🔐 Cyber Security Daily News | 23.03.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
FBI i CISA potwierdzają: rosyjskie służby wywiadowcze stoją za kampanią przejęć kont Signal i WhatsApp
FBI, we wspólnym komunikacie z CISA, oficjalnie powiązało trwającą kampanię phishingową wymierzoną w Signal i WhatsApp z rosyjskimi służbami wywiadowczymi. Kampania dotyczy osób o wysokiej wartości wywiadowczej — urzędników rządowych, wojskowych, polityków i dziennikarzy, zarówno aktywnych jak i byłych. W wyniku działań atakujący uzyskali nieuprawniony dostęp do tysięcy kont. Technika jest znana: sprawcy podszywają się pod „Signal Support", wysyłają link lub kod QR, który — po kliknięciu — paruje urządzenie przestępców z kontem ofiary, dając pełny wgląd w korespondencję. Ważne: Signal wprost podkreśla, że nigdy nie inicjuje kontaktu przez wiadomości w aplikacji, SMS ani media społecznościowe i nie prosi o kody weryfikacyjne ani PINy. Wszelkie takie prośby to próba oszustwa. Francja (ANSSI) wydała analogiczne ostrzeżenie w tym samym czasie.
Źródło: The Hacker News [EN] | CyberScoop [EN] | Security Affairs [EN]
USA, Kanada i Niemcy rozbijają cztery botnety IoT odpowiedzialne za rekordowe ataki DDoS
Departament Sprawiedliwości USA, wspólnie z organami ścigania Kanady i Niemiec, zneutralizował infrastrukturę czterech botnetów opartych na urządzeniach IoT: Aisuru, Kimwolf, JackSkid i Mossad. Łącznie sieć obejmowała ponad 3 miliony zainfekowanych routerów i kamer, a łączna liczba poleceń ataków DDoS sięgnęła setek tysięcy — powodując realne straty u ofiar sięgające dziesiątek tysięcy dolarów plus koszty naprawy. Najstarszy z botnetów, Aisuru, pojawił się pod koniec 2024 roku i już w 2025 bił rekordy DDoS. Kimwolf był wariantem Aisuru z nowatorskim mechanizmem infekcji urządzeń ukrytych za sieciami wewnętrznymi. KrebsOnSecurity wskazał jako głównego operatora Kimwolf 22-letniego Kanadyjczyka, a podejrzanym jest też 15-latek z Niemiec. Przy operacji współpracowało niemal 25 firm technologicznych.
Źródło: Krebs on Security [EN] | The Register [EN]
CISA dodaje luki w produktach Apple, Laravel i Craft CMS do katalogu aktywnie eksploitowanych podatności
Agencja CISA zaktualizowała swój katalog KEV (Known Exploited Vulnerabilities) o nowe podatności, w tym luki w Safari i WebKit od Apple, frameworku PHP Laravel (CVE-2024-52301) oraz systemie CMS Craft. Dodanie do katalogu KEV oznacza, że podatności są aktywnie wykorzystywane przez rzeczywistych atakujących — nie tylko teoretycznie możliwe do wykorzystania. Luka w Laravel dotyczy nieprawidłowego przetwarzania parametrów żądań HTTP i może prowadzić do nieautoryzowanego dostępu do danych lub eskalacji uprawnień. Administratorzy systemów i deweloperzy używający tych technologii powinni jak najszybciej aplikować dostępne łatki, a agencje federalne USA mają na to określone ustawowe terminy (zazwyczaj 3 tygodnie dla KEV).
Źródło: The Hacker News [EN] | Security Affairs [EN]
2. INCYDENTY
Irańska grupa Handala użyła malware wiper przeciwko amerykańskiej firmie Stryker
Irańska grupa haktywistyczna Handala przypisała sobie atak na Stryker — jednego z największych na świecie producentów sprzętu medycznego i implantów. Atak polegał na wdrożeniu malware typu wiper, który kasuje dane i uniemożliwia uruchomienie systemów. W efekcie pracownicy firmy przez pewien czas nie mogli uzyskać dostępu do systemów korporacyjnych. Handala to ta sama grupa, którą FBI i DOJ uderzyły przejmując jej strony internetowe w tygodniu 20 marca — na których dotychczas publikowała informacje o swoich atakach i dane pracowników firm współpracujących z izraelskim wojskiem. CySecurity potwierdza, że atak na Stryker nastąpił bezpośrednio po wojskowych uderzeniach USA i Izraela na Iran. Wiper ataki nie są przypadkowe — ich celem jest zadanie maksymalnych szkód operacyjnych, nie kradzież danych.
Źródło: CySecurity News [EN]
Naruszenie infrastruktury skanera bezpieczeństwa Trivy — złośliwy infostealer dystrybucją przez GitHub Actions
BleepingComputer opisuje poważny incydent supply chain: atakujący naruszyli infrastrukturę projektu Trivy — popularnego skanera bezpieczeństwa kontenerów i obrazów używanego przez dziesiątki tysięcy organizacji. Złośliwy kod wstrzyknięty do pipeline'u GitHub Actions dystrybuował infostealera do systemów, które uruchamiały zainfekowane przepływy pracy CI/CD. Trivy jest narzędziem szczególnie popularnym w środowiskach DevSecOps — jego naruszenie to klasyczny atak na łańcuch dostaw, gdzie zaufanie do narzędzia bezpieczeństwa obrócono przeciwko jego użytkownikom. Administratorzy używający Trivy w automatycznych pipeline'ach powinni sprawdzić historię wykonań i logi pod kątem podejrzanej aktywności w ostatnich tygodniach.
Źródło: BleepingComputer [EN]
CERT Polska ostrzega przed kampanią phishingową podszywającą się pod powiadomienia o wygaśnięciu domeny
CERT Polska opublikował ostrzeżenie przed nową kampanią wymierzoną we właścicieli stron internetowych i firm. Przestępcy rozsyłają wiadomości e-mail podszywające się pod registratorów domen lub ich partnerów, informując o rzekomym „wygasaniu domeny" i konieczności pilnego odnowienia. Linki prowadzą do fałszywych stron płatności, gdzie przechwytywane są dane kart kredytowych. Kampania jest szczególnie podstępna, bo trafia do osób rzeczywiście zarządzających domenami i stronami — a komunikat wygląda wiarygodnie, często z logiem realnych firm rejestrationowych. Przed kliknięciem w jakikolwiek link dotyczący domeny zawsze loguj się bezpośrednio do panelu swojego registratora — nigdy przez e-mailowy odnośnik.
Źródło: CERT Polska [PL]
3. CIEKAWOSTKI
DarkSword: łańcuch exploitów iOS wykorzystywany przez aktorów państwowych i komeryjne narzędzia spyware
Google Threat Intelligence opublikował analizę zestawu exploitów iOS nazwanego DarkSword, łączącego sześć podatności w iOS i Safari, by zainfekować urządzenie po samym odwiedzeniu złośliwej strony (atak drive-by). Działa przeciwko iOS 18.4–18.7. Wśród dostarczanego malware jest Ghostblade — zbieracz danych, który jednorazowo eksfiltruje SMS-y, wiadomości iMessage, WhatsApp, Telegram, historię połączeń, zdjęcia, dane zdrowotne, klucze Wi-Fi, ciasteczka Safari, dane portfeli kryptowalutowych i wiele więcej, a po wszystkim usuwa swoje ślady. Kampanie DarkSword obserwowano w Arabii Saudyjskiej, Turcji, Malezji i Ukrainie. Rozwiązanie jest proste: aktualizacja iOS do najnowszej wersji. Osoby szczególnie narażone (dziennikarze, aktywiści) powinny włączyć tryb Lockdown Mode.
Źródło: Malwarebytes [EN] | Kapitan Hack [PL]
Pozycja lotniskowca Charles de Gaulle ujawniona przez aplikację Strava żołnierza biegającego na pokładzie
Niebezpiecznik opisuje kolejny głośny incydent z aplikacją do śledzenia aktywności fizycznej. Tym razem wpadkę zaliczyli Francuzi — jeden z żołnierzy na pokładzie lotniskowca Charles de Gaulle nie wyłączył Stravy podczas treningu biegowego, co pozwoliło dziennikarzom Le Monde dokładnie zidentyfikować pozycję okrętu w czasie rzeczywistym. Lotniskowce są duże i widoczne na zdjęciach satelitarnych, więc sama lokalizacja statku nie jest tajemnicą — ale Strava ujawnia też dane osobowe: kto konkretnie jest na misji, gdzie biegał wcześniej i gdzie mieszka. To otwiera drogę do precyzyjnego profilowania i operacji wywiadowczych. Sprawa to klasyczna lekcja OPSEC: żołnierze (i wszyscy, którym zależy na prywatności) nie powinni używać aplikacji przesyłających lokalizację nawet w miejscach oficjalnie znanych.
Źródło: Niebezpiecznik [PL]
4. OSZUSTWA, SCAMY, EXPLOITY
VoidStealer: nowy infostealer kradnie zaszyfrowany klucz główny Chrome przez mechanizm debuggera
BleepingComputer opisuje VoidStealera — nowego infostealera, który wyróżnia się podejściem do kradzieży haseł z Chrome. Zamiast tradycyjnie wyciągać hasła z bazy danych (co jest coraz bardziej utrudniane przez mechanizmy ochrony przeglądarek), VoidStealer łączy się z Chrome przez protokół debugowania Chrome DevTools, co daje mu dostęp do zaszyfrowanego klucza głównego (App-Bound Encryption Key). Z tym kluczem może odszyfrować wszystkie przechowywane hasła, tokeny i dane autouzupełnienia — ominując ochronę, którą Google wdrożyło właśnie po to, by tradycyjne stealery nie działały. To eskalacja wyścigu zbrojeń między producentami przeglądarek a autorami malware. Przy obecnym podejściu najlepsza ochrona to menadżer haseł z MFA, tak by kradzież samych haseł z przeglądarki nie wystarczyła.
Źródło: BleepingComputer [EN]
Fałszywe zaproszenia na spotkanie Zoom instalują malware na Windowsie
HackRead opisuje kampanię phishingową opartą na fałszywych zaproszeniach Zoom. Ofiara otrzymuje wiadomość (e-mail lub komunikator) z pozornie legalnym linkiem do spotkania Zoom. Kliknięcie zamiast do aplikacji prowadzi do strony, która — zależnie od wariantu kampanii — albo uruchamia złośliwy plik wykonywalny, albo stosuje technikę ClickFix (prośba o „weryfikację" przez uruchomienie polecenia w terminalu). Zainfekowane komputery otrzymują backdoor umożliwiający zdalny dostęp do systemu i kradzież danych. Kampania jest aktywna w kilku krajach Europy. Zawsze weryfikuj linki Zoom bezpośrednio w aplikacji lub na zoom.us — nigdy przez zewnętrzne e-mailowe linki, a już w szczególności gdy zaproszenie jest nieoczekiwane.
Źródło: HackRead [EN]
Muzyk skazany za wielomilionowe oszustwo streamingowe oparte na botach AI
BleepingComputer informuje o wyroku skazującym muzyka, który stworzył i wdrożył skalowany system botów AI do generowania fałszywych odtworzeń jego własnych nagrań na platformach streamingowych. Schemem wyłudził ponad 10 milionów dolarów od platform muzycznych, które wypłacały tantiemy na podstawie liczby streamów. System obejmował tysiące fałszywych kont użytkowników i automatycznych urządzeń odtwarzających muzykę nieprzerwanie przez całą dobę. Sprawa jest ważnym precedensem: po raz pierwszy tak duże oszustwo streamingowe z użyciem AI doczekało się wyroku skazującego w USA. Platformy muzyczne od lat wiedzą o problemie z fałszywymi streamami, ale skala i wyrafinowanie automatyzacji przez AI sprawia, że wykrycie staje się coraz trudniejsze.
Źródło: BleepingComputer [EN]
5. DEZINFORMACJA, CYBER WOJNA
FBI przejmuje strony irańskiej grupy Handala po ataku na Stryker
FBI i Departament Sprawiedliwości USA przejęły kontrolę nad dwiema stronami internetowymi zarządzanymi przez irańską grupę haktywistyczną Handala — tę samą, która przeprowadziła atak wiperowy na Stryker. Na pierwszej stronie Handala publikowała informacje o przeprowadzonych cyberatakach; na drugiej — dane osobowe rzekomych pracowników firm współpracujących z izraelskim wojskiem (praktyka znana jako „doxing"). Komunikat FBI na przejętych domenach wskazuje, że były one używane do przeprowadzania lub wspierania cyberataków w imieniu zagranicznego aktora państwowego. Sama Handala określiła działania służb jako „desperacką próbę uciszenia głosu organizacji" i zapowiedziała kontynuację działalności. Operacja jest elementem szerszej odpowiedzi USA na irańskie operacje cyberwojny.
Źródło: CyberDefence24 [PL]
Rosja dostarcza Iran wsparcia wywiadowczego i technicznego do cyberkontrataku
CyberDefence24 informuje o doniesieniach wskazujących, że Rosja aktywnie pomaga Iranowi w prowadzeniu operacji cybernetycznych wymierzonych w USA i Izrael po atakach kinetycznych z końca lutego. Wsparcie ma charakter zarówno techniczny (narzędzia, infrastruktura), jak i wywiadowczy (wymiana informacji o celach i podatnościach). To nie pierwsza współpraca Moskwy i Teheranu w cyberprzestrzeni — Rosja wcześniej przekazywała Iranowi technologie rozpoznawania twarzy, a irańskie grupy APT i rosyjskie były obserwowane używające zbliżonych technik i infrastruktury. Sytuacja komplikuje geopolityczny krajobraz: zachodnie organizacje stają się celem nie jednego, lecz dwóch zsynchronizowanych aktorów państwowych, co zwiększa wolumen i wyrafinowanie ataków jednocześnie.
Źródło: CyberDefence24 [PL]
Troje osób skazanych w USA za schemat północnokoreańskich pracowników IT
CyberScoop informuje o wyrokach skazujących dla trzech osób powiązanych z szeroko opisywanym schematem, w którym obywatele Korei Północnej pod fałszywymi tożsamościami podejmowali zatrudnienie w zachodnich firmach jako zdalni pracownicy IT. Zarobione w ten sposób pieniądze trafiały do Pjongjangu, finansując m.in. program nuklearny. Schemem objęte były firmy z USA, Europy i Japonii — często zatrudniane osoby miały dostęp do kodów źródłowych, środowisk chmurowych i wrażliwych danych korporacyjnych. Wyroki sygnalizują zaostrzenie podejścia władz USA do problemu, który przez lata był traktowany raczej jako kwestia bezpieczeństwa pracy zdalnej niż zagrożenie wywiadowcze. Firmy zatrudniające zdalnych deweloperów powinny szczególnie weryfikować tożsamość kandydatów korzystających z VPN i pośredników pracy.
Źródło: CyberScoop [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniach 19–22 marca 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.