🔐 Cyber Security Daily News | 07.04.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
CISA i CERT Polska nakazują pilne załatanie podatności FortiClient EMS CVE-2026-35616 — atak jest aktywnie eksploitowany
Federalna agencja CISA nakazała wszystkim agencjom rządowym USA załatanie podatności CVE-2026-35616 w FortiClient EMS do piątku, co jest sygnałem skrajnej pilności. Fortinet wypuścił poprawki awaryjne po potwierdzeniu aktywnego eksploatowania luki w środowiskach produkcyjnych. Podatność pozwala nieautoryzowanemu atakującemu na zdalne wykonanie kodu — wystarczy wysłanie odpowiednio spreparowanego zapytania do serwera. Luka dotyczy FortiClient EMS w wersjach 7.2.x i 7.4.x, a jej charakter sprawia, że zagrożone są centralne systemy zarządzania agentami bezpieczeństwa w całych organizacjach. The Register podkreśla, że poprawka Fortinetu wyszła w trybie awaryjnym, co jest rzadkością nawet przy poważnych CVE. Security Affairs i BleepingComputer potwierdzają, że ataki były obserwowane jeszcze przed publicznym ogłoszeniem luki.
Źródło: CISA [EN] | BleepingComputer [EN] | The Register [EN] | Security Affairs [EN]
Google ogłasza przejście na kryptografię post-kwantową do 2029 roku — w ślad za rządowymi wymogami NIST
Bruce Schneier komentuje deklarację Google o pełnym przejściu na algorytmy odporne na ataki komputerów kwantowych do 2029 roku. Decyzja wpisuje się w harmonogram wymagań NIST, który zobligował agencje rządowe USA do wdrożenia post-kwantowych standardów ML-KEM i ML-DSA. Schneier zauważa, że motywacją nie jest przekonanie, że komputery kwantowe będą gotowe do złamania RSA już w 2029, lecz tzw. „crypto-agility" — zdolność do szybkiej zmiany algorytmów kryptograficznych w razie potrzeby. Strategia „harvest now, decrypt later" (zbieranie zaszyfrowanych danych teraz, by odszyfrować je po pojawieniu się kwantowego komputera) czyni migrację pilniejszą niż mogłoby się wydawać. Decyzja Google wywrze presję na dostawców i firmy korzystające z jej ekosystemu do przyspieszenia własnych harmonogramów migracji.
Źródło: Schneier on Security [EN] | Cyberscoop [EN]
Microsoft łączy afilianta ransomware Medusa z atakami zero-day — nowe szczegóły kampanii Storm-1175
Microsoft Security Blog opublikował raport łączący grupę Storm-1175 (afilianta ransomware Medusa) z seriami ataków na publicznie dostępne zasoby webowe, w tym z eksploatowaniem znanych podatności przed ich publicznym ujawnieniem. Ataki prowadzone są w bardzo wysokim tempie — Storm-1175 masowo skanuje internet w poszukiwaniu podatnych aplikacji webowych i systemów CMS, a po uzyskaniu dostępu błyskawicznie deployuje ransomware. Raport podkreśla ewolucję modelu Medusa RaaS (Ransomware-as-a-Service): coraz krótszy czas od przejęcia do szyfrowania, często mierzony w godzinach. Organizacje z wyeksponowanymi aplikacjami webowymi są proszone o priorytetowe zaktualizowanie systemów i wdrożenie segmentacji sieci.
