🔐 Cyber Security Daily News | 08.03.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
🔐 Cyber Security Daily News — 07.03.2026
1. 📰 NEWS
Android — marcowy Patch Tuesday: 129 podatności i aktywnie eksploatowany zero-day Qualcomm
Marcowa aktualizacja zabezpieczeń Android to największa łatka od 2018 roku — Google naprawił łącznie 129 podatności, w tym 10 krytycznych. Kluczowym problemem jest CVE-2026-21385 (CVSS 7.8) — zero-day w sterowniku graficznym Qualcomm (KGSL), który dotyka 234 różnych chipsetów Snapdragon. Błąd, wynikający z przepełnienia liczby całkowitej podczas alokacji pamięci, umożliwia atakującemu z uprawnieniami zapisu do pamięci wykonanie dowolnego kodu. Google Threat Analysis Group (TAG) odkryło lukę 18 grudnia 2025 r. i zgłosiło ją Qualcommowi, który poinformował klientów dopiero 2 lutego 2026. Google potwierdza w biuletynie, że luka jest aktywnie i celowo eksploatowana — "limited, targeted exploitation" sugeruje użycie przez dostawców komercyjnego oprogramowania szpiegowskiego. Poza zero-dayem naprawiono m.in. krytyczną CVE-2026-0006 (RCE w komponencie System bez interakcji użytkownika). Aktualizacja 2026-03-05 zawiera pełen zestaw poprawek — użytkownicy urządzeń z chipsetami Qualcomm powinni sprawdzić dostępność aktualizacji jak najszybciej, pamiętając, że producenci OEM wdrażają łatki we własnym tempie.
Źródło: CyberScoop [EN] | Help Net Security [EN] | SecurityWeek [EN]
Cisco Catalyst SD-WAN — zero-day eksploatowany od 2023 i nowa dyrektywa awaryjna CISA
25 lutego 2026 r. CISA wydała Emergency Directive 26-03, nakazując agencjom federalnym inwentaryzację urządzeń Cisco Catalyst SD-WAN i pilne zastosowanie poprawek po ujawnieniu krytycznej luki CVE-2026-20127 (CVSS 10.0). Podatność umożliwia nieuprzytelnionym atakującym ominięcie mechanizmu uwierzytelniania i uzyskanie uprawnień administratora na kontrolerach vSmart i systemach vManage przez wysłanie spreparowanego żądania sieciowego. Cisco śledzi aktywność exploitacyjną pod oznaczeniem UAT-8616, opisując ją jako "wysoce zaawansowanego i wyrafinowanego aktora cyberthreat" — w sieci wykrywane są fałszywe "rogue peers" umożliwiające głębszy ruch lateralny. Tydzień później, 5-6 marca, Cisco potwierdziło aktywną eksploatację dwóch kolejnych luk: CVE-2026-20128 i CVE-2026-20122 w Catalyst SD-WAN Manager, z największym spikiem aktywności 4 marca i atakami z wielu regionów świata. Federalne agencje musiały zinwentaryzować urządzenia do 26 lutego i złożyć szczegółowy raport do 5 marca — atakujący instalowali po kompromitacji web shelle. Organizacje korzystające z Cisco SD-WAN powinny niezwłocznie zaktualizować oprogramowanie i sprawdzić logi w poszukiwaniu śladów nieautoryzowanego dostępu.
Źródło: BleepingComputer [EN] | The Hacker News [EN]
VMware Aria Operations — luka CVE-2026-22719 aktywnie eksploatowana, CISA wymaga łatki do 24 marca
CISA dodała 3-4 marca 2026 r. podatność CVE-2026-22719 (CVSS 8.1) w VMware Aria Operations do katalogu Known Exploited Vulnerabilities (KEV), nakazując agencjom federalnym zastosowanie poprawek do 24 marca 2026. Luka polega na wstrzyknięciu poleceń, które nieuprzytelnionym atakującym pozwala wykonywać dowolne polecenia systemowe, co może prowadzić do zdalnego wykonania kodu podczas migracji produktów z pomocą techniczną. Broadcom ujawniła podatność 24 lutego 2026 r. w ramach biuletynu VMSA-2026-0001 (ocenionego jako "Important") i przyznała, że posiada doniesienia o eksploatacji w środowiskach klientów, choć nie jest w stanie ich niezależnie potwierdzić. VMware Aria Operations to platforma monitorowania enterprise zarządzająca wydajnością serwerów, sieci i infrastruktury chmurowej — jej kompromitacja daje atakującemu widoczność i dostęp do całego środowiska. W tym samym biuletynie Broadcom naprawiła CVE-2026-22720 (stored XSS) oraz CVE-2026-22721 (privilege escalation do uprawnień administratora). Administratorzy powinni niezwłocznie zainstalować poprawki i sprawdzić logi pod kątem nieautoryzowanej aktywności, szczególnie związanej z procesami migracji.
Źródło: BleepingComputer [EN] | The Hacker News [EN]
2. 🚨 INCYDENTY
FBI — włamanie do systemu zarządzania podsłuchami i nakazami FISA
5 marca 2026 r. FBI potwierdziło, że wykryło i zneutralizowało "podejrzaną aktywność" na swoich sieciach, wcześniej informując Kongres o incydencie cyberbezpieczeństwa. Według CNN zaatakowany system jest cyfrową platformą do zarządzania wnioskami o podsłuch i nakazami nadzoru FISA (Foreign Intelligence Surveillance Act) — zawiera dane z "pen register" i "trap & trace", dane PII podmiotów dochodzeń oraz informacje o aktywnych sprawach i metodach operacyjnych. WSJ doniósł 6 marca, że śledczy podejrzewają hakerów powiązanych z chińskim rządem, choć zakres i powaga incydentu są nadal badane. Śledztwo prowadzą wspólnie FBI, CISA i NSA — "abnormal log information" wykryto w połowie lutego 2026, a urzędnicy ds. bezpieczeństwa narodowego i swobód obywatelskich zostali natychmiast zaangażowani. Kompromitacja tego rodzaju systemu budzi szczególne obawy — mógłby ujawnić tożsamość osób objętych nadzorem, aktywne śledztwa, a nawet informatorów lub aktywa wywiadu zagranicznego. Incydent porównywany jest do breaku Salt Typhoon z 2024 roku, kiedy chińscy hakerzy sfiltrowali sieci największych dostawców telekomunikacyjnych USA, uzyskując dostęp do systemów legalnego przechwytywania komunikacji.
Źródło: BleepingComputer [EN] | CyberScoop [EN]
SonicWall SSL VPN — masowe skanowanie z 4305 adresów IP przed planowanymi atakami
Między 22 a 25 lutego 2026 r. GreyNoise zarejestrowało 84 142 sesje skanowania wymierzone w urządzenia SonicWall SonicOS, pochodzące z 4305 unikalnych adresów IP rozłożonych na 20 systemów autonomicznych. Aż 92% sesji trafiało w jeden endpoint REST API służący do sprawdzania, czy SSL VPN jest włączony — celem jest systematyczne mapowanie infrastruktury pod przyszłe ataki credential-stuffing i eksploitację znanych podatności. Analitycy GreyNoise zidentyfikowali cztery klastry infrastrukturalne: holenderski "VPN hunter" skanujący równolegle SonicWall i Cisco ASA, sieć proxy ByteZero odpowiadającą za 32% ruchu z rotującymi 4102 IP, pojedynczy "mega-skaner" generujący 18 000 sesji i klaster NetExtender cicho testujący dane uwierzytelniające przez 24/7. Wzorzec ściśle odtwarza kampanię z grudnia 2025 roku, kiedy zaatakowano łącznie Palo Alto GlobalProtect i SonicWall z ponad 7000 IP. Na celowniku jest co najmniej 430 000 firewalli SonicWall widocznych w internecie, z czego ponad 25 000 urządzeń SSL VPN nie ma łatek na krytyczne podatności, a kolejne 20 000 pracuje na niewspieranym firmware. Ataki grupy Akira ransomware przez SonicWall VPN od marca 2023 przyniosły szacunkowo 244 miliony dolarów — administratorzy powinni natychmiast zaaplikować CVE-2024-53704 (CVSS 9.8) i wymusić MFA na wszystkich użytkownikach VPN.
Źródło: Greynoise [EN]
VOID#GEIST — wielostopniowa kampania malware rozsiewająca XWorm, AsyncRAT i Xeno RAT
Securonix Threat Research opisał 6 marca 2026 r. wielostopniową kampanię malware oznaczoną VOID#GEIST, która wykorzystuje zaciemnione skrypty batch jako wektor dostarczenia trzech zaszyfrowanych trojanów zdalnego dostępu (RAT). Łańcuch infekcji przebiega od pierwszego skryptu batch do drugiego, który następnie instaluje legalny interpreter Python bezpośrednio z python.org, tworząc w pełni przenośne środowisko wykonawcze niezależne od konfiguracji systemu. W kolejnym etapie skrypt Pythona deszyfruje i wstrzykuje payloady metodą Early Bird APC injection do oddzielnych instancji explorer.exe: new.bin (XWorm), xn.bin (Xeno RAT) i pul.bin (AsyncRAT), przy czym klucze deszyfrowania przechowywane są w osobnych plikach JSON. Po zakończeniu łańcucha infekcji malware wysyła minimalny beacon HTTP do infrastruktury C2 hostowanej na TryCloudflare — legalnej usłudze, co utrudnia blokowanie na poziomie firewalla. Modułowa architektura pozwala atakującym na stopniowe wdrażanie komponentów, co zwiększa elastyczność i odporność na detekcję; atakujący używają też legalnego binarnego Microsoft AppInstallerPythonRedirector.exe jako kolejnego wektora. Kampania demonstruje rosnący trend odejścia od monolitycznych plików wykonywalnych w stronę złożonych frameworków opartych na skryptach, naśladujących legalne przepływy pracy administratora.
Źródło: The Hacker News [EN]
3. 🤔 CIEKAWOSTKI
Transparent Tribe (APT36) używa AI do masowej produkcji malwarów na indyjskie instytucje
Badacze Bitdefender ujawnili 6 marca 2026 r., że pakistańska grupa APT36 (Transparent Tribe) przeszła na model "industrializacji malware wspomaganej AI", produkując masowo malwary w rzadkich językach programowania. Kampania używa pięciu nowych rodzin złośliwego oprogramowania — CreepDropper, SHEETCREEP (Go, C2 przez Microsoft Graph), MAILCREEP (C#, C2 przez Google Sheets), SupaServ (Rust, Supabase + Firebase), LuminousStealer (prawdopodobnie "vibe-coded" Rust) oraz CrystalShell (Crystal, wieloplatformowy, C2 przez Discord) — co wskazuje na celowe wykorzystanie narzędzi AI do generowania kodu w mniej popularnych językach. Kody zawierają emoji Unicode, co wskazuje na AI jako asystenta programistycznego, a różnorodność platform pozwala uniknąć detekcji opartych na sygnaturach konkretnych języków. Celem są rządowe, akademickie i strategiczne instytucje Indii, a komunikacja C2 ukryta jest w ruchu do legalnych usług chmurowych (Slack, Discord, Supabase, Google Sheets), trudnych do zablokowania bez zakłócenia pracy. Bitdefender ocenia strategię jako celowe "zalewanie środowisk docelowych dużą ilością binarnych śmieci" — zamiast tworzyć zaawansowany kod, APT36 stawia na ilość, szybkość i rotację, aby przeciążyć systemy detekcji. Konwergencja egzotycznych języków programowania i nadużywania legalnych usług chmurowych jako C2 staje się definiującym trendem zagrożeń AI-assisted APT.
Źródło: The Hacker News [EN]
Oszustwo reklamowe Genisys — Google usuwa 115 aplikacji Android generujących fałszywe wyświetlenia
Google usunął 115 aplikacji Android ze sklepu Play powiązanych z nową operacją oszustwa reklamowego nazwaną Genisys, która potajemnie porywała urządzenia do uruchamiania złośliwej aktywności w tle. Aplikacje otwierały ukryte okna przeglądarki i ładowały strony internetowe generowane przez narzędzia AI — udające blogi, portale informacyjne i strony poradnikowe — wyświetlając reklamy bez wiedzy użytkownika i transferując przychody na konta atakujących. Do obsługi fałszywych reklam wykorzystano ponad 500 domen stworzonych przez AI, co pozwoliło na masową rotację infrastruktury utrudniającą blokowanie. Schemat jest szczególnie trudny do wykrycia przez systemy antyfraudowe, ponieważ aktywność dzieje się wyłącznie w tle i nie powoduje widocznych objawów poza zwiększonym zużyciem baterii i danych mobilnych. Incydent po raz kolejny uwidacznia rosnące nadużycie generatywnej AI do tworzenia całych ekosystemów fałszywej infrastruktury reklamowej na skalę przemysłową. Użytkownicy, którzy zainstalowali aplikacje z tej partii powinni przeskanować urządzenie i zrestartować je, aby wyczyścić możliwą złośliwą aktywność w tle.
Źródło: The Hacker News [EN]
4. 🎣 OSZUSTWA, SCAMY, EXPLOITY
ClickFix — nowy wariant omija detekcje przez Windows Terminal, instaluje Lumma Stealera
Microsoft Threat Intelligence opisał w marcu 2026 r. nowy wariant ataku ClickFix, który porzucił dotychczasowe okno Uruchom (Win+R) na rzecz Windows Terminal — zaawansowanego narzędzia programistycznego, które wygląda znacznie bardziej legitymnie w oczach ofiary. Atakujący instruują użytkowników, by nacisnęli skrót Win+X→I, co otwiera Windows Terminal, a następnie zachęcają do wklejenia zakodowanego w HEX i skompresowanego XOR polecenia — błąd omija detekcje skonfigurowane pod kątem nadużyć okna Run i pominięcie świadomości bezpieczeństwa skupionej na Win+R. Łańcuch ataku jest bardziej rozbudowany niż poprzednie warianty: PowerShell deszyfruje polecenie, pobiera archiwum ZIP i przemianowaną kopię 7-Zip, rozpakowuje payload i ostatecznie wstrzykuje Lumma Stealera do procesów chrome.exe i msedge.exe metodą QueueUserAPC(). Lumma Stealer celuje w "Web Data" i "Login Data" przeglądarek, kradnąc zapisane hasła i tokeny sesji, a następnie eksfiltruje je do infrastruktury kontrolowanej przez atakującego. ClickFix pozostaje skuteczny, bo zmusza ofiarę do samodzielnego uruchomienia złośliwego polecenia — co omija wiele automatycznych zabezpieczeń traktujących to jako "świadomą decyzję użytkownika". Organizacje powinny włączyć PowerShell script block logging i edukować pracowników: żadna legalna usługa nigdy nie poprosi o wklejenie nieznanych komend do terminala lub okna systemowego.
Źródło: The Register [EN] | The Hacker News [EN]
Claude Code w rękach cyberprzestępców — Claude Code użyty do kradzieży 150 GB danych meksykańskich agencji rządowych
Cyberprzestępcy użyli Claude Code — narzędzia Anthropic do programowania agentic AI — do przeprowadzenia ataku na kilka meksykańskich agencji rządowych, kradnąc 150 GB poufnych danych. Atak ujawnił Security Affairs i Dark Reading jako jeden z pierwszych publicznie potwierdzonych przypadków użycia legalnego narzędzia AI do przeprowadzenia cyberataku na infrastrukturę rządową — Claude Code umożliwił automatyzację rozpoznania, eksploatacji i eksfiltracji danych. Wyróżniało go to, że atakujący nie musieli pisać tradycyjnego kodu exploitów — zamiast tego "zlecili" zadania agentic AI, które samodzielnie planowało i wykonywało kolejne kroki. Incydent wpisuje się w szerszy trend nadużywania narzędzi AI: w lutym 2026 roku odkryto InstallFix (fałszywe strony instalacyjne Claude Code), a Microsoft opisał kampanię ClickFix wykorzystującą strony Claude.ai do dystrybucji malware. Agencja Anthropic nie skomentowała incydentu, jednak zdarzenie wywołuje poważną debatę o konieczności dodatkowych zabezpieczeń i weryfikacji tożsamości użytkowników w narzędziach do kodowania AI. Incydent jest sygnałem ostrzegawczym dla branży — agentic AI staje się kolejnym wektorem ataku, który może być używany bez głębokiej wiedzy technicznej przez stosunkowo mało zaawansowanych aktorów zagrożeń.
Źródło: Dark Reading [EN]
5. ⚠️ DEZINFORMACJA, CYBER WOJNA
NCSC UK — ostrzeżenie przed irańskimi cyberatakami po eskalacji konfliktu na Bliskim Wschodzie
2 marca 2026 r. brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC, część GCHQ) wydało oficjalne ostrzeżenie dla organizacji UK o podwyższonym ryzyku ze strony irańskich aktorów cyberprzestrzeni po dramatycznej eskalacji konfliktu na Bliskim Wschodzie. Po wspólnym uderzeniu USA i Izraela (Operacja Epic Fury) 28 lutego 2026 r. — które doprowadziło m.in. do śmierci Najwyższego Przywódcy Alego Chameneiego — łączność internetowa w Iranie spadła do 1-4% normalnego poziomu, jednak państwowe grupy APT prawdopodobnie zachowały zdolności do działania. NCSC oceniło, że "prawdopodobnie nie ma istotnej bezpośredniej zmiany w zagrożeniu ze strony Iranu dla UK, jednak ze względu na szybko zmieniającą się sytuację ocena może ulec zmianie" — szczególnie na organizacje z powiązaniami lub łańcuchami dostaw na Bliskim Wschodzie. Jonathon Ellison (NCSC): "krytyczne, by wszystkie organizacje UK pozostały czujne na ryzyko kompromitacji cybernetycznej, szczególnie te z aktywami lub łańcuchami dostaw w strefach napięcia". Zalecenia obejmują przegląd obrony przed DDoS, atakami phishingowymi i celowaniem w systemy ICS/OT, rejestrację w usłudze Early Warning Service oraz dla operatorów infrastruktury krytycznej — natychmiastowy przegląd gotowości na scenariusz poważnego zagrożenia cyber. Ostrzeżenie nawiązuje do wcześniejszego advisory DHS z czerwca 2025 r. i wspólnego advisorego US Cyber Agencies z października 2025 r. dotyczącego irańskich APT.
Źródło: BleepingComputer [EN] | The Register [EN]
Iran łączy operacje kinetyczne z cybernetycznymi w spójną doktrynę wojenną
Check Point Research opublikował 4 marca 2026 r. analizę dokumentującą zintensyfikowane ataki irańskich aktorów na kamery IP Hikvision i Dahua, które nieprzypadkowo zaczęły się dokładnie 28 lutego — w dniu pierwszych uderzeń USA i Izraela w Iran. Badacze ocenili, że Iran "jako część swojej doktryny wykorzystuje przejmowanie kamer do wsparcia operacji kinetycznych i oceny skutków uderzeń po ostrzałach (BDA) — a monitorowanie aktywności na ścieżkach atakowanej infrastruktury IP może służyć jako wczesny wskaźnik planowanych uderzeń kinetycznych". Flashpoint dostarczył Dark Reading dodatkowe dane o równoległych działaniach irańskiej koalicji: ataki na systemy ICS/SCADA w Izraelu, sabotaż logistyczny (zhakowanie jordańskiej firmy Jordan Silos and Supply przez phishing), fale DDoS na rządowe systemy ZEA i Bahrajnu. Między 28 lutego a 2 marca pro-rosyjska grupa Z-Pentest przejęła US-based ICS/SCADA i sieci CCTV, a jej timing względem Operacji Epic Fury sugeruje oportunistyczną koordynację. "Zachodnie organizacje powinny nadal być w stanie gotowości na potencjalne odpowiedzi cybernetyczne w miarę trwania konfliktu, a aktywność może ewoluować od hacktivizmu do operacji destrukcyjnych" — ostrzegł Adam Meyers z CrowdStrike. Konflikt iransko-zachodni wyznacza nowy standard "pełnej fuzji" operacji kinetycznych i cybernetycznych, wcześniej obserwowany jedynie fragmentarycznie w wojnie rosyjsko-ukraińskiej.
Źródło: Dark Reading [EN] | The Hacker News [EN]
Jak zwykle liczę na Wasze komentarze i uwagi, które pozwolą mi jeszcze lepiej dobierać artykuły i ciekawostki z dziedziny cyberbezpieczeństwa.