🔐 Cyber Security Daily News | 05.03.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. 📰 NEWS
Globalna operacja rozbija platformę phishingową Tycoon2FA — przejęto ponad 300 domen
Koordynowana operacja prowadzona przez Microsoft i Europol, przy wsparciu Cloudflare, Coinbase, Proofpoint, SpyCloud i kilkunastu innych podmiotów, doprowadziła do przejęcia infrastruktury Tycoon2FA — jednej z największych platform phishingowych oferowanych w modelu subskrypcyjnym (PhaaS). Od momentu uruchomienia w sierpniu 2023 roku platforma obsłużyła ponad 2000 klientów-cyberprzestępców i korzystała z przeszło 24 000 domen. Jej działanie opierało się na technikach adversary-in-the-middle, które w czasie rzeczywistym przechwytywały uwierzytelnione sesje, dane logowania, kody OTP i aktywne ciasteczka sesyjne — co pozwalało ominąć MFA nawet w najbardziej wymagających środowiskach korporacyjnych. Przejęto ponad 300 domen powiązanych z operacją. Tycoon2FA był jednym z kilku kluczowych narzędzi w ekosystemie cyberprzestępczości jako usługi — jego likwidacja to cios w infrastrukturę, z której korzystały dziesiątki grup hakerskich jednocześnie.
Źródła: Infosecurity Magazine [EN], Trend Micro [EN]
Policja z 14 krajów zamknęła forum cyberprzestępcze LeakBase — baza danych 142 000 członków przejęta
Organy ścigania z 14 państw przeprowadziły skoordynowaną operację przeciwko LeakBase — jednemu z największych na świecie forów cyberprzestępczych, skupiającym ponad 142 000 zarejestrowanych członków. FBI przejęło domeny i bazę danych serwisu, co natychmiast umożliwiło identyfikację i zatrzymanie kilku podejrzanych. Forum działało jako centralny hub do handlu wykradzionymi danymi uwierzytelniającymi, narzędziami hakerskimi i usługami cyberprzestępczymi. Operacja jest kolejnym dowodem na to, że globalna współpraca organów ścigania staje się coraz skuteczniejsza w demontażu infrastruktury darkwebu. Przejęcie bazy danych z danymi członków to szczególnie bolesny cios — pozwala prowadzić śledztwa jeszcze długo po formalnym zamknięciu forum.
Źródła: CyberScoop [EN], BleepingComputer [EN]
Google zmienia cykl wydawniczy Chrome na dwutygodniowy — począwszy od wersji 153
Google ogłosiło przejście Chrome na dwutygodniowy cykl wydawniczy, który wejdzie w życie ze stabilną wersją 153 we wrześniu 2026 roku. Zmiana obejmie wszystkie platformy — desktop, Android i iOS — przy czym kanały Dev i Canary pozostają bez zmian. Mniejszy zakres każdego wydania ma uprościć debugowanie po wdrożeniu i zmniejszyć zakłócenia dla użytkowników i deweloperów. Dla przedsiębiorstw i administratorów IT zachowany zostaje Extended Stable Channel z ośmiotygodniowym cyklem aktualizacji. Szybsze wydania oznaczają krótszy czas między odkryciem podatności a jej załataniem w stabilnej wersji — co jest istotne szczególnie w kontekście rosnącej liczby exploitowanych zero-dayów w przeglądarkach.
Źródła: Help Net Security [EN], The Register [EN], Tabletowo [PL]
Polskie służby tworzą wyspecjalizowane wydziały do walki z cyberprzestępczością
Polska Policja uruchamia wyspecjalizowane wydziały do zwalczania cyberprzestępczości w strukturach jednostek terenowych, wykraczając poza dotychczasową centralizację kompetencji w CBZC. Inicjatywa ma na celu skrócenie czasu reakcji na incydenty cybernetyczne i zwiększenie zdolności do prowadzenia lokalnych śledztw. Wzrost liczby cyberprzestępstw wymierzonych w polskich obywateli i firmy — od phishingu bankowego po ransomware atakujący samorządy — sprawia, że scentralizowane struktury przestają wystarczać. Nowe wydziały mają być wyposażone zarówno w odpowiednie narzędzia techniczne, jak i w przeszkolony personel. Polska dołącza tym samym do grona państw europejskich, które stawiają na decentralizację kompetencji cybernetycznych w policji.
Źródło: CRN [PL]
2. 🚨 INCYDENTY
Irańskie grupy przejmują kamery IP w Izraelu i krajach Zatoki — na potrzeby rozpoznania bojowego
Check Point Research zidentyfikowało gwałtowny wzrost prób przejęcia kamer monitoringu podłączonych do internetu w całym regionie Bliskiego Wschodu, przypisując tę aktywność infrastrukturze powiązanej z irańskimi grupami APT. Operacja nasiliła się 28 lutego — bezpośrednio po izraelsko-amerykańskich uderzeniach na Iran — i objęła Izrael, Katar, Bahrajn, Kuwejt, ZEA, Cypr oraz część Libanu. Celem były głównie urządzenia producentów Hikvision i Dahua. Schemat aktywności doskonale wpisuje się w irańską doktrynę militarną: przejęte kamery służą do planowania operacji i oceny szkód po uderzeniach rakietowych. To kolejny przykład ścisłego sprzężenia działań cybernetycznych z operacjami kinetycznymi — nie jako samodzielna aktywność, ale jako element wsparcia rozpoznawczego dla sił zbrojnych. Prorosyjskie grupy stosują identyczną taktykę wobec Polski — CyberDefence24 opisuje przypadki podglądania polskiej infrastruktury przez przejęte kamery IP.
Źródła: Infosecurity Magazine [EN], CyberDefence24 [PL]
Technika BYOVD — gdy zaufany sterownik Windows staje się narzędziem atakujących
Ataki BYOVD (Bring Your Own Vulnerable Driver) stają się standardowym elementem arsenału grup ransomware i APT. Schemat jest zawsze ten sam: atakujący po uzyskaniu dostępu administracyjnego ładuje legalny, cyfrowo podpisany, ale podatny sterownik kernelowy. System Windows ufa podpisanemu sterownikowi i pozwala mu działać na poziomie Ring 0 — najwyższych uprawnień w systemie. Z tej pozycji atakujący uruchamia pętlę kill loop, która co sekundę sprawdza obecność procesów 59 znanych rozwiązań EDR i AV, natychmiast je zabijając po każdym restarcie. Efekt? Ochrona endpoint jest skutecznie zaślepiona, a dalsze działania — wdrożenie ransomware lub eksfiltracja danych — przebiegają bez przeszkód. Huntress udokumentował niedawny przypadek, w którym atakujący nadużył sterownika narzędzia forensycznego EnCase z 2010 roku — certyfikat był unieważniony, ale Windows nadal pozwalał na jego załadowanie. Rekomendacja: włączyć Microsoft Vulnerable Driver Blocklist oraz HVCI na wszystkich systemach Windows.
Źródło: CySecurity News [EN]
3. 🤔 CIEKAWOSTKI
Technika ClickFix ewoluuje — tym razem podszywa się pod weryfikację Cloudflare
ClickFix to atak socjotechniczny, w którym ofiara sama uruchamia złośliwe polecenie, myśląc, że wykonuje coś zupełnie niegroźnego — najczęściej „naprawia błąd" lub „potwierdza, że nie jest robotem". Najnowsza odsłona tej techniki, opisana przez Sekurak, podszywa się pod mechanizm weryfikacji Cloudflare — jeden z najszerzej rozpoznawanych i najbardziej zaufanych elementów wizualnych w internecie. Ofiara widzi znany interfejs, klika przycisk, a w tle do schowka systemowego kopiowane jest złośliwe polecenie PowerShell — które następnie instrukcja nakazuje wkleić i uruchomić. Atak nie wymaga żadnej podatności w systemie — bazuje wyłącznie na zaufaniu użytkownika do marki Cloudflare. To istotny sygnał dla działów IT: nawet doświadczeni użytkownicy mogą dać się nabrać, jeśli manewr jest odpowiednio wiarygodnie zamaskowany.
Źródło: Sekurak [PL]
Chińskie firmy AI przeprowadziły atak destylacyjny na model Claude — 24 tys. fałszywych kont, 16 mln interakcji
Sekurak opisuje udokumentowany przypadek ataku destylacyjnego na modele językowe Anthropic. Powiązane z Chinami firmy — DeepSeek i Moonshot AI — stworzyły sieć 24 tysięcy fałszywych kont i wykonały 16 milionów interakcji z modelem Claude, systematycznie wydobywając z niego wiedzę do trenowania własnych systemów AI. To nowoczesna forma szpiegostwa technologicznego: zamiast krasć kod, kradnie się „myślenie" modelu poprzez masowe odpytywanie. Anthropic wykrył proceder i zablokował konta, jednak skala operacji pokazuje determinację chińskich podmiotów w pozyskiwaniu zachodnich kompetencji AI. Sprawa rodzi poważne pytania prawne — czy wiedza wydobyta z modelu AI jest chroniona jako własność intelektualna, i w jakim zakresie jej zbieranie poprzez API narusza warunki korzystania z usługi?
Źródło: Sekurak [PL]
4. 🎣 OSZUSTWA, SCAMY, EXPLOITY
LastPass ostrzega przed fałszywymi alertami bezpieczeństwa wyłudzającymi hasło główne
LastPass wydał pilne ostrzeżenie dla użytkowników w związku z aktywną kampanią phishingową, w której przestępcy podszywają się pod oficjalne alerty bezpieczeństwa menedżera haseł. Fałszywe powiadomienia informują użytkownika o „podejrzanej próbie logowania" lub „konieczności weryfikacji konta" i kierują na przekonującą kopię interfejsu LastPass, gdzie ofiara wpisuje swoje master password. Przejęcie hasła głównego do menedżera haseł to szczególnie groźny scenariusz — atakujący uzyskuje dostęp do całego skarbca danych uwierzytelniających ofiary. LastPass podkreśla, że nigdy nie prosi o master password przez e-mail, powiadomienie push ani stronę webową poza oficjalną aplikacją. Użytkownicy menedżerów haseł powinni być wyjątkowo czujni na tego rodzaju phishing — ironia polega na tym, że narzędzie mające chronić staje się punktem ataku.
Źródła: Security Affairs [EN], SecurityWeek [EN]
Arsenal szpiegowski Coruna — 23 exploity na iPhone, proweniencja prawdopodobnie amerykańska
Google Threat Intelligence opublikował szczegółową analizę zestawu exploitów Coruna, opisując go jako pierwszy udokumentowany przypadek masowego ataku na użytkowników iOS z wykorzystaniem tak rozbudowanego arsenału — aż 23 podatności, w tym 9 zero-dayów. Kompromitacja następowała bezgłośnie: użytkownicy odwiedzający zainfekowaną ukraińską stronę przez iPhone'a byli najpierw profilowani (atakujący nie chcieli trafić na serwery Apple ani urządzenia bezpieczeństwa), a po pozytywnej weryfikacji ofiary — w pełni przejmowani: dostęp do mikrofonu, kamery, SMS-ów, komunikatorów, plików, zdjęć i kontaktów. Za atakiem stoi rosyjska grupa UNC6353. Co szczególnie intryguje: CyberScoop informuje, że część z tych exploitów mogła pierwotnie zostać opracowana na zlecenie rządu USA przez firmę z sektora spyware — skąd trafiły do rosyjskich hakerów i dalej do chińskich cyberprzestępców używających ich do kradzieży kryptowalut. Kaspersky zaprzecza, jakoby Coruna był powiązany z ich narzędziami.
Źródła: Sekurak [PL], CyberScoop [EN], BleepingComputer [EN], The Register [EN]
5. ⚠️ DEZINFORMACJA, CYBER WOJNA
Chińska grupa Silver Dragon (powiązana z APT41) atakuje rządy w UE i Azji Południowo-Wschodniej
Badacze z Dark Reading, The Hacker News i Security Affairs opisują działalność grupy Silver Dragon — nowego klastra operacyjnego powiązanego z chińskim APT41. Kampania celuje w rządowe instytucje w Europie i Azji Południowo-Wschodniej przy użyciu wyrafinowanego łańcucha infekcji: phishing → złośliwe archiwum ZIP → loader → backdoor komunikujący się poprzez… Google Drive jako serwer C2. Użycie legalnych usług chmurowych jako infrastruktury command-and-control to celowy zabieg utrudniający detekcję — ruch do Google Drive wygląda jak normalny ruch biznesowy. APT41 jest znany z jednoczesnego prowadzenia operacji szpiegowskich na zlecenie państwa i cyberataków o motywacji finansowej. Silver Dragon rozbudowuje ten model o nowe narzędzia i infrastrukturę, zachowując charakterystyczne taktyki grupy. Polska i inne kraje UE powinny traktować ten raport jako bezpośrednie ostrzeżenie.
Źródła: Security Affairs [EN], The Hacker News [EN], Dark Reading [EN]
149 ataków DDoS hacktywistów uderzyło w 110 organizacji w czasie konfliktu na Bliskim Wschodzie
The Hacker News podaje, że od początku eskalacji konfliktu w regionie odnotowano 149 ataków DDoS przeprowadzonych przez grupy hacktywistów, wymierzonych w 110 organizacji w wielu krajach. Ataki dotknęły instytucje rządowe, infrastrukturę krytyczną, sektor finansowy i media w krajach uznanych za strony konfliktu lub sojuszników Izraela i USA. Aktywność jest prowadzona przez kilkadziesiąt grup — część o prozachódnim, część o proirańskim profilu — co tworzy trudny do analizy, wielopodmiotowy obraz działań w cyberprzestrzeni. Ataki DDoS, choć rzadko wywołują trwałe szkody, skutecznie przykuwają uwagę, zakłócają dostępność usług i są sygnałem solidarności z konkretną stroną konfliktu. Równocześnie Dark Reading opisuje, jak proirańscy aktorzy intensyfikują cyberataki wymierzone w kraje Zatoki Perskiej i inne państwa goszczące bazy USA.
Źródła: The Hacker News [EN], Dark Reading [EN]
Jak zwykle liczę na Wasze komentarze i uwagi, które pozwolą mi jeszcze lepiej dobierać artykuły i ciekawostki z dziedziny cyberbezpieczeństwa.