Źródło: Microsoft Security Blog [EN] | BleepingComputer [EN]
2. INCYDENTY
Niemcy ujawniają tożsamość „UNKN" — szefa gangów ransomware REvil i GandCrab
Krebs on Security opisuje przełomowy krok niemieckiego Bundeskriminalamt (BKA): ujawnienie tożsamości hakera kryjącego się pod pseudonimem UNKN — 31-letniego Daniila Maksimowicza Szczukina z Krasnodaru, który kierował gangami ransomware GandCrab i REvil. GandCrab od 2018 roku zapracował ponad 2 miliardy dolarów od ofiar na całym świecie; REvil kontynuował działalność po „zamknięciu" GandCrab i stał się jednym z najbardziej dochodowych gangów ransomware w historii — odpowiada m.in. za atak na Kaseya w 2021 roku. BKA powiązało Szczukina z co najmniej 130 aktami sabotażu komputerowego i wymuszenia w Niemczech, powodując szkody przekraczające 35 milionów euro. Ponieważ Szczukin przebywa prawdopodobnie w Rosji, perspektywa ekstradycji jest odległa, ale doxxing staje się narzędziem nacisku i ostrzeżeniem dla innych operatorów ransomware.
Źródło: Krebs on Security [EN] | Security Affairs [EN]
Szczegóły kradzieży 285 mln dolarów z Drift Protocol: sześć miesięcy podszywania się pod firmę tradingową przez hakerów z Korei Północnej
HackRead i BleepingComputer ujawniają pełne kulisy ataku na platformę DeFi Drift Protocol, który 1 kwietnia 2026 roku zakończył się kradzieżą 285 milionów dolarów. Sprawcy z grupy UNC4736 (Korea Północna, powiązana też z nazwami AppleJeus i Citrine Sleet) od końca 2025 roku budowali relację z pracownikami Drift, podszywając się pod profesjonalną firmę quantitative trading — spotykali się osobiście na konferencjach kryptowalutowych w różnych krajach i wpłacili nawet milion dolarów jako „wkład" do jednego z vaultów platformy. Dopiero po zbudowaniu zaufania skłonili pracowników do pobrania złośliwych aplikacji lub sklonowania zainfekowanych repozytoriów kodu. Atak zakończył się tzw. durable nonce attack w ciągu mniej niż minuty. To kolejny dowód, że nawet bezpośrednie, osobiste relacje biznesowe mogą być fikcją budowaną przez państwowych hakerów.
Źródło: HackRead [EN] | BleepingComputer [EN]
Producent stalkerware pcTattleTale skazany — pierwsza taka sprawa w USA od 2014 roku
CyberScoop informuje o wyroku w sprawie Bryana Fleminga, twórcy stalkerware pcTattleTale. Sędzia federalny skazał go na nadzorowane zwolnienie i grzywnę 5000 dolarów — bez kary pozbawienia wolności. Fleming przyznał się do świadomego tworzenia i sprzedaży oprogramowania do potajemnego podsłuchiwania komunikacji. pcTattleTale umożliwiało ciche nagrywanie wideo aktywności na urządzeniu ofiary i przesyłanie ich do zdalnego dashboardu — i było wprost reklamowane jako narzędzie do szpiegowania partnerów. Firma zakończyła działalność w 2024 roku po własnym wycieku danych. Jest to pierwsza skazywana sprawa za stalkerware od 2014 roku i ważny sygnał dla twórców podobnych narzędzi, choć wymiar kary budzi kontrowersje.
Źródło: CyberScoop [EN]
3. CIEKAWOSTKI
Kampania AI-phishingowa „device code" wspierana przez narzędzia AI — Microsoft dokumentuje nową falę ataków
Microsoft Security Blog opisuje nową, masową kampanię phishingową opartą na metodzie „device code", w której atakujący po raz pierwszy na tak dużą skalę używają narzędzi AI do automatyzacji całego cyklu ataku — od generowania spersonalizowanych wiadomości, przez zarządzanie infrastrukturą, aż po real-time relay kody uwierzytelniające. Device code phishing polega na tym, że ofiara nieświadomie autoryzuje dostęp atakującego do konta Microsoft 365 lub Entra ID, wpisując spreparowany kod w prawdziwym portalu Microsoft. AI pozwala atakującym personalizować setki wiadomości jednocześnie i adaptować komunikaty do profilu celu w czasie rzeczywistym — tradycyjna filtracja e-mail staje się mniej skuteczna wobec tak dynamicznie generowanych treści.
Źródło: Microsoft Security Blog [EN]
Google DeepMind mapuje wektory ataków na agentów AI — nowy raport o bezpieczeństwie systemów autonomicznych
SecurityWeek opisuje raport Google DeepMind mapujący zagrożenia specyficzne dla agentów AI — autonomicznych systemów, które mogą wykonywać działania w internecie w imieniu użytkownika. Badacze identyfikują nowe klasy ataków: prompt injection przez strony webowe (agent odwiedzający złośliwą stronę otrzymuje polecenie zmiany swojego zachowania), ataki na pamięć agenta (modyfikacja historii kontekstu), eksfiltracja danych przez łańcuch wywołań narzędzi i manipulacja wynikami wyszukiwania, na których opiera się agent. Raport jest ważny, bo agenty AI są wdrażane w coraz bardziej wrażliwych kontekstach — obsługa poczty, wykonywanie transakcji, zarządzanie plikami.
Źródło: SecurityWeek [EN]
Ruch z rezydencjalnych proxy coraz trudniejszy do zablokowania — 78% sesji atakujących pochodzi z legalnych adresów IP domowych
HelpNetSecurity opisuje rosnący problem dla korporacyjnych systemów bezpieczeństwa: atakujący coraz częściej kierują złośliwy ruch przez sieci rezydencjalnych proxy — usług, które „pożyczają" adresy IP prawdziwych domowych użytkowników internetu (często z ich świadomą lub nieświadomą zgodą). Według raportu 78% ruchu w aktywnych kampaniach credential stuffing pochodzi z takich „czystych" adresów IP, które nie figurują na listach reputacyjnych. Tradycyjna ochrona oparta na reputacji IP staje się de facto niewystarczająca. Raport zaleca przejście na kontrolę behawioralną: anomalie w czasie wpisywania, wzorce użycia i fingerprinting urządzenia zamiast filtrowania po adresie IP.
Źródło: HelpNetSecurity [EN]
4. OSZUSTWA, SCAMY, EXPLOITY
Kampania phishingowa w QR kodach wyzyskuje napięcia wokół konfliktu Iran-USA-Izrael — cel: konta Microsoft
HackRead opisuje nową kampanię phishingową wykrytą przez Cofense, w której atakujący wysyłają fałszywe alerty rządowe o ataku rakietowym, rzekomo od Ministerstwa Spraw Wewnętrznych i Obrony Cywilnej. E-maile zawierają pilny komunikat z kodem QR do „oficjalnych procedur bezpieczeństwa" — zamiast linku, co pozwala ominąć filtry antyspamowe skanujące URL-e. Po zeskanowaniu kodu ofiara trafia na fałszywą stronę Microsoft z realnym interfejsem logowania. Schemat klasycznie łączy strach i autorytet z presją czasu. W praktyce: nigdy nie wpisuj poświadczeń Microsoft na stronie znalezionej przez QR kod z e-maila — niezależnie od tego, jak pilny jest komunikat.
Źródło: HackRead [EN]
Phishing M365 omijający MFA przez przejęcie sesji — nowa analiza techniki AiTM
CySecurity opisuje rosnącą liczbę ataków AiTM (Adversary-in-the-Middle) wymierzonych w Microsoft 365, które skutecznie omijają wieloskładnikowe uwierzytelnianie. Atak polega na umieszczeniu serwera proxy między ofiarą a prawdziwym Microsoft — ofiara loguje się na prawdziwym koncie, ale atakujący przechwytuje sesyjne cookie wystawione po pomyślnym uwierzytelnieniu. Od tego momentu atakujący może operować kontem bez znajomości hasła i bez konieczności posiadania urządzenia z aplikacją 2FA. Kampanie tego rodzaju są szczególnie skuteczne wobec pracowników klikających linki w e-mailach, co podkreśla znaczenie kluczy bezpieczeństwa FIDO2 (odpornych na AiTM) jako jedynego skutecznego zabezpieczenia w tym kontekście.
Źródło: CySecurity News [EN]
Nowe oszustwa QR kodami podszywające się pod mandaty drogowe — kampania aktywna w USA
BleepingComputer opisuje kampanię phishingową, w której fałszywe SMS-y informują odbiorców o niezapłaconym mandacie drogowym lub opłacie za parkowanie i proszą o natychmiastową zapłatę poprzez zeskanowanie kodu QR. Kwoty są celowo małe (kilkanaście dolarów), by ofiara nie kwestionowała transakcji, a adres URL generowany przez kod prowadzi do strony imitującej oficjalne portale miejskie lub stanowe. Po wpisaniu danych karty płatniczej informacje te są wykradane, a karta może być użyta do kolejnych transakcji. Kampanie QR phishing rosną dlatego, że kody są trudne do szybkiego weryfikowania wzrokiem — w odróżnieniu od URL-a, nie można ich „zerknąć" przed kliknięciem.
Źródło: BleepingComputer [EN]
5. DEZINFORMACJA, CYBER WOJNA
Kampania CanisterWorm łączy atak na łańcuch dostaw, kasowanie danych i kontrolę C2 przez blockchain
CySecurity opisuje kampanię CanisterWorm — wyjątkową kombinację trzech technik jednocześnie: ataku na łańcuch dostaw otwartego oprogramowania, wiperware kasującego dane na zainfekowanych systemach i nowatorskiego mechanizmu command-and-control opartego na blockchainie. Infrastruktura C2 osadzona w blockchainowych transakcjach jest niemal niemożliwa do zablokowania — nie istnieje centralny serwer, który można odciąć. Kampania była wymierzona w irańską infrastrukturę, a jej atrybucja wskazuje na actora powiązanego z kontrwywiadem zachodnich służb lub Izraela. To istotny sygnał ewolucji cyberwojny: widziana wcześniej jako destrukcyjna siła zaczyna łączyć się z trwałymi, trudnymi do wykrycia mechanizmami kontroli.
Źródło: CySecurity News [EN]
Iran powiązany z kampanią password spraying wymierzoną w zachodnie organizacje rządowe i wojskowe
The Hacker News opisuje nową kampanię irańskiej grupy APT prowadzącej masowe ataki password spraying — metodę, w której jedno popularne hasło (np. „Spring2026!") jest testowane na tysiącach kont zamiast wielokrotnie atakować jedno. Kampania koncentruje się na organizacjach rządowych, wojskowych i obronnych w USA, Europie i Izraelu, co wpisuje się w kontekst narastającego konfliktu USA-Iran-Izrael. Ataki mają charakter rozpoznawczy — celem jest uzyskanie dostępu do skrzynek e-mailowych i dokumentów bez wzbudzania alertów systemów wykrywania, które blokują wielokrotne błędne logowania na jedno konto. Obrona: silne, unikalne hasła i MFA odporna na AiTM (klucze FIDO2).
Źródło: The Hacker News [EN]
Korea Północna używa GitHub jako kanału C2 w nowej kampanii szpiegowskiej — DPRK hackers target maintainers
The Hacker News opisuje nową technikę stosowaną przez grupy APT z Korei Północnej, w której GitHub jest wykorzystywany nie tylko jako platforma do dystrybucji złośliwego oprogramowania, ale jako aktywny kanał command-and-control. Malware zainstalowany na skompromitowanych maszynach regularnie odpytuje specyficzne repozytoria GitHub lub pliki gist w poszukiwaniu zaszyfrowanych poleceń, a wyniki działań odsyła w zaciemnionej formie do publicznych commitów. Technika ta skutecznie omija standardowe systemy monitorowania ruchu sieciowego, bo ruch do GitHub wygląda normalnie. Kampania wpisuje się w szerszy wzorzec ataków UNC1069 na maintainerów Node.js i ataku na Drift Protocol — w ciągu jednego tygodnia Korea Północna zademonstrowała wyjątkową zdolność do wielowektorowych, wyrafinowanych operacji.
Źródło: The Hacker News [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 6 kwietnia 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.