Tags

4 strony

Złośliwe Oprogramowanie

Kampania GlassWorm wykorzystuje Zig Dropper do infekowania wielu IDE programistów

Kampania GlassWorm infekuje IDE programistów za pomocą Zig Droppera. Odkryto nowe metody ataku na środowiska deweloperskie.

Kampania GlassWorm ewoluuje, wykorzystując nowy mechanizm “dropper” napisany w Zig, który potajemnie infekuje wszystkie zintegrowane środowiska programistyczne (IDE) na komputerze dewelopera. Technika ta, odkryta w rozszerzeniu VS Code udającym popularne narzędzie WakaTime, polega na instalacji złośliwego binarnego kodu, który następnie wyszukuje i infekuje inne IDE, pobierając dalsze złośliwe rozszerzenia, wykradając dane i instalując trojany zdalnego dostępu.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

UAT-10362 atakuje tajwańskie NGO złośliwym oprogramowaniem LucidRook w kampaniach spear-phishingowych

UAT-10362 atakuje tajwańskie NGO i uniwersytety złośliwym oprogramowaniem LucidRook w kampaniach spear-phishingowych, wykorzystując DLL side-loading i obce serwery.

Nowy klaster zagrożeń UAT-10362, wykorzystujący złośliwe oprogramowanie LucidRook oparte na języku Lua, prowadzi ukierunkowane kampanie spear-phishingowe przeciwko tajwańskim organizacjom pozarządowym i uniwersytetom. Ataki, odkryte w październiku 2025 roku, polegają na wykorzystaniu archiwów RAR lub 7-Zip do dostarczenia oprogramowania LucidPawn, które następnie uruchamia LucidRook za pomocą techniki DLL side-loading, zbierając informacje systemowe i exfiltrując je do zewnętrznego serwera, a także pobierając zaszyfrowane ładunki Lua.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Hakery powiązane z Koreą Północną wykorzystują GitHub jako C2 w wieloetapowych atakach na Koreę Południową

Korea Północna używa GitHuba jako C2 w atakach na Koreę Południową, wykorzystując pliki LNK i skrypty PowerShell do maskowania złośliwego oprogramowania.

Zagrożenia powiązane z Koreą Północną (DPRK) wykorzystują GitHub jako infrastrukturę dowodzenia i kontroli (C2) w wieloetapowych atakach skierowanych przeciwko organizacjom w Korei Południowej, używając plików LNK i skryptów PowerShell do ukrywania złośliwego oprogramowania i zapewnienia trwałości. Ataki te, często inicjowane przez phishing, wykorzystują obfuskację i natywne narzędzia systemu Windows, aby uniknąć wykrycia, a także platformy chmurowe takie jak Dropbox do dalszego rozsyłania złośliwych modułów.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Qilin i Warlock używają podatnych sterowników do wyłączania ponad 300 narzędzi EDR

Qilin i Warlock wykorzystują podatne sterowniki (BYOVD) do wyłączania ponad 300 narzędzi EDR, stanowiąc poważne zagrożenie dla bezpieczeństwa organizacji.

Złośliwe oprogramowanie Qilin i Warlock wykorzystuje technikę BYOVD (Bring Your Own Vulnerable Driver), aby wyłączyć ponad 300 narzędzi EDR (Endpoint Detection and Response) na zainfekowanych systemach. Napastnicy używają złośliwego DLL “msimg32.dll” do ładowania szyfrowanego komponentu EDR killer, który następnie wykorzystuje sterowniki takie jak “rwdrv.sys” i “hlpdrv.sys” do uzyskania dostępu do pamięci fizycznej i terminowania procesów zabezpieczeń, omijając mechanizmy obronne.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)