🔐 Cyber Security Daily News | 08.04.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
Rosja (APT28) przejęła tysiące routerów domowych i biurowych, by kraść tokeny Microsoft Office bez instalowania malware
Brian Krebs i Infosecurity Magazine opisują wielką operację grupy Forest Blizzard (APT28, Fancy Bear, GRU) ujawnioną jednocześnie przez Microsoft i Black Lotus Labs firmy Lumen. Hakerzy nie instalowali żadnego złośliwego oprogramowania — zamiast tego masowo modyfikowali ustawienia DNS na podatnych routerach Mikrotik i TP-Link (głównie starszych, nieaktualizowanych modeli SOHO) tak, by użytkownicy zamiast do prawdziwych serwerów Microsoft trafiali na serwery kontrolowane przez atakujących. W szczytowym momencie (grudzień 2025) operacja obejmowała ponad 18 000 przejętych routerów w ponad 200 organizacjach — rządach, ministerstwach spraw zagranicznych i sektorze prywatnym. Efekt: przechwytywanie tokenów OAuth wystawianych po pomyślnym logowaniu (nawet z MFA), co pozwalało uzyskać bezpośredni dostęp do skrzynek Microsoft 365. NCSC UK wydało szczegółowe ostrzeżenie wraz z listą podatnych modeli sprzętu.
Źródło: Krebs on Security [EN] | Infosecurity Magazine [EN] | HelpNetSecurity [EN]
FBI: straty z cyberprzestępczości wzrosły do 20,9 mld dolarów w 2025 roku — wzrost o 26% w rok
CyberScoop i HelpNetSecurity opisują raport IC3 (Internet Crime Complaint Center) FBI za 2025 rok. Straty z cyberprzestępczości wyniosły niemal 20,9 mld dolarów — wzrost o 26% wobec 2024 roku, a skumulowane straty w latach 2020–2025 przekroczyły 71 mld dolarów. Centrum odbiera niemal 3000 zgłoszeń dziennie. Największą kategorią strat pozostały oszustwa inwestycyjne (8,65 mld dolarów), na miejscu drugim business email compromise (3,05 mld), trzecim tech support scams (2,1 mld). Ofiary powyżej 60. roku życia poniosły największe łączne straty — niemal 7,75 mld dolarów, czyli 37% wszystkich. Pięć najbardziej zgłaszanych wariantów ransomware to Akira, Qilin, INC, BianLian i Play.
Źródło: CyberScoop [EN] | HelpNetSecurity [EN]
CERT Orange Polska: kampania phishingowa podszywa się pod Sławomira Mentzena w fałszywych ofertach inwestycyjnych
CERT Orange Polska ostrzega przed aktywną kampanią phishingową, w której atakujący wykorzystują wizerunek Sławomira Mentzena do promowania fałszywych platform inwestycyjnych. Wiadomości e-mail z jego rzekomym poparciem prowadzą do stron łudząco imitujących legalne platformy inwestycyjne — z formularzami zbierającymi dane osobowe i numery kart płatniczych. Kampanie tego rodzaju, używające wizerunków znanych polityków i przedsiębiorców, są w Polsce stałym problemem — wcześniej podobnie wykorzystywano wizerunki Donalda Tuska, Rafała Brzozki czy prezesów banków. Nigdy nie inwestuj przez platformy znalezione przez media społecznościowe lub reklamy — legalne firmy inwestycyjne nie promują się w ten sposób.
Źródło: CERT Orange Polska [PL]
UNC1069 (Korea Północna) atakuje ofiary metodą ClickFix przez fałszywe strony Microsoft Teams — Sekurak z ostrzeżeniem
Sekurak opisuje nową domenę zidentyfikowaną przez Security Alliance, którą hakerzy z grupy UNC1069 (Korea Północna) używają do hostowania fałszywych stron spotkań Microsoft Teams. Atak polega na typosquattingu: zarejestrowana domena (np. teams.microscell.com) wygląda bliźniaczo do oryginalnej. Gdy ofiara „dołącza" do spotkania, pojawia się fałszywy błąd techniczny wymagający zainstalowania komponentów lub uruchomienia poleceń w terminalu (technika ClickFix) — w rzeczywistości instaluje się trojan zdalnego dostępu (RAT). Kampania jest kontynuacją wcześniejszych ataków grupy na maintainerów Node.js i platformę Drift — cele to programiści, pracownicy sektora finansowego i kryptowalutowego. Zawsze sprawdzaj URL w pasku przeglądarki przed wejściem na „spotkanie".
Źródło: Sekurak [PL]
2. INCYDENTY
Czwarty atak ransomware na polską placówkę medyczną w ciągu 25 dni — tym razem Świętokrzyskie Centrum Rehabilitacji
CyberDefence24 raportuje, że Świętokrzyskie Centrum Rehabilitacji w Czarnieckiej Górze poinformowało o ataku ransomware z 31 marca 2026, w którym zaszyfrowano dane przetwarzane przez placówkę. Nie można wykluczyć, że dane — w tym dokumentacja medyczna pacjentów, dane pracownicze, numery PESEL i dane finansowe — zostały pozyskane przez osoby nieuprawnione przed szyfrowaniem. To już czwarty taki incydent w sektorze polskiej ochrony zdrowia w 25 dni: wcześniej zaatakowane zostały szpital w Szczecinie, Bonifraterskie Centrum Medyczne i Centrum Medyczne Eskulap w Raciborzu. CBZC potwierdza, że za dwa pierwsze ataki prawdopodobnie odpowiada ta sama grupa (ponad 700 podobnych ataków na świecie), natomiast za Eskulap — inna. Poszkodowanym pacjentom i pracownikom zalecane jest zastrzeżenie numeru PESEL.
Źródło: CyberDefence24 [PL]
Biuro Oracle w Dubaju uszkodzone wskutek ataku — trwa wyjaśnianie zakresu incydentu
CRN.pl informuje, że doszło do ataku na biuro Oracle w Dubaju, w wyniku którego mogło dojść do naruszenia danych lub uszkodzenia infrastruktury. Szczegóły incydentu są wciąż wyjaśniane, a Oracle nie opublikował pełnego oświadczenia. Oracle był już wcześniej w centrum kontrowersji związanych z bezpieczeństwem danych — na początku 2026 roku spekulowano o możliwym wycieku z chmury Oracle, choć firma kwestionowała zakres zgłoszonych naruszeń. Incydent w Dubaju wpisuje się w trend ataków na regionalne oddziały globalnych korporacji technologicznych, które bywają słabiej chronione niż centralna infrastruktura.
Źródło: CRN.pl [PL]
Snowflake: klienci dotknięci kradzieżą danych po naruszeniu integratora SaaS — nowe szczegóły ataku łańcuchowego
BleepingComputer opisuje nowe szczegóły ataków na klientów Snowflake: przyczyną było naruszenie integratora SaaS — zewnętrznej firmy zarządzającej środowiskami Snowflake dla wielu klientów. Atakujący uzyskali dostęp do systemu integratora i stamtąd poruszali się po środowiskach poszczególnych klientów, eksfiltrując dane. To klasyczny atak na łańcuch dostaw w modelu SaaS — pojedyncze naruszenie u dostawcy usług zarządzanych otwiera drzwi do dziesiątek klientów jednocześnie. Incydent podkreśla konieczność weryfikacji praktyk bezpieczeństwa nie tylko własnej organizacji, ale też wszystkich podmiotów z dostępem do jej danych w chmurze.
Źródło: BleepingComputer [EN]
3. CIEKAWOSTKI
Niebezpiecznik: Google DeepMind sklasyfikował 6 kategorii ataków na agenty AI — od wstrzyknięć treści po kaskady wieloagentowe
Niebezpiecznik omawia raport Google DeepMind próbujący stworzyć pierwszą kompleksową klasyfikację „pułapek na agenty AI". Badacze wyróżnili 6 kategorii: wstrzykiwanie treści (ukryte polecenia w CSS, komentarzach HTML, składni Markdown — niewidoczne dla człowieka, ale parsowane przez AI), manipulacje semantyczne (skrzywiony emocjonalnie język wprowadzający błędy poznawcze), zatruwanie pamięci i baz wiedzy RAG, kontrola zachowania przez osadzone jailbreaki, pułapki systemowe (ataki na środowiska wieloagentowe, w tym flash-crash finansowy przez zsynchronizowane polecenia) i pułapki na człowieka-nadzorcę. Artykuł zwraca uwagę, że właściciele stron mogą też odwrócić schemat i „grać na nosie" botom AI kradnącym treści, wstrzykując im wybrane, kontrolowane informacje.
Źródło: Niebezpiecznik [PL]
Luka GrafanaGhost: exploit prompt injection w Grafana AI ujawnia dane użytkowników bez śladu w logach
HackRead, Dark Reading i Infosecurity Magazine opisują podatność GrafanaGhost — atak prompt injection wymierzony w asystenta AI wbudowanego w Grafanę (popularne narzędzie do monitorowania i wizualizacji danych). Atakujący mógł wstrzyknąć polecenia do kontekstu AI przez specjalnie spreparowane zapytania, zmuszając asystenta do ujawniania danych z innych dashboardów i źródeł, do których użytkownik normalnie nie ma dostępu. Co szczególnie niepokojące: atak nie pozostawiał śladów w standardowych logach Grafany, co utrudniało wykrycie naruszenia. Grafana opublikowała łatki i zaleca pilną aktualizację.
Źródło: HackRead [EN] | Dark Reading [EN] | Infosecurity Magazine [EN]
4. OSZUSTWA, SCAMY, EXPLOITY
Sekurak: nowy infostealer Infiniti na macOS — atak zaczyna się od fałszywej CAPTCHA i jednego polecenia w terminalu
Sekurak opisuje nowe zagrożenie dla użytkowników macOS: Infiniti Stealer rozprowadzany przez fałszywe strony CAPTCHA. Ofiara odwiedza stronę podszywającą się pod weryfikację „nie jestem robotem", gdzie zamiast kliknięcia przycisku proszona jest o otwarcie Terminala i wklejenie jednego polecenia — technika ClickFix, wcześniej znana głównie na Windowsie, teraz przychodzi na macOS. Wklejone polecenie pobiera i uruchamia infostealera wykradającego hasła z Keychain, ciasteczka przeglądarek, portfele kryptowalutowe i dane kart kredytowych. Infiniti korzysta z Python i Nuitka (kompilator Pythona do binarnych plików wykonywalnych), co utrudnia analizę przez sygnatury antywirusowe. Zasada: nigdy nie wklejaj niczego do terminala, chyba że rozumiesz dokładnie co wklejasz i skąd pochodzi.
Źródło: Sekurak [PL]
Władze rozbijają infrastrukturę DNS hijackingu używaną do kradzieży logowań M365 — zatrzymano 4 osoby
BleepingComputer informuje o koordynowanej akcji organów ścigania USA i Europy, która doprowadziła do zatrzymania czterech osób i likwidacji infrastruktury DNS hijacking służącej do przechwytywania poświadczeń Microsoft 365. Atakujący przejmowali kontrolę nad domenami przez exploitowanie słabo zabezpieczonych rejestrów DNS i przekierowywali ruch do fałszywych stron logowania M365, które w czasie rzeczywistym relayowały dane do prawdziwego Microsoft i przechwytywały sesyjne tokeny. Akcja jest skoordynowana z ostrzeżeniami dotyczącymi APT28 — ale dotyczy innej, prawdopodobnie cyberprzestępczej (nie państwowej) infrastruktury. Rynek „DNS hijacking as a service" jest rosnącym problemem dostępnym dla grup bez zaawansowanych zasobów technicznych.
Źródło: BleepingComputer [EN]
Krytyczna podatność RCE w Flowise (platforma AI no-code) aktywnie eksploitowana — użytkownicy powinni pilnie zaktualizować
BleepingComputer informuje o aktywnym eksploatowaniu krytycznej podatności RCE (Remote Code Execution) w Flowise — popularnej platformie open-source do budowania aplikacji AI w modelu no-code/low-code bez znajomości programowania. Podatność pozwala na zdalne wykonanie kodu bez uwierzytelnienia, co w przypadku narzędzia serwerowego oznacza pełne przejęcie środowiska. Flowise jest szeroko używany przez firmy i deweloperów do szybkiego prototypowania agentów AI i aplikacji opartych na LLM. Łatka jest dostępna — organizacje korzystające z Flowise powinny niezwłocznie zaktualizować do najnowszej wersji lub wyłączyć publiczny dostęp do interfejsu.
Źródło: BleepingComputer [EN]
5. DEZINFORMACJA, CYBER WOJNA
Iran w cyberprzestrzeni: USA ostrzegają przed atakami na infrastrukturę krytyczną — woda, energia i systemy SCADA na celowniku
BleepingComputer i CyberScoop opisują ostrzeżenie wydane przez US CISA, FBI i agencje partnerskie dotyczące irańskich hakerów powiązanych z IRGC, którzy aktywnie atakują systemy sterowania przemysłowego (PLC/SCADA) w sektorach energii i wodociągów w USA i Izraelu. Atakujący nie są zaawansowani technicznie — ich siłą jest determinacja i cierpliwość w exploatowaniu domyślnych haseł i publiczne wystawionych paneli administracyjnych. W 2023 roku ta sama grupa skompromitowała systemy PLC firmy Unitronics w kilku zakładach wodociągowych USA, wyświetlając antyizraelskie komunikaty. Ostrzeżenie podkreśla, że operatorzy infrastruktury krytycznej muszą natychmiast zmienić domyślne hasła i odizolować systemy OT od internetu.
Źródło: BleepingComputer [EN] | CyberScoop [EN]
Rosja płaci arabskim kanałom Telegram za publikację antyukraińskiej dezinformacji — element wojny informacyjnej
Dobreprogramy opisują ujawnienie przez ukraińskie Centrum Komunikacji Strategicznej SPRAVDI schematu, w którym powiązani z Kremlem pośrednicy oferują administratorom arabskich kanałów Telegram wynagrodzenie za publikowanie gotowych filmów wymierzonych w Ukrainę. Materiały oskarżają Kijów o niewywiązywanie się z ustaleń z państwami arabskimi i są przygotowane tak, by wyglądały jak autentyczny głos lokalnych opinii — nie jak oficjalna rosyjska propaganda. SPRAVDI identyfikuje konto „Tsukerok" należące do osoby o imieniu Ksenia jako pośrednika w tej kampanii. Równolegle Rosja angażuje dzieci i nastolatków w organizacjach paramilitarnych do tworzenia treści propagandowych. W 2025 roku odnotowano 540 przypadków zagranicznej manipulacji informacyjnej obejmujących ok. 10,5 tys. kont i platform.
Źródło: Dobreprogramy [PL]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 7 kwietnia 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.