Menu dostępności

Microsoft twierdzi, że miliony różnych urządzeń są zainfekowane

Microsoft twierdzi, że miliony różnych urządzeń są zainfekowane

Microsoft informuje, że miliony urządzeń zostały zaatakowane przez malware, który przekierowuje użytkowników do repozytorium złośliwego oprogramowania hostowanego w GitHubie.

Kampania przypisywana jest grupie nazywanej Storm-0408. Celowano w odwiedzających nielegalne witryny streamingowe, gdzie przekierowania złośliwego oprogramowania prowadziły do witryny pośredniej, a następnie do platformy hostującej kod, należącej do Microsoft.

Do hostowania złośliwego oprogramowania używany był głównie Github, ale także Discord oraz Dropbox. Jak twierdzi Microsoft, zaatakowano organizacje i branże z szerokiego zakresu, w tym zarówno urządzenia konsumenckie, jak i korporacyjne.

Wielowarstwowy łańcuch infekcji zaobserwowany w działaniach hakerów obejmował działający jako dropper ładunek pierwszego etapu hostowany w GitHubie, pliki drugiego etapu do wykrywania systemu i kradzieży informacji systemowych oraz ładunki trzeciego etapu służące do dodatkowych złośliwych działań.

Po zainstalowaniu na urządzeniu ofiary złośliwe oprogramowanie przechowywane w repozytoriach GitHub pobierało i wdrażało dodatkowe pliki i skrypty, aby zbierać informacje o systemie, wykonywać polecenia i eksfiltrować dane z zainfekowanych urządzeń.

Badacze Microsoftu zidentyfikowali oprogramowanie z grupy „złodziei informacji”, takich jak Lumma Stealer, i zaktualizowaną wersję Doenerium, które były wdrażane w systemach ofiar, wraz z softem do zdalnego monitorowania i zarządzania (RMM), jak NetSupport, oraz różnymi skryptami PowerShell, JavaScript, VBScript i AutoIT.

W przypadku operacji typu command-and-control (C&C) oraz eksfiltracji danych i poświadczeń przeglądarki hakerzy korzystali z plików binarnych i skryptów Living-off-the-land, jak PowerShell, MSBuild i RegAsm. W celu zapewnienia trwałości atakujący modyfikowali klucze uruchamiania rejestru i dodawali plik skrótu do folderu Startup.

Według Microsoftu ładunki pierwszego etapu używane w kampanii były podpisane cyfrowo. Microsoft zidentyfikował i unieważnił 12 różnych certyfikatów użytych w ramach ataków. Gigant technologiczny udostępnił szczegóły techniczne na temat zaobserwowanych złośliwych plików i skryptów, wraz ze wskaźnikami zagrożenia (IoC), wzywając organizacje i użytkowników do zapewnienia odpowiedniej ochrony swoich systemów przed takimi atakami. Opis można znaleźć tutaj.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...