1. Ivanti łata krytyczne luki w Connect Secure i Policy Secure
Firma Ivanti wydała aktualizacje zabezpieczeń, które usuwają wiele krytycznych luk w zabezpieczeniach produktów Connect Secure (ICS), Policy Secure (IPS) i Cloud Services Application (CSA). Wśród nich CVE-2024-38657 (wynik CVSS: 9.1) pozwala zdalnie uwierzytelnionym atakującym z uprawnieniami administracyjnymi na zapisywanie dowolnych plików, podczas gdy CVE-2025-22467 (wynik CVSS: 9.9) to przepełnienie bufora oparte na stosie, które umożliwia zdalne wykonanie kodu. Firma załatała te błędy w Ivanti Connect Secure w wersji 22.7R2.6, Ivanti Policy Secure w wersji 22.7R1.3 i Ivanti CSA w wersji 5.0.5. Chociaż nie ma dowodów na to, że luki te są wykorzystywane na wolności, Ivanti wzywa użytkowników do szybkiego zastosowania aktualizacji w celu ograniczenia potencjalnego ryzyka. Działanie to podkreśla znaczenie utrzymywania aktualnych środków bezpieczeństwa w celu ochrony przed pojawiającymi się zagrożeniami. (Źródło: thehackernews.com)
2. Gcore DDoS Radar ujawnia wzrost liczby ataków DDoS o 56% rok do roku
Raport Gcore DDoS Radar analizuje dane ataków z trzeciego i czwartego kwartału 2024 roku, ujawniając 56% wzrost liczby ataków DDoS w porównaniu rok do roku, z największym atakiem osiągającym rekordowe 2 Tbps. Sektor usług finansowych doświadczył najbardziej dramatycznego wzrostu, z 117% wzrostem liczby ataków, podczas gdy branża gier pozostała najbardziej atakowaną. Raport zauważa również trend w kierunku krótszych, intensywnych ataków, które mogą unikać tradycyjnych metod łagodzenia. Czynniki geopolityczne wpływają na wzorce ataków, podkreślając potrzebę solidnych, adaptacyjnych strategii łagodzenia ataków DDoS. Te odkrycia podkreślają rosnącą złożoność i częstotliwość ataków DDoS, co uwydatnia znaczenie zaawansowanych środków ochrony. (Źródło: thehackernews.com) Na naszej stronie można przeczytać o najlepszych rozwiązaniach do ochrony przed atakami DDoS.
3. Hakerzy wykorzystują Menedżera Tagów Google do wdrażania skimmerów kart kredytowych w sklepach Magento
Zaobserwowano, że podmioty atakujące wykorzystują Menedżera tagów Google (GTM) do dostarczania złośliwego oprogramowania do skimmera kart kredytowych na strony e-commerce oparte na Magento. Firma Sucuri, zajmująca się bezpieczeństwem witryn internetowych, twierdzi, że kod, choć wydaje się być typowym skryptem GTM i Google Analytics używanym do analizy witryn internetowych i celów reklamowych, zawiera zaciemniony backdoor zdolny do zapewnienia atakującym stałego dostępu. Analiza wykazała, że złośliwy kod jest ładowany z tabeli "cms_block.content" w bazie danych Magento, a tag GTM zawiera zakodowany skrypt JavaScript działający jako skimmer kart kredytowych. Po uruchomieniu, skrypt ten zbiera wrażliwe dane wprowadzane przez użytkowników podczas procesu płatności i przesyła je na zdalny serwer kontrolowany przez atakujących. To nie pierwszy raz, gdy GTM jest wykorzystywany w celach złośliwych; już w 2018 roku narzędzie to było używane w kampaniach malvertisingowych generujących przychody dla operatorów poprzez wyskakujące okienka i przekierowania. (Źródło: thehackernews.com)
4. Wieloplatformowy program do kradzieży skryptów JavaScript atakuje portfele kryptowalut w nowej kampanii Grupy Lazarus
Grupa Lazarus powiązana z Koreą Północną rozpoczęła kampanię wymierzoną w profesjonalistów z sektora kryptowalut i turystyki, podszywając się pod rekruterów na LinkedIn. Zwabiają oni ofiary obietnicami pracy zdalnej i atrakcyjnego wynagrodzenia. Po wyrażeniu zainteresowania, atakujący proszą o informacje osobiste, takie jak CV czy linki do GitHub, aby uwiarygodnić swoje intencje. Następnie udostępniają link do repozytorium zawierającego rzekomy projekt zdecentralizowanej giełdy, który zawiera zaciemniony plik JavaScript. Plik ten pobiera wieloplatformowego złodzieja informacji, zaprojektowanego do wykradania danych z rozszerzeń portfeli kryptowalut w przeglądarce ofiary. Malware działa również jako ładownik, wdrażając backdoora opartego na Pythonie, który monitoruje aktywność schowka i umożliwia dalsze złośliwe działania. Ten zaawansowany łańcuch ataku podkreśla ewoluujące taktyki aktorów zagrożeń w celu pozyskiwania wrażliwych informacji finansowych. (Źródło: thehackernews.com)
5. Luka dnia zerowego w sterownikach systemu Windows umożliwia atakującym zdalne uzyskanie dostępu do systemu
Krytyczna luka typu zero-day, oznaczona jako CVE-2025-21418, została odkryta w sterowniku systemu Windows, umożliwiając atakującym zdalny dostęp do systemów. Ujawniona 11 lutego 2025 roku, ta luka typu przepełnienia bufora na stercie otrzymała wynik CVSS na poziomie 7,8, co wskazuje na jej powagę. Wykorzystanie tej luki pozwala atakującym na podniesienie uprawnień do poziomu SYSTEM, dając pełną kontrolę nad zaatakowanym systemem. Firma Microsoft wydała aktualizacje zabezpieczeń, aby rozwiązać ten problem w różnych wersjach systemu Windows, w tym Windows 10, Windows 11 oraz wielu edycjach Windows Server. Użytkownikom zdecydowanie zaleca się niezwłoczne zastosowanie tych aktualizacji w celu zminimalizowania potencjalnych zagrożeń. (Źródło: cybersecuritynews.com)
6. Funkcja Safe Browsing w Google Chrome chroni teraz 1 miliard użytkowników
Z okazji Dnia Bezpiecznego Internetu firma Google ogłosiła, że ponad 1 miliard użytkowników Chrome jest teraz chronionych przez tryb Enhanced Protection przeglądarki. Wprowadzona w 2020 roku jako część Google Safe Browsing funkcja ta oferuje dwukrotnie większą ochronę przed phishingiem i oszustwami w porównaniu z trybem standardowym. Enhanced Protection wykorzystuje zaawansowaną sztuczną inteligencję i uczenie maszynowe do analizy adresów URL i treści stron internetowych w czasie rzeczywistym, identyfikując złośliwe witryny naśladujące zaufane domeny. Dodatkowo przeprowadza miesięcznie ponad 300 000 dogłębnych skanów podejrzanych plików w celu wykrycia wcześniej nieznanego złośliwego oprogramowania, nawet ukrytego w zaszyfrowanych archiwach. Pomimo swoich zaawansowanych możliwości priorytetem pozostaje prywatność użytkowników, a dane są anonimizowane i przechowywane tylko tak długo, jak to konieczne do zwiększenia bezpieczeństwa. Włączając Enhanced Protection, użytkownicy nie tylko poprawiają swoje własne bezpieczeństwo, ale także przyczyniają się do bezpieczniejszego internetu dla wszystkich. (Źródło: cybersecuritynews.com)
7. Północnokoreańscy hakerzy wykorzystują PowerShell do przejmowania urządzeń w nowym cyberataku
Powiązana z Koreą Północną grupa hakerska Kimsuky przyjęła nową taktykę kompromitowania celów, przekonując je do wykonania złośliwych poleceń PowerShell. Podszywając się pod urzędników rządu Korei Południowej, atakujący budują zaufanie z ofiarami, a następnie wysyłają e-maile phishingowe z załącznikami PDF. E-maile te kierują odbiorców do adresu URL z instrukcjami rejestracji systemu Windows, co obejmuje uruchomienie PowerShell jako administrator i wykonanie dostarczonego fragmentu kodu. Jeśli ofiara postąpi zgodnie z instrukcjami, kod ten instaluje narzędzie zdalnego pulpitu oparte na przeglądarce oraz plik certyfikatu z zakodowanym numerem PIN zdalnego serwera, zapewniając atakującym nieautoryzowany dostęp do urządzenia ofiary i umożliwiając wyciek danych. Microsoft zaobserwował tę metodę w ograniczonych atakach od stycznia 2025 roku, co stanowi odejście od tradycyjnych technik Kimsuky. (Źródło: thehackernews.com)
8. 3 największe zagrożenia ransomware aktywne w 2025 r.
W 2025 roku trzy rodziny ransomware - LockBit, Lynx i Virlock - stanowiły poważne zagrożenie dla organizacji z różnych sektorów. LockBit słynie ze skutecznego szyfrowania i podwójnych taktyk wymuszeń, często żądając wielomilionowych okupów. Lynx wykorzystuje zaawansowane techniki unikania ataków, dzięki czemu jego wykrycie jest trudne dla tradycyjnych środków bezpieczeństwa. Virlock wyróżnia się połączeniem ransomware z samoreplikującym się złośliwym oprogramowaniem, umożliwiając mu szybkie rozprzestrzenianie się w sieciach. Te warianty ransomware nie tylko szyfrują dane, ale także eksfiltrują poufne informacje, wykorzystując groźbę publicznego ujawnienia, aby zmusić ofiary do zapłacenia okupu. Szkody finansowe i reputacyjne wynikające z takich ataków podkreślają krytyczną potrzebę wdrożenia przez organizacje proaktywnych środków cyberbezpieczeństwa i przeprowadzania regularnych ocen podatności. (Źródło: thehackernews.com)
9. Apple wydaje pilną łatkę na lukę w zabezpieczeniach USB
Firma Apple wydała pilną aktualizację zabezpieczeń w celu usunięcia luki w zabezpieczeniach o nazwie CVE-2025-24200, która mogła zostać wykorzystana w wysoce wyrafinowanych atakach skierowanych przeciwko konkretnym osobom. Luka ta umożliwia atakującym z fizycznym dostępem do zablokowanego urządzenia wyłączenie trybu ograniczonego USB, funkcji bezpieczeństwa zaprojektowanej w celu zapobiegania nieautoryzowanemu dostępowi do danych przez port Lightning urządzenia. Tryb USB Restricted Mode ogranicza połączenia danych po zablokowaniu urządzenia przez ponad godzinę, ograniczając dostęp tylko do ładowania. Aktualizacja zabezpieczeń jest dostępna dla iPhone'a XS i nowszych modeli, różnych wersji iPada Pro, iPada Air trzeciej generacji i nowszych, iPada siódmej generacji i nowszych oraz iPada mini piątej generacji i nowszych. Użytkownikom zaleca się niezwłoczne zainstalowanie aktualizacji, aby chronić swoje urządzenia przed potencjalnym wykorzystaniem. (Źródło: darkreading.com)
10. Sztuczna inteligencja DeepSeek nie przechodzi wielu testów bezpieczeństwa, podnosząc czerwoną flagę dla firm
Niedawne oceny bezpieczeństwa zidentyfikowały znaczące luki w aplikacjach AI firmy DeepSeek. Kompleksowa ocena przeprowadzona przez AppSOC wykazała, że generatywny model sztucznej inteligencji DeepSeek nie przeszedł wielu testów bezpieczeństwa, wykazując wysoki wskaźnik niepowodzeń w obszarach takich jak generowanie złośliwego oprogramowania i podatność na ataki typu prompt injection. Ponadto Wiz Research odkrył ujawnioną bazę danych ClickHouse należącą do DeepSeek, która zawierała ponad milion wierszy poufnych informacji, w tym historie czatów i tajne klucze. Dalsza analiza przeprowadzona przez NowSecure ujawniła krytyczne błędy w aplikacji mobilnej DeepSeek na iOS, takie jak niezaszyfrowana transmisja danych i niezabezpieczone przechowywanie danych. Odkrycia te podkreślają natychmiastową potrzebę zachowania ostrożności przez organizacje i wdrożenia solidnych środków bezpieczeństwa przy rozważaniu integracji rozwiązań AI DeepSeek z ich operacjami. (Źródło: darkreading.com)
Ostatnie wydarzenia ponownie podkreślają, że cyberbezpieczeństwo to nie jednorazowe działanie, lecz nieustanny proces. Niezależnie od tego, czy chodzi o eliminowanie podatności, przewidywanie nowych zagrożeń czy adaptację do zmieniających się metod ataku, kluczem do skutecznej ochrony jest ciągła czujność. Organizacje muszą regularnie oceniać swoje strategie bezpieczeństwa i dostosowywać je do dynamicznego środowiska cyfrowego. Tylko poprzez proaktywne podejście można zapewnić odpowiednią odporność na cyberzagrożenia.
