Cyberbezpieczeństwo

Iran-powiązana grupa hakerska przeprowadziła kampanię password spraying, wykorzystując powszechne hasła do atakowania organizacji Microsoft 365 w Izraelu i ZEA, wykorzystując w tym celu m.in. węzły wyjściowe Tor, co wskazuje na powiązania z grupami takimi jak Gray Sandstorm. Działania te obejmowały trzy fale ataków w marcu 2026 roku, celując w sektory rządowe, technologiczne i energetyczne, a także przyniosły doniesienia o reaktywacji operacji Pay2Key, irańskiego gang ransomware, który ewoluował swoje techniki ataku.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Zagrożenia powiązane z Koreą Północną (DPRK) wykorzystują GitHub jako infrastrukturę dowodzenia i kontroli (C2) w wieloetapowych atakach skierowanych przeciwko organizacjom w Korei Południowej, używając plików LNK i skryptów PowerShell do ukrywania złośliwego oprogramowania i zapewnienia trwałości. Ataki te, często inicjowane przez phishing, wykorzystują obfuskację i natywne narzędzia systemu Windows, aby uniknąć wykrycia, a także platformy chmurowe takie jak Dropbox do dalszego rozsyłania złośliwych modułów.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Iran grozi zniszczeniem centrum danych OpenAI w Abu Zabi, jeśli Stany Zjednoczone zaatakują jego instalacje energetyczne, co wynika z opublikowanego przez Korpus Strażników Rewolucji Islamskiej (IRGC) materiału wideo. Projekt Stargate, w który zaangażowane są globalne firmy technologiczne, ma znaczące inwestycje, a jego budowa jest w toku.

Źródło: The Verge
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Wzrost ataków obejmujących wiele systemów operacyjnych stawia centra SOC przed nowymi wyzwaniami, prowadząc do opóźnień, fragmentarycznych dowodów i wydłużonego czasu reakcji. Artykuł przedstawia trzy kluczowe kroki do przezwyciężenia tej złożoności: włączenie analizy międzyplatformowej do wczesnej fazy triażu, utrzymanie badań w jednym przepływie pracy oraz przekształcenie widoczności międzyplatformowej w szybszą reakcję, co znacząco poprawia efektywność i skraca czas potrzebny na reakcję (MTTR).

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

W tym tygodniu miały miejsce znaczące incydenty w świecie cyberbezpieczeństwa, w tym skompromitowanie popularnego pakietu npm Axios przez hakerów powiązanych z Koreą Północną, aktywne wykorzystanie 0-dnia w przeglądarce Chrome oraz podatności w produktach Fortinet, a także pojawienie się nowego szpiegującego oprogramowania Paragon. Ataki te podkreślają rosnące znaczenie bezpieczeństwa łańcucha dostaw oprogramowania, szybkie tempo wykorzystywania luk i potrzebę stałego czujności organizacji.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Atak na bibliotekę LiteLLM, wykorzystujący złośliwe pakiety na PyPI, ujawnił skalę zagrożenia ze strony skompromitowanych maszyn deweloperskich, które stały się celem systematycznego wykradania danych uwierzytelniających, w tym kluczy SSH i danych chmurowych. Wzrost zagrożeń związanych z zależnościami oraz przetwarzaniem danych przez lokalne agenty AI podkreśla potrzebę ciągłej ochrony punktów końcowych deweloperów i zarządzania sekretami.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Złośliwe oprogramowanie Qilin i Warlock wykorzystuje technikę BYOVD (Bring Your Own Vulnerable Driver), aby wyłączyć ponad 300 narzędzi EDR (Endpoint Detection and Response) na zainfekowanych systemach. Napastnicy używają złośliwego DLL “msimg32.dll” do ładowania szyfrowanego komponentu EDR killer, który następnie wykorzystuje sterowniki takie jak “rwdrv.sys” i “hlpdrv.sys” do uzyskania dostępu do pamięci fizycznej i terminowania procesów zabezpieczeń, omijając mechanizmy obronne.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Niemiecka policja federalna (BKA) zidentyfikowała liderów grupy REvil, odpowiedzialnych za około 130 ataków ransomware na niemieckie firmy, które spowodowały straty przekraczające 35,4 miliona euro. Głównym sprawcą jest Daniil Maksimovich Shchukin, znany jako UNKN, a Anatoly Sergeevitsch Kravchuk jest podejrzewany o rolę dewelopera.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Atak na giełdę kryptowalut Drift, który doprowadził do kradzieży 285 milionów dolarów, był kulminacją sześciomiesięcznej operacji społecznego inżynieringu, przeprowadzonej przez północnokoreańską grupę hakerską UNC4736. Hakerzy, podszywając się pod firmę handlową i budując zaufanie z pracownikami Drift, wykorzystali złośliwe repozytoria kodu oraz aplikacje testowe do uzyskania dostępu do środków, co podkreśla coraz bardziej wyrafinowane metody działania cyberprzestępców sponsorowanych przez państwo.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Badacze bezpieczeństwa odkryli 36 złośliwych pakietów w rejestrze npm, podszywających się pod wtyczki Strapi CMS, które wykorzystywały bazy danych Redis i PostgreSQL do wdrażania stałych implantów, kradzieży danych uwierzytelniających i wykonywania kodu zdalnego. Ataki ewoluowały od agresywnych prób RCE i ucieczki z kontenerów Docker, poprzez rekonesans i zbieranie danych, aż po bezpośredni dostęp do baz danych i kradzież danych uwierzytelniających, wskazując na potencjalnie ukierunkowany atak na platformę kryptowalutową.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)