🔐 Cyber Security Daily News | 06.03.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. 📰 NEWS
Cisco łata dwie krytyczne podatności maksymalnej wagi w Secure Firewall Management Center
Cisco opublikowało marcową paczkę poprawek bezpieczeństwa, w której znalazły się dwie podatności z maksymalnym wynikiem CVSS 10.0 w oprogramowaniu Secure Firewall Management Center (FMC) — kluczowym narzędziu do zarządzania zaporami ogniowymi w sieciach korporacyjnych. Pierwsza (CVE-2026-20079) to podatność pozwalająca niezautoryzowanemu atakującemu zdalnemu ominąć uwierzytelnianie i uzyskać dostęp root do systemu operacyjnego poprzez sprytnie spreparowane żądania HTTP. Druga (CVE-2026-20131) umożliwia zdalne wykonanie kodu Java jako root przez insecure deserialization — wystarczy wysłać spreparowany obiekt Java do interfejsu zarządzającego. Dla obu podatności nie ma żadnych obejść — jedyną ścieżką naprawczą jest instalacja łatki. Cisco nie odnotowało jeszcze aktywnej eksploatacji, jednak biorąc pod uwagę, że FMC zarządza całą infrastrukturą firewalli w organizacji, priorytetowe wdrożenie aktualizacji jest absolutnie konieczne.
Źródła: BleepingComputer [EN], SecurityWeek [EN]
CBZC zablokowała 120 polskich domen powiązanych z przestępczą platformą
Centralne Biuro Zwalczania Cyberprzestępczości (CBZC) zablokowało 120 polskich domen internetowych powiązanych z nielegalną platformą handlową. Domeny służyły przestępcom do prowadzenia działalności phishingowej i dystrybucji treści szkodliwych finansowo dla polskich internautów. Akcja jest częścią szerszej operacji organów ścigania wymierzonej w infrastrukturę cyberprzestępczości na terenie Polski. To kolejny sygnał, że polskie służby zwiększają swoją aktywność w przestrzeni cyfrowej — zarówno pod kątem reaktywnego blokowania, jak i proaktywnego wykrywania nielegalnych zasobów sieciowych.
Źródła: CRN [PL], CyberDefence24 [PL]
Google: w 2025 roku aktywnie eksploitowano 90 podatności zero-day
Google opublikowało roczny raport, z którego wynika, że w 2025 roku aktywnie eksploitowano łącznie 90 podatności zero-day — o 14 więcej niż rok wcześniej. Kluczowy trend to rosnąca liczba ataków na urządzenia sieciowe i infrastrukturę korporacyjną, bo oferują dostęp bez typowego endpoint security. Ataki na enterprise software stanowiły 44% wszystkich zero-dayów — w porównaniu do 37% rok wcześniej. Grupy APT powiązane z Chinami odpowiadają za największy udział spośród wszystkich śledzonych aktorów państwowych. Produkty Apple i przeglądarki to nadal główne cele ataków konsumenckich, natomiast spyware komercyjne — sprzedawane prywatnym klientom i rządom — stoi za rosnącym odsetkiem exploitów mobilnych. Dane nie obejmują podatności, które nigdy nie zostały publicznie ujawnione ani zauważone.
Źródło: BleepingComputer [EN]
2. 🚨 INCYDENTY
Wyciek danych z LexisNexis — hakerzy uzyskali dostęp do kont sędziów federalnych i prokuratorów DoJ
Firma FulcrumSec 3 marca 2026 opublikowała na podziemnych forach 2,04 GB danych wykradzionych z infrastruktury AWS LexisNexis — globalnego dostawcy danych prawnych i analitycznych dla kancelarii, sądów i agencji rządowych w 150 krajach. Hakerzy dostali się do systemu 24 lutego przez znany od miesięcy i niezałatany błąd React2Shell w frontendowej aplikacji React. Wewnątrz znaleźli jeszcze większy prezent: hasło administratora bazy danych ustawione na „Lexis1234", a pojedyncza rola ECS Task miała dostęp do odczytu dosłownie każdego sekretu na koncie AWS — 53 sek, bazy Redshift, 17 VPC. Wśród ok. 400 000 narażonych profili znalazły się 118 kont z domenami .gov, w tym trzech federalnych sędziów, 15 urzędników probacyjnych i prawników Departamentu Sprawiedliwości. LexisNexis twierdzi, że to „głównie legacy data sprzed 2020 roku" i sprawa jest „opanowana". Hakerzy publicznie drwią: firma sprzedająca oceny bezpieczeństwa sama nie zabezpieczyła własnej chmury.
Źródło: CySecurity News [EN]
APT28 atakuje Ukrainę nowym złośliwym oprogramowaniem BadPaw i MeowMeow
The Hacker News i Security Affairs opisują nową kampanię powiązaną z rosyjską grupą APT28 (Fancy Bear/GRU), wymierzoną w ukraińskie cele rządowe i wojskowe. Kampania wykorzystuje loader BadPaw, który po uruchomieniu instaluje backdoora MeowMeow — narzędzie do długoterminowego utrzymywania dostępu, zdolne do keyloggingu, kradzieży plików, nagrywania ekranu i wykonywania poleceń zdalnych. Wektor infekcji to phishing ze spreparowanymi archiwami ZIP zawierającymi złośliwe pliki LNK. Co istotne: kampania jest aktywna pomimo toczących się działań wojennych i negocjacji o zawieszeniu broni — co potwierdza, że cyberoperacje rosyjskiego wywiadu wojskowego toczą się całkowicie niezależnie od dyplomacji. Administratorzy systemów na Ukrainie powinni traktować każdy dokument przychodzący e-mailem jako potencjalny wektor ataku.
Źródła: Security Affairs [EN], The Hacker News [EN]
3. 🤔 CIEKAWOSTKI
Modele językowe coraz skuteczniej de-anonimizują użytkowników internetu
CyberScoop opisuje wyniki badania, które alarmuje o rosnących zdolnościach deanonimizacyjnych dużych modeli językowych. Badacze stworzyli zestaw 50 profili pseudoanonimowych — w tym własne — i przetestowali, czy LLM-y są w stanie dopasować pseudonimy do prawdziwych tożsamości na podstawie fragmentów tekstów, stylu pisania, wspomnianych wydarzeń i wzorców zachowań. Wyniki były alarmujące: nowoczesne modele były w stanie identyfikować osoby z wysoką skutecznością, analizując pozornie nieistotne szczegóły. Autor badania przyznał, że jest „bardzo zaniepokojony" i opisuje ten fenomen jako „masową inwazję prywatności na dużą skalę". Implikacje są szczególnie poważne dla sygnalistów, dziennikarzy i aktywistów politycznych w krajach autorytarnych, którzy polegają na anonimowości sieci jako mechanizmie ochrony.
Źródło: CyberScoop [EN]
Coruna — narodowy arsenał szpiegowski działa teraz globalnie i bez ograniczeń
SecurityWeek i Infosecurity Magazine opisują jak zestaw exploitów Coruna — pierwotnie opracowany jako narzędzie szpiegowskie klasy państwowej — trafił do rąk cyberprzestępców i jest teraz używany do kradzieży kryptowalut i infekcji starszych iPhone'ów na całym świecie. Coruna zawiera 23 exploity, w tym 9 zero-dayów, celując w urządzenia z iOS 13 do 17.2.1 — co oznacza, że zagrożone są starsze iPhone'y, które nie mogą zaktualizować systemu do nowszych wersji. Pierwotnie narzędzie było używane selektywnie — tylko wobec starannie wyselekcjonowanych celów politycznych i wywiadowczych. Teraz, po wycieku, działa masowo: kompromitowane urządzenia są używane do kradzieży kont kryptowalutowych, danych bankowych i uwierzytelniania dwuskładnikowego. To ostrzeżenie, że komercyjne narzędzia spyware nieuchronnie trafiają w niepowołane ręce.
Źródła: SecurityWeek [EN], Infosecurity Magazine [EN]
4. 🎣 OSZUSTWA, SCAMY, EXPLOITY
Fałszywy sklep podszywający się pod Empik — analiza technik socjotechnicznych
CERT Orange Polska opisuje świeżo odkryty fałszywy sklep internetowy działający pod adresem empikpl[.]shop — domeną sprytnie skonstruowaną tak, by ofiara skojarzyła ją z legalną marką. Klasyczny trik: ciąg „empik pl" bez kropki między segmentami, a nieoczekiwana końcówka „.shop" ginie w natłoku znaków — szczególnie na urządzeniu mobilnym, gdzie pasek adresu szybko znika. Sklep posiada logo Empiku, atrakcyjne oferty i przycisk płatności BLIK-iem — który jednak celowo nie działa (błąd techniczny przestępców), pozostawiając tylko płatność kartą. Po wpisaniu danych karty trafiają one bezpośrednio do przestępców. Analiza ujawnia też kompromitujące detale: kontakt do „obsługi klienta" to pusta komórka, regulamin serwisu — pole całkowicie puste, a polskie znaki diakrytyczne w treści wyglądają jak automatyczne tłumaczenie. Dobry case study dla każdego, kto chce nauczyć się rozpoznawać fałszywe sklepy.
Źródło: CERT Orange Polska [PL]
CERT Polska ostrzega przed kampanią phishingową wymierzoną w użytkowników Telegrama
CERT Polska wydał ostrzeżenie przed aktywną kampanią phishingową celującą w użytkowników popularnego komunikatora Telegram. Atakujący rozsyłają wiadomości lub e-maile, które nakłaniają odbiorców do weryfikacji konta Telegram poprzez kliknięcie w link prowadzący do fałszywej strony logowania. Celem jest przejęcie dostępu do konta — a wraz z nim do prywatnych rozmów, grup i kanałów, które ofiara administruje. Przejęte konta Telegram są następnie wykorzystywane do dalszego rozsyłania kampanii phishingowych lub jako środek do wyłudzenia pieniędzy od kontaktów ofiary. Telegram nie wymaga hasła do każdego logowania — weryfikacja odbywa się przez SMS lub aplikację, co sprawia, że ochrona konta jest szczególnie uzależniona od zabezpieczenia numeru telefonu i weryfikacji dwuetapowej.
Źródło: CERT Polska [PL]
Areszty i skazania za cyberprzestępczość — operatorzy ransomware przed sądem
Tydzień przyniósł kilka ważnych wyroków w sprawach cyberprzestępczości. Operator ransomware Phobos przyznał się do winy w USA za wire fraud conspiracy — platforma Phobos działała w modelu RaaS, umożliwiając setkom grup przeprowadzenie ataków na szpitale, szkoły i infrastrukturę krytyczną w wielu krajach. Równolegle FBI aresztowało podejrzanego w związku z kradzieżą kryptowalut wartości 46 mln USD od US Marshals Service. Holenderska policja rozbiła też sieć hazardu online, która eksploatowała ukraińskie kobiety jako pracownice przymusowe — zmuszane do pracy przy nielegalnych platformach bukmacherskich. Seria wyroków i aresztowań to sygnał, że organy ścigania konsekwentnie zamykają pętle w sprawach, które zaczęły się 2–3 lata temu.
Źródła: BleepingComputer — Phobos [EN], CyberScoop [EN], SecurityWeek [EN], BleepingComputer — FBI [EN], BleepingComputer — hazard [EN]
5. ⚠️ DEZINFORMACJA, CYBER WOJNA
Izrael zhakował irańskie kamery miejskie — dane z inwigilacji wspomogły operację eliminacji przywódców
Bruce Schneier zwraca uwagę na szczegóły ujawnione przez Financial Times, Times of Israel i New York Times: Izrael dokonał włamania do sieci kamer monitoringu miejskiego w Teheranie, co umożliwiło śledzenie przemieszczania się irańskich przywódców. Pozyskane dane wywiadowcze były następnie wykorzystane przy planowaniu precyzyjnych operacji eliminacji w ramach operacji Epic Fury. To potwierdzenie, że sieci kamer CCTV — obecne w każdym mieście na świecie — stanowią krytyczny zasób wywiadowczy, zarówno dla obrońców, jak i atakujących. Schneier jednocześnie opisuje inną operację: zhakowaną irańską aplikację do wyznaczania czasu modlitwy BadeSaba Calendar (5 milionów pobrań z Google Play), przez którą tuż po bombardowaniach do Irańczyków dotarły komunikaty w stylu „Pomoc nadchodzi" — prawdopodobnie jako element operacji informacyjno-psychologicznej USA lub Izraela. Nikt nie wziął za to odpowiedzialności.
Źródła: Schneier on Security — kamery [EN], Schneier on Security — aplikacja [EN], CySecurity News [EN]
Polska: fala dezinformacji i działania ministra cyfryzacji wobec platform społecznościowych
Minister cyfryzacji Krzysztof Gawkowski zapowiedział formalne działania wobec platform społecznościowych w związku z nasilającą się falą dezinformacji zalewającą polską przestrzeń informacyjną. CyberDefence24 opisuje skalę zjawiska: fałszywe informacje o tematyce politycznej, wojskowej i zdrowotnej rozprzestrzeniają się w Polsce w tempie trudnym do opanowania, a algorytmy platform nagłaśniają treści budzące emocje — w tym fałszywe. Inicjatywa ministerstwa polega na próbie pociągnięcia platform do odpowiedzialności za brak skutecznej moderacji. Jednocześnie CRN przytacza akt oskarżenia ministra wobec platform, w którym zarzuca im bierne przyglądanie się dezinformacji napędzanej przez zagraniczne podmioty, w tym rosyjskie operacje wpływu. Problem jest systemowy i dobrze znany — nowe jest to, że pojawia się po nim konkretna inicjatywa legislacyjna na szczeblu rządowym.
Źródła: CyberDefence24 [PL], CRN [PL]
Jak zwykle liczę na Wasze komentarze i uwagi, które pozwolą mi jeszcze lepiej dobierać artykuły i ciekawostki z dziedziny cyberbezpieczeństwa.