🔐 Cyber Security Daily News | 24.04.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. 📰 NEWS
Apple łata błąd pozwalający FBI odczytać skasowane wiadomości Signal z powiadomień iPhone'a (CVE-2026-28950)
Apple wydało pilne aktualizacje iOS i iPadOS naprawiające lukę CVE-2026-28950 — błąd w wewnętrznej bazie danych powiadomień, który powodował, że iOS zachowywał kopie treści powiadomień (w tym podglądy wiadomości Signal) nawet po usunięciu aplikacji z telefonu. Błąd wyszedł na jaw przy okazji procesu sądowego w USA, gdzie FBI wydobyło treść zaszyfrowanych rozmów ze skasowanego Signala właśnie z tej wewnętrznej bazy. Luka nie dotyczyła samego Signala — szyfrowanie aplikacji działało poprawnie — ale iOS nieświadomie przechowywał podglądy push notifications. Po instalacji łatki wszystkie niezamierznie zachowane powiadomienia zostaną automatycznie usunięte. Signal zaleca włączenie opcji ukrywania treści wiadomości w powiadomieniach — niezależnie od wersji systemu — dla maksymalnej ochrony prywatności.
Źródło: Help Net Security [EN] | Schneier on Security [EN] | Infosecurity Magazine [EN]
Europol w operacji PowerOFF identyfikuje 75 tysięcy użytkowników usług DDoS-for-hire — CBZC wśród uczestników
Europol skoordynował globalną operację PowerOFF, w której wzięły udział służby z 21 krajów — w tym polskie Centralne Biuro Zwalczania Cyberprzestępczości (CBZC). W ramach tegorocznej fazy operacji zidentyfikowano ponad 75 tysięcy użytkowników platform booter/stresser, czyli serwisów umożliwiających wynajęcie ataku DDoS nawet osobom bez wiedzy technicznej — wystarczy opłata i adres ofiary. Służby zatrzymały 4 osoby, przeprowadziły 25 przeszukań, zlikwidowały 53 domeny i przejęły bazy z danymi ponad 3 milionów kont. Co ważne, operacja PowerOFF ma też wymiar profilaktyczny: organy ścigania aktywnie wyszukują reklamy tych usług i usuwają je z wyników wyszukiwania, a osoby zidentyfikowane jako użytkownicy otrzymują ostrzeżenia zanim zostaną postawione zarzuty.
Źródło: Sekurak [PL]
Nowa grupa APT GopherWhisper ukrywa centrum dowodzenia w Slacku, Discordzie i skrzynkach Outlook
Badacze ESET zidentyfikowali nową grupę cyberszpiegowską powiązaną z Chinami, nazwaną GopherWhisper — od języka Go (w którym napisano większość narzędzi) i nazwy jednego z modułów (whisper.dll). Grupa operuje zestawem niestandardowych implantów: backdoor LaxGopher komunikuje się przez prywatny workspace Slack, RatGopher przez serwer Discord, a BoxOfFriends przez szkice wiadomości w Outlooku (Microsoft Graph API). Narzędzie exfiltracyjne CompactGopher wysyła skradzione dane przez serwis file.io. Dzięki odzyskaniu API tokenów Slack i Discord badaczom udało się przejrzeć tysiące wiadomości operacyjnych grupy — co dało wyjątkowy wgląd w jej procedury wewnętrzne. Kampania jest powiązana z włamaniem do mongolskiej instytucji rządowej.
Źródło: Help Net Security [EN] | BleepingComputer [EN]
2. 🚨 INCYDENTY
Włamanie na skrzynkę mailową polskiej politechniki — incydent w sektorze akademickim
CyberDefence24 informuje o kolejnym naruszeniu bezpieczeństwa w polskim środowisku akademickim: nieznani hakerzy uzyskali nieautoryzowany dostęp do skrzynki e-mail jednej z polskich politechnik. Szczegóły dotyczące nazwy uczelni i zakresu skradzionych danych nie zostały w pełni upublicznione. Atak na uczelnianą pocztę jest szczególnie niebezpieczny, bo konta pracownicze często mają dostęp do systemów rekrutacyjnych, finansowych i baz danych studentów. Incydent wpisuje się w niepokojący trend ataków na polskie instytucje akademickie w ostatnich miesiącach — po ransomware na Uniwersytecie Warszawskim (Interlock) i przypadkowym wycieku danych wykładowców na innej uczelni.
Źródło: CyberDefence24 [PL]
Wyciek danych 500 tysięcy uczestników UK Biobanku — dane medyczne wystawione na sprzedaż na Alibaba
The Register donosi o poważnym incydencie dotyczącym UK Biobank — brytyjskiej bazy danych medycznych i genetycznych obejmującej pół miliona dobrowolnych uczestników. Dane zostały wystawione na sprzedaż na platformie Alibaba. UK Biobank gromadzi wyjątkowo wrażliwe informacje: próbki biologiczne, wyniki badań genetycznych, dane zdrowotne i historia leczenia — zebrane od uczestników, którzy dobrowolnie zgodzili się na badania naukowe. Kradzież takich danych to nie tylko naruszenie prywatności, ale też potencjalne zagrożenie dla uczestników badań klinicznych i ryzyko dyskryminacji ubezpieczeniowej. Dochodzenie jest w toku.
Źródło: The Register [EN]
Francja: zatrzymano 20-letniego hakera „HexDex" za włamania do dziesiątek organizacji — w tym federacji sportowych
Policja francuska zatrzymała 20-letniego mężczyznę z regionu Vendée, działającego pod pseudonimem HexDex, powiązanego z serią ataków na organizacje w całej Francji. Sprawa dotyczy ponad 100 zgłoszeń złożonych w grudniu 2025 roku przez cyberprzestępczą jednostkę paryskiej prokuratury. Szczególnym zainteresowaniem podejrzanego cieszyły się federacje sportowe — wyciekły dane federacji żeglarstwa, lekkoatletyki, motorsportu, gimnastyki, narciarstwa, rugby, aikido i innych. HexDex atakował też sieci hotelowe, instytucje kultury i systemy rządowe. Podejrzany przyznał się do używania pseudonimu i publikowania wykradzionych danych na BreachForum i Darkforum.
Źródło: Help Net Security [EN]
Kosmetyczny gigant Rituals ujawnia wyciek danych klientów
Rituals — holenderska sieć kosmetyczna działająca w kilkudziesięciu krajach — poinformowała o naruszeniu bezpieczeństwa danych dotyczącym klientów. Firma potwierdziła incydent i wszczęła dochodzenie. SecurityWeek i BleepingComputer potwierdzają, że wyciek dotyczy danych osobowych nabywców produktów z sieci, choć szczegółowy zakres jest wciąż weryfikowany. Rituals posiada miliony aktywnych klientów w Europie i Azji — wyciek z tak dużej sieci detalicznej to potencjalnie duże ryzyko phishingu ukierunkowanego na klientów podszywającego się pod serwis posprzedażowy lub programy lojalnościowe.
Źródło: BleepingComputer [EN] | SecurityWeek [EN]
3. 💡 CIEKAWOSTKI
Botnet Mirai aktywnie atakuje stare routery TP-Link przez lukę CVE-2023-33538 — trzy modele szczególnie zagrożone
Badacze z Unit42 (Palo Alto Networks) alarmują o aktywnej kampanii botnetu Mirai wymierzonej w routery TP-Link, które osiągnęły status End-of-Life i nie są już aktualizowane przez producenta. Na celowniku są konkretne modele: TL-WR940N (V2, V4), TL-WR740N (V1, V2) i TL-WR841N (V8, V10). Podatność CVE-2023-33538 pozwala na zdalne wykonanie kodu (RCE) przez wstrzyknięcie poleceń systemowych — urządzenie może zostać wcielone do botnetu DDoS bez wiedzy właściciela. CISA dodała tę lukę do katalogu aktywnie eksploatowanych podatności już w połowie 2025 roku. Właściciele tych routerów mają jedno wyjście: wymienić urządzenie na nowszy model z aktywnym wsparciem, bo producent nie wyda już łatki.
Źródło: Sekurak [PL]
RAMP — anatomia rosyjskiego rynku ransomware-as-a-service: jak działa darkwebowy „ekosystem" przestępczy
Security Affairs publikuje obszerną analizę platformy RAMP (Ransomware and Malware Platform) — jednego z kluczowych węzłów ekosystemu rosyjskiej cyberprzestępczości. RAMP to zamknięte forum, na którym operatorzy ransomware rekrutują afilirantów, brokerzy dostępu sprzedają przejęte konta, a spekulanci handlują danymi z wycieków. Raport ujawnia szczegóły struktury organizacyjnej, metody weryfikacji nowych członków i mechanizmy zapobiegające infiltracji przez organy ścigania. Analiza jest wyjątkowo wartościowa, bo większość takich forów jest dla badaczy niedostępna — wiedza o ich działaniu pozwala lepiej rozumieć, jak planowane są ataki zanim do nich dojdzie.
Źródło: Security Affairs [EN]
CERT Orange Polska: dystrybuowane trojany RMM z użyciem modeli AI — nowy wektor dystrybucji złośliwego oprogramowania
CERT Orange Polska opisuje rosnący trend, w którym cyberprzestępcy używają modeli AI do generowania i personalizowania fałszywych wersji popularnego oprogramowania RMM (Remote Monitoring and Management) — narzędzi używanych powszechnie przez działy IT do zarządzania komputerami. Trojanizowane wersje są budowane tak, by wyglądały i działały identycznie jak oryginały, jednocześnie instalując backdoora. AI pomaga atakującym dostosowywać ładunki do konkretnych ofiar, obchodzić sygnatury antywirusowe i automatyzować skalowanie kampanii. To niepokojący przykład demokratyzacji zaawansowanych technik ataku — niegdyś dostępnych tylko dla świetnie wyposażonych grup, teraz coraz szerzej stosowanych przez mniejszych aktorów.
Źródło: CERT Orange Polska [PL]
4. 🎣 OSZUSTWA, SCAMY, EXPLOITY
Fałszywe SMS-y od ZUS wyłudzają pieniądze i dane — jeden klik wystarczy do utraty środków
PREBYTES SIRT opisuje aktywną kampanię smishingową, w której cyberprzestępcy podszywają się pod Zakład Ubezpieczeń Społecznych i rozsyłają SMS-y o rzekomych błędach w rozliczeniach składek. Wiadomości zawierają link do strony łudząco imitującej oficjalny portal ZUS, gdzie ofiara jest proszona o podanie danych osobowych lub płatniczych. ZUS jest wyjątkowo skuteczną „przynętą" — jest powszechnie znany, budzi skojarzenia z obowiązkami finansowymi i naturalnymi obawami o nieprawidłowości. Co istotne w kontekście polskiego rynku, artykuł zwraca też uwagę na narzędzia technologiczne, które potrafią wykryć i zablokować takie próby już na etapie odbierania SMS-a. Podejrzane wiadomości można zgłaszać na numer 8080 lub przez moje.cert.pl.
Źródło: SIRT.pl [PL]
Ostrzeżenie policji ws. ZondaCrypto — fałszywe wsparcie kradnie środki z kont polskiej giełdy kryptowalut
Telepolis opisuje ostrzeżenie polskiej policji i samej giełdy ZondaCrypto przed kampanią, w której fałszywi „konsultanci wsparcia technicznego" kontaktują się z użytkownikami, podszywając się pod pracowników giełdy. Schemat jest klasyczny: ofiara zgłasza problem z kontem lub transakcją, atakujący proaktywnie wychodząją z „pomocą" — nakłaniają do podania danych logowania, kodu 2FA lub instalacji oprogramowania zdalnego dostępu. ZondaCrypto jest jedną z niewielu polskich giełd kryptowalutowych z regulacjami krajowymi, więc cieszy się zaufaniem użytkowników — co czyni jej wizerunek atrakcyjnym dla oszustów. Wsparcie techniczne giełdy nigdy nie kontaktuje się z klientami z inicjatywy własnej przez media społecznościowe.
Źródło: Telepolis [PL]
Bitwarden CLI: złośliwy pakiet npm kradł dane uwierzytelniające deweloperów w ramach ataku supply chain
BleepingComputer i The Hacker News opisują atak supply chain na pakiet npm powiązany z Bitwarden CLI — narzędziem wiersza poleceń do zarządzania hasłami. Atakujący opublikowali złośliwą wersję pakietu, która kraciła dane uwierzytelniające deweloperów używających Bitwarden w swoich środowiskach CI/CD i pipeline'ach automatyzacji. Deweloperzy używający menedżerów haseł przez CLI są szczególnie wartościowym celem — ich skrzynka z hasłami często zawiera dostępy do repozytoriów kodu, platform chmurowych i innych wrażliwych systemów firmy. Wszystkie środowiska deweloperskie używające bw CLI powinny być zweryfikowane pod kątem instalacji złośliwej wersji.
Źródło: BleepingComputer [EN] | The Hacker News [EN]
5. 🌐 DEZINFORMACJA, CYBER WOJNA
Ukraińcy zhakować rosyjski system komunikacji satelitarnej — kolejna operacja cybernetyczna w konflikcie
CyberDefence24 opisuje doniesienia o ukraińskiej operacji cybernetycznej, w wyniku której doszło do włamania do rosyjskiego wojskowego systemu komunikacji satelitarnej. Szczegóły operacji i zakres uzyskanego dostępu nie zostały w pełni ujawnione ze względów operacyjnych. Ukraina od początku konfliktu zbrojnego z Rosją systematycznie buduje zdolności do ofensywnych operacji cybernetycznych — ten incydent wpisuje się w serię działań wymierzonych w rosyjską infrastrukturę komunikacyjną i wywiadowczą. Zakłócenie łączności satelitarnej ma bezpośredni wpływ na koordynację sił na polu walki, co nadaje tej operacji wymiar wykraczający poza czyste szpiegostwo.
Źródło: CyberDefence24 [PL]
Holenderski wywiad AIVD ostrzega: Iran intensyfikuje cyberofensywę po eskalacji konfliktu z USA i Izraelem
CyberDefence24 opisuje najnowszy raport holenderskiej Służby Wywiadu i Bezpieczeństwa (AIVD) poświęcony irańskim zdolnościom cybernetycznym po eskalacji konfliktu zbrojnego. AIVD odnotowuje znaczące wzmocnienie irańskich operacji ofensywnych — zarówno pod względem liczby, jak i wyrafinowania ataków wymierzonych w zachodnie firmy technologiczne, instytucje rządowe i infrastrukturę krytyczną. Holenderski wywiad ostrzega przed konwergencją irańskich grup APT (jak MuddyWater i Charming Kitten) z grupami haktywistycznymi (Handala), które działają coraz bardziej skoordynowanie. Dla europejskich organizacji w sektorach energetycznym i technologicznym to sygnał do podniesienia czujności i weryfikacji ekspozycji zewnętrznych systemów.
Źródło: CyberDefence24 [PL]
Chińskie grupy APT budują ukryte sieci proxy z przejętych routerów konsumenckich do maskowania ataków
The Register i CyberScoop opisują nowe ostrzeżenie zachodnