i Afryce, a wykorzystana technika polegała na przekonaniu odbiorców do uruchomienia złośliwego macro w dokumencie Worda, co pozwalało na zainfekowanie systemu malwarem.

Zespół badawczy firmy Barracuda ostrzega, że phishingowy zestaw Tycoon wykorzystuje nowe techniki do ukrywania szkodliwych linków w atakach emailowych. Rozwój Tycoona odpowiada na coraz lepsze zdolności narzędzi bezpieczeństwa emaili w wykrywaniu i blokowaniu niebezpiecznych linków, co wymusza na cyberprzestępcach ciągłe doskonalenie technik kamuflażu. Platforma Phishing-as-a-Service (PhaaS) Tycoon oferuje zaawansowane funkcje, takie jak narzędzia do omijania detekcji i weryfikacji dwuskładnikowej. Ataki Tycoon włączają zaawansowane techniki kodowania URL, fałszywe etapy weryfikacji CAPTCHA oraz wykorzystanie podpikowanych adresów subdomenowych do wprowadzenia ofiar w błąd.

Grupa związana z Iranem przeprowadziła zorganizowaną kampanię spear-phishingu, kierującą się do ambasad i konsulatów w Europie i innych regionach świata. Atak wykorzystywał manipulację treścią e-maili i makra VBA w celu zainstalowania złośliwego oprogramowania na urządzeniach ofiar.

Google zdementował plotki o powszechnym zagrożeniu bezpieczeństwa kont Gmail. Mimo braku oficjalnego ostrzeżenia, istnieje realne ryzyko ataków phishingowych i vishingowych na dane Salesforce przechowywane w chmurze Google'a.

Artykuł omawia znaczenie ciasteczek, różne rodzaje, sposób działania oraz konieczność informowania użytkowników o nich. Zawiera też informacje o wrażliwych ciasteczkach przechowujących identyfikator sesji, typy ataków na nie oraz sposoby ochrony zarówno dla deweloperów, jak i użytkowników.

Atakujący znany jako Silver Fox wykorzystał podatny sterownik związany z oprogramowaniem antywirusowym WatchDog do ataku typu BYOVD. Celuje w rozbrojenie rozwiązań zabezpieczeń na kompromitowanych hostach poprzez wykorzystanie dwóch sterowników, amsdk.sys i WatchDog. Atak polega na zneutralizowaniu produktów ochrony końcowej, umożliwiając wdrożenie złośliwego oprogramowania ValleyRAT, zapewniającego zdalny dostęp do systemu.

Srebrna Lisica, znana jako Silver Fox, wykorzystuje podatny sterownik WatchDog Anti-malware, aby zainstalować złośliwe oprogramowanie ValleyRAT w ataku typu BYOVD. Kampania ma na celu wyłączenie rozwiązań bezpieczeństwa na zainfekowanych hostach, co umożliwia instalację i utrzymywanie oprogramowania malware bez wykrycia przez mechanizmy bazujące na sygnaturach. Ataki te są częścią skoordynowanej działalności cyberprzestępczej, której celem jest kradzież informacji, oszustwa finansowe i zdalne kontrolowanie systemów ofiar.

Firma Zscaler padła ofiarą kampanii cyberataków na dane klientów Salesforce. Sprawca pozyskał dostęp do instancji Salesforce poprzez kradzież tokenów OAuth z aplikacji trzeciej strony Salesloft Drift. Zscaler podjęło szybkie działania w celu ograniczenia szkód oraz wzmocniło zabezpieczenia, jednakże zaleca klientom zachowanie czujności przed ewentualnymi atakami phishingowymi.

Wypadek naruszenia certyfikatów uwierzytelniających w Salesloft wywołał szereg reakcji w świecie korporacyjnym. Atakujący ukradli znaczną liczbę tokenów uwierzytelniających, co poskutkowało dostępem do danych z wielu usług online, m.in. Slack, Google Workspace, Amazon S3, Microsoft Azure i OpenAI. Również Google zauważył, że atak sięga znacznie dalej niż Salesforce, i ostrzega przed dodatkowymi zagrożeniami. Incydent ten wiąże się z szeroko zakrojoną kampanią inżynierii społecznej i grupą zagrożeń UNC6040.

Cyberbezpieczeństwo dzisiaj to nie tyle pojedyncze ataki, co łańcuchy drobnych słabości, które prowadzą do poważnych zagrożeń. Od niedocenionej aktualizacji po złe wykorzystanie konta czy narzędzia w nieodpowiednich rękach - to wystarczy, by otworzyć drzwi. Atakujący mieszają metody, łącząc kradzież dostępu, niezałatwione oprogramowanie i sprytne triki, przechodząc od małych punktów wejścia do poważnych konsekwencji. Dla obrońców nauka jest jasna: prawdziwe niebezpieczeństwo często tkwi nie w pojedynczej wadzie, ale w interakcjach różnych drobnych usterek. WhatsApp załatał wykorzystywaną aktywnie lukę, a dzięki Advanced Threat Protection można monitorować aktywność cyberprzestępców.

Cyberbezpieczeństwo dzisiaj polega mniej na pojedynczych atakach, a bardziej na łańcuchach małych słabości, które łączą się w duże ryzyko. Oto przegląd najważniejszych zagrożeń związanych z WhatsApp, Auth0, serwerami MCP oraz listą najnowszych podatności CVE, porady dotyczące zapewnienia bezpieczeństwa MCP i przypominający trend rosnącej roli nowych technologii w dziedzinie bezpieczeństwa cybernetycznego.

Artykuł omawia rosnące zagrożenia cybernetyczne związane z przeglądarkami, przedstawiając działania grupy Scattered Spider oraz strategie zapobiegania zaawansowanym zagrożeniom z nim związanym. Autorzy zalecają CISOs rozważenie bezpieczeństwa przeglądarek jako centralnego filara obrony organizacji.

W artykule omówiono zagrożenia, jakie niesie za sobą Scattered Spider, zaawansowana grupa hakerska atakująca wrażliwe dane przeglądarek. Poruszono także strategie obronne przeciwko zaawansowanym zagrożeniom w przeglądarkach, takie jak ataki phishingowe, wykradanie sesji, złośliwe rozszerzenia czy rekonnaissance. Zaleca się wykorzystanie wielowarstwowej strategii bezpieczeństwa przeglądarek oraz integrację ochrony przeglądarek w obecną infrastrukturę bezpieczeństwa, aby wzmocnić całą sieć organizacyjną.

Amazon zidentyfikował i zablokował cyberatak typu watering hole przeprowadzony przez rosyjską grupę APT29, która próbowała wykorzystać błędy uwierzytelniania Microsoft. Atak miał na celu przekierowanie użytkowników na złośliwą infrastrukturę w celu dostarczenia złośliwego oprogramowania, kradzieży danych logowania lub szpiegostwa cybernetycznego.

Badacze cybersecurity odkryli nową kampanię phishingową przeprowadzoną przez grupę hakerską związaną z Koreą Północną, znaną jako ScarCruft (znana również jako APT37), w celu dostarczenia złośliwego oprogramowania znanego jako RokRAT. Ataki są skierowane na osoby związane z Narodowym Stowarzyszeniem Badań Wywiadowczych, w tym na środowiska akademickie, byłe osoby związane z rządem i badaczy.

Grupa badaczy odkryła nową kampanię phishingową przeprowadzaną przez grupę hakerską z Korei Północnej o nazwie ScarCruft (zwana też APT37) w celu dostarczenia złośliwego oprogramowania znaczonego jako RokRAT. Ataki, nazwane operacją HanKook Phantom, skierowane są na osoby związane z Narodowym Stowarzyszeniem Badań Wywiadowczych, w tym na postacie akademickie, byłych urzędników rządowych i badaczy. W kampanii wykorzystywane są techniki takie jak phishing z użyciem załączników w formacie LNK podszywających się pod dokumenty PDF oraz skrypty PowerShell do zrzucania złośliwego oprogramowania na zainfekowane hosty. RokRAT umożliwia zbieranie informacji systemowych, wykonywanie poleceń, przechodzenie po systemie plików, przechwytywanie zrzutów ekranu oraz pobieranie dodatkowych ładunków. Dane są wyciekane poprzez różne chmury danych. Additionally, the article touches upon new sanctions imposed by the U.S. Department of the Treasury on individuals and entities involved in North Korean remote IT work scheme, as well as investigations uncovering connections between a blockchain game and North Korean IT Workers.

Badacze cyberbezpieczeństwa zwracają uwagę na atak cybernetyczny, w którym nieznani sprawcy wykorzystali narzędzie do monitorowania końcowych punktów i analizy cyfrowej o nazwie Velociraptor w celu zainstalowania Visual Studio Code w celu tunelowania do własnego serwera C2. Atak ten pokazuje rosnące wykorzystanie legalnego oprogramowania do celów złośliwych.

Sformułowano nowe zagrożenia dotyczące cyberbezpieczeństwa, w których napastnicy wykorzystują narzędzie do monitorowania endpointów i analizy cyfrowej o nazwie Velociraptor do złośliwych celów. Zwolennicy Velociraptor wykorzystują Windows msiexec do pobierania instalatora MSI z domeny Cloudflare i wdrażania dodatkowych narzędzi, takich jak narzędzie tunelujące Cloudflare i narzędzie do zdalnej administracji o nazwie Radmin. Innym obiektem ataków jest Microsoft Teams, gdzie przestępcy wykorzystują platformę do inicjowania dostępu i dostarczania oprogramowania złośliwego, takiego jak narzędzia zdalnego dostępu AnyDesk czy Quick Assist, poprzez skomunikowane tenanty IT. Wszystkie te zagrożenia podkreślają pilną potrzebę monitorowania, reagowania i zabezpieczania systemów przed rosnącą liczbą ataków cybernetycznych.

Wyspecjalizowana kampania phishingowa przeciwko pracownikom rządowym i służbom wywiadowczym Południowej Korei została odkryta przez firmę cyberbezpieczeństwa Seqrite. Grupa hakerska APT37, prawdopodobnie wspierana przez Koreę Północną, wykorzystała pliki związane z intelligence to narzędzia ataku. Atakujący rozpowszechniają fałszywy dokument PDF wraz z złośliwym plikiem LNK, co pozwala im na kompromitację systemów ofiar.