🔐 Cyber Security Daily News | 07.03.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. 📰 NEWS
Wyciek danych medycznych 3,4 mln pacjentów z Cognizant/TriZetto — rok nieodkrytego dostępu
TriZetto Provider Solutions, spółka należąca do globalnego giganta IT Cognizant, potwierdziła jeden z największych wycieków danych medycznych w tym roku. Nieautoryzowany dostęp do systemów firmy trwał od listopada 2024 roku i pozostał niezauważony przez niemal rok — wykryto go dopiero 2 października 2025, a powiadamianie pacjentów ruszyło w lutym 2026. TriZetto obsługuje ok. 200 milionów osób za pośrednictwem niemal 875 000 podmiotów ochrony zdrowia w USA, co sprawia, że każdy kompromis jej systemów może kaskadowo dotknąć kliniki, szpitale i sieci ubezpieczeniowe. Skradzione dane obejmują ubezpieczeniowe raporty weryfikacyjne i mogą zawierać imię i nazwisko, datę urodzenia, adres zamieszkania, numer PESEL (SSN), numery ubezpieczenia zdrowotnego i Medicare, nazwę ubezpieczyciela oraz inne dane demograficzne i medyczne. Dług dwell time jest powtarzającą się słabością sektora ochrony zdrowia, gdzie systemy legacy, złożone integracje i nieustanna presja kliniczna utrudniają monitoring i wykrywanie anomalii. Cognizant stoi już przed co najmniej trzema pozwami zbiorowymi, a regulatorzy z kilku stanów prowadzą własne dochodzenia.
Źródło: BleepingComputer [EN]
Chiński APT (UAT-9244) atakuje operatorów telekomunikacyjnych nowym zestawem złośliwego oprogramowania
Cisco Talos ujawniło działalność nowego ugrupowania APT powiązanego z Chinami, śledzonego jako UAT-9244, które od 2024 roku kompromituje operatorów telekomunikacyjnych w Ameryce Południowej. Ugrupowanie jest ściśle powiązane z grupami FamousSparrow i Tropic Trooper; badacze odnotowali zbieżność narzędzi, taktyk i profilu ofiar, ale nie potwierdzili bezpośredniego związku z Salt Typhoon. Arsenal UAT-9244 tworzą trzy złośliwe implantaty: TernDoor — backdoor Windows oparty na CrowDoor, PeerTime — backdoor Linux komunikujący się przez protokół BitTorrent, oraz BruteEntry — narzędzie do brute-force, przekształcające skompromitowane urządzenia brzegowe w Operational Relay Boxes (ORBs). Kod PeerTime zawiera debug strings w języku chińskim uproszczonym — silny lingwistyczny wskaźnik proweniencji kampanii. Równolegle CRN opisuje nasilone działania chińskich hakerów skierowane bezpośrednio w polskie podmioty — kolejny sygnał, że europejskie cele coraz częściej trafiają na celownik grup sponsorowanych przez Pekin.
Źródła: BleepingComputer [EN], CRN [PL]
CISA dodaje pięć nowych aktywnie eksploitowanych podatności do katalogu KEV
Amerykańska Agencja Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) dodała do swojego katalogu znanych eksploitowanych podatności (KEV) kolejnych pięć pozycji — wszystkie z potwierdzonym aktywnym wykorzystaniem w atakach. Wpisy do katalogu KEV są wiążące dla agencji federalnych, które mają 21 dni na wdrożenie poprawek lub mitigacji, ale CISA wskazuje, by każda organizacja traktowała katalog jako listę priorytetową. Aktualizacja katalogu trafia w czas tuż po marcowym Patch Tuesday, kiedy organizacje wciąż wdrażają aktualizacje — tym ważniejsze staje się rozróżnienie, które podatności wymagają natychmiastowej reakcji. Administratorzy IT powinni sprawdzić, czy zagrożone komponenty nie funkcjonują w ich środowiskach.
Źródło: CISA [EN]
2. 🚨 INCYDENTY
Bezagentowy atak Mail2Shell na serwery FreeScout — przejęcie kontroli bez interakcji użytkownika
Infosecurity Magazine i BleepingComputer opisują krytyczną podatność w FreeScout — popularnej platformie helpdesk open-source, używanej przez setki organizacji jako tańsza alternatywa dla Zendesk. Podatność, nazwana Mail2Shell, pozwala przejąć pełną kontrolę nad serwerem przez samo wysłanie spreparowanego e-maila do skrzynki odbiorczej FreeScout — bez jakiejkolwiek interakcji po stronie obsługi. Działa to na poziomie parsera wiadomości: złośliwy załącznik lub nagłówek wywołuje wykonanie kodu po stronie serwera. Szczególnie niepokojące jest to, że FreeScout jest popularny w małych i średnich organizacjach, które rzadko dysponują dedykowanymi teamami bezpieczeństwa. Poprawka jest dostępna i należy ją wdrożyć priorytetowo — każda skrzynka odbierająca wiadomości zewnętrzne jest potencjalnie narażona.
Źródła: BleepingComputer [EN], Infosecurity Magazine [EN]
Podatność w popularnej wtyczce WordPress umożliwia tworzenie kont administratora
BleepingComputer opisuje aktywnie eksploitowaną lukę w popularnej wtyczce WordPress obsługującej systemy subskrypcji i membership — jednym z najczęściej stosowanych komponentów w stronach z płatną zawartością. Luka pozwala zewnętrznemu atakującemu na tworzenie kont z uprawnieniami administratora bez żadnego uwierzytelnienia. W praktyce oznacza to pełne przejęcie strony — możliwość wstrzyknięcia złośliwego kodu, kradzieży danych użytkowników i dostępu do panelu WordPress. Podatność jest aktywnie eksploitowana, a liczba stron opartych o WordPressa w sieci sprawia, że wektor ataku ma potencjał masowych kompromitacji. Administratorzy powinni natychmiast zaktualizować wtyczkę lub tymczasowo ją wyłączyć.
Źródło: BleepingComputer [EN]
Prompt injection w GitHub Copilot — przez zgłoszenie issue możliwe przejęcie repozytorium
Badacze z Orca Security odkryli podatność prompt injection w GitHub Codespaces. Pozwala ona na przekazanie złośliwych instrukcji agentowi GitHub Copilot poprzez opis issue w repozytorium — co skutkuje kradzieżą tokenu środowiska Codespaces i umożliwia przejęcie kontroli nad całym repozytorium. Sekurak szczegółowo opisuje mechanizm ataku: manipulacja opisem issue wpływa na zachowanie modelu językowego działającego jako asystent deweloperski — model bez odpowiedniej ochrony może zostać skłoniony do wykonania operacji, do których nie powinien mieć dostępu. To kolejny przykład, że agenci AI zintegrowani z infrastrukturą programistyczną tworzą nową klasę ryzyk, których tradycyjne narzędzia bezpieczeństwa nie wykrywają. Każda organizacja korzystająca z GitHub Copilot Workspace lub Codespaces powinna śledzić łatki dotyczące tego wektora ataku.
Źródło: Sekurak [PL]
3. 🤔 CIEKAWOSTKI
Drugi atak NTLM relay — jak wymuszone uwierzytelnienie NTLM nadal zagraża sieciom Windows
Sekurak opisuje technikę wymuszonego uwierzytelnienia NTLM — metodę ataku wciąż aktywnie stosowaną mimo wielu lat od pierwszego ujawnienia jej problemów. Mechanizm polega na nakłonieniu ofiary (często przez socjotechnikę lub przez przejęcie komunikacji sieciowej) do zainicjowania uwierzytelnienia NTLM wobec kontrolowanego przez atakującego serwera — co pozwala przekazać (relayować) te dane uwierzytelniające do innych zasobów sieciowych. Problem trwa, bo NTLM jest wciąż domyślnie włączony w wielu środowiskach Windows dla kompatybilności wstecznej. Artykuł stanowi świetny materiał edukacyjny dla administratorów Active Directory — obok wyłączania NTLM tam, gdzie to możliwe, kluczowe jest stosowanie SMB signing, Extended Protection for Authentication i segmentacji sieci.
Źródło: Sekurak [PL]
Malware jackpotingowy w bankomatach bije rekordy — 45 mln USD skradzionych w jednej operacji
CySecurity opisuje nagłośnioną sprawę ataku jackpotingowego, w którym złośliwe oprogramowanie zmusiło bankomaty do „wyplucia" gotówki w rekordowej operacji opiewającej na 45 mln USD. Atakujący uzyskali fizyczny dostęp do urządzeń lub skompromitowali infrastrukturę bankową, instalując oprogramowanie omijające mechanizmy kontroli wypłat. Technika jackpotingu znana jest od ponad dekady, ale regularne pojawianie się nowych, bardziej zaawansowanych wariantów wskazuje, że przestępcy nadal skutecznie obchodzą zabezpieczenia starszych modeli bankomatów. Problem jest globalny — dotknięte są urządzenia w Europie, Azji i obu Amerykach. Banki operujące na starszej infrastrukturze bankomatowej powinny priorytetyzować modernizację oprogramowania wewnętrznego i fizyczne zabezpieczenia dostępu serwisowego.
Źródło: CySecurity News [EN]
4. 🎣 OSZUSTWA, SCAMY, EXPLOITY
Technika InstallFix: fałszywe strony instalacyjne Claude Code dystrybuują infostealer Amatera
Raport Push Security opisuje sklonowaną stronę instalacyjną Claude Code — narzędzia CLI Anthropic — odwzorowującą oryginalny układ, branding i pasek dokumentacji, ale z podmienionymi komendami instalacyjnymi dla macOS i Windows, które pobierają złośliwy kod z infrastruktury atakujących. Badacze wskazują, że obecny model zaufania w ekosystemie instalacji „sprowadza się do zaufania domenie" — a skoro więcej niespecjalistycznych użytkowników sięga teraz po narzędzia deweloperskie, InstallFix może stać się poważniejszym zagrożeniem. Złośliwe strony są dystrybuowane przez sponsorowane wyniki wyszukiwania Google — frazy takie jak „Claude Code install" lub „Claude Code CLI" kierują ofiary na fałszywe strony. Instalowany ładunek to infostealer Amatera — kradnie hasła, ciasteczka i tokeny sesji przechowywane w przeglądarkach. Technika jest ewolucją ClickFix — nie wymaga żadnego pretekstu poza tym, że użytkownik chce zainstalować oprogramowanie. Zasada jest prosta: nigdy nie kopiuj komend instalacyjnych ze stron sponsorowanych — zawsze przejdź bezpośrednio na oficjalną stronę projektu.
Źródło: BleepingComputer [EN]
Ghańczyk skazany za udział w pierścieniu oszustw wartym 100 mln USD
BleepingComputer opisuje wyrok w sprawie obywatela Ghany, który przyznał się do udziału w jednej z większych operacji BEC (Business Email Compromise) wykrytych przez FBI. Siatka, której był częścią, przez kilka lat oszukiwała firmy i osoby prywatne w USA, wyłudzając w sumie ponad 100 mln USD poprzez fałszywe faktury, podszywanie się pod partnerów biznesowych i ataki na konta payroll. Operacja prowadzona była z Ghany przy użyciu tymczasowych skrzynek e-mail, kont bankowych mułów i przekazów Western Union. Sprawa ilustruje, że BEC to nadal jeden z najbardziej dochodowych rodzajów cyberprzestępczości — straty globalne szacuje się na kilka miliardów dolarów rocznie. Kluczowa obrona to weryfikacja telefoniczna przy każdej zmianie danych przelewu i polityka czterech oczu dla transakcji powyżej progu.
Źródło: BleepingComputer [EN]
Phishing przez fałszywe zaproszenia Zoom i Teams — złośliwe certyfikaty jako wektor ataku
Hackread opisuje nową falę kampanii phishingowych, w których atakujący wysyłają fałszywe zaproszenia do wideokonferencji — podszywając się pod Zoom i Microsoft Teams — w celu skłonienia ofiar do pobrania złośliwych certyfikatów lub plików instalacyjnych. Po kliknięciu linku użytkownik trafia na stronę łudząco przypominającą panel dołączania do spotkania, gdzie proszony jest o instalację „aktualizacji" lub certyfikatu bezpieczeństwa. Złośliwy plik zapewnia atakującemu przyczółek w systemie ofiary — typowo instalując RAT lub infostealer. Kampania szczególnie celuje w pracowników działów HR, finansów i IT, bo to oni najczęściej obsługują komunikatory firmowe z zewnętrznymi gośćmi. Weryfikacja nadawcy i nieinstalowanie żadnych „certyfikatów" polecanych przez link z e-maila to podstawowe środki ochrony.
Źródło: Hackread [EN]
5. ⚠️ DEZINFORMACJA, CYBER WOJNA
Rosja instrumentalizuje akcję polskiej policji — kampania fake newsów o „masowej eksmisji Ukraińców"
Rosyjska propaganda przedstawia rutynową akcję polskiej policji przeciwko osobom poszukiwanym jako rzekomą „masową eksmisję Ukraińców", by wywołać panikę i podsycać napięcia społeczne. Tłem dla tej kampanii jest ogólnopolska operacja identyfikacji osób poszukiwanych, koordynowana przez Biuro Kryminalne KGP, która odbyła się 2 i 3 marca — jej celem było zatrzymanie osób na podstawie listów gończych i postanowień sądowych, zupełnie niezależnie od narodowości. W ramach akcji ustalono miejsca pobytu 1944 osób, z czego 147 było cudzoziemcami — wśród 91 Ukraińców, 14 Gruzinów, 8 Białorusinów i 2 Rosjan. Celem kampanii dezinformacyjnej jest przede wszystkim wywołanie paniki wśród Ukraińców mieszkających w Polsce i UE, wzmacnianie nieufności wobec instytucji państwowych i pogłębianie napięć społecznych. Ukraińskie Centrum Zwalczania Dezinformacji 5 marca poinformowało o wykrytej kampanii i wezwało do nieszerzenia zmanipulowanych treści.
Źródło: CyberDefence24 [PL]
Iran buduje infrastrukturę cyfrowej kontroli społeczeństwa w oparciu o rosyjskie oprogramowanie do rozpoznawania twarzy
Iran stworzył złożoną infrastrukturę cyfrowej kontroli społeczeństwa, której rdzeniem jest rosyjskie oprogramowanie do rozpoznawania twarzy. CyberDefence24 opisuje, jak autorytarny reżim w Teheranie wdrożył na szeroką skalę technologię NtechLab — rosyjskiej firmy objętej sankcjami UE i USA za współpracę z rosyjskimi służbami specjalnymi — w celu identyfikacji i śledzenia obywateli: od egzekwowania przepisów dotyczących hidżabu po tłumienie protestów. System integruje dane z kamer ulicznych, metra, miejsc publicznych i punktów kontrolnych. Tworzy to podwójnie niepokojący obraz: Rosja, mimo sankcji, eksportuje technologię inwigilacji do reżimu, który używa jej do represjonowania własnych obywateli. Ujawnione przez Izrael włamania do irańskich kamer drogowych (opisywane w poprzedniej edycji) pokazują, że ta sama infrastruktura może być narzędziem zarówno opresji wewnętrznej, jak i wektorem wywiadu dla przeciwników geopolitycznych.
Źródło: CyberDefence24 [PL]
Korea Północna na sterydach: generatywna AI jako mnożnik siły w operacjach szpiegowsko-pracowniczych
Microsoft Threat Intelligence i Dark Reading opisują aktualny raport ujawniający, jak grupy Jasper Sleet, Coral Sleet i Sapphire Sleet (DPRK) wdrożyły generatywną AI na każdym etapie oszustw pracowniczych. Grupy DPRK używają AI do skracania czasu tworzenia cyfrowych person dostosowanych do konkretnych rynków pracy i stanowisk — Jasper Sleet wykorzystuje narzędzia generatywne do analizy ofert na platformach takich jak Upwork, identyfikując poszukiwane kwalifikacje i dopasowując do nich fałszywe profile. Jasper Sleet stosuje aplikację Faceswap do wstawiania twarzy północnokoreańskich pracowników w skradzione dokumenty tożsamości oraz do generowania profesjonalnych zdjęć do CV — w niektórych przypadkach to samo wygenerowane AI zdjęcie było ponownie używane w wielu personach z drobnymi modyfikacjami. Stosowane jest też oprogramowanie do zmiany głosu podczas rozmów kwalifikacyjnych. Coral Sleet używa też agentycznej AI do budowania fałszywych stron firmowych, zdalnego uruchamiania infrastruktury, testowania i wdrażania złośliwych ładunków — a więc do pełnej automatyzacji łańcucha ataku. Mechanizm obrony wymaga wdrożenia zaawansowanej weryfikacji tożsamości kandydatów opartej na danych GPS, GSM i kontroli presencji — standardowe weryfikacje zatrudnienia nie wystarczają.
Źródła: CyberScoop [EN], Dark Reading [EN]
Jak zwykle liczę na Wasze komentarze i uwagi, które pozwolą mi jeszcze lepiej dobierać artykuły i ciekawostki z dziedziny cyberbezpieczeństwa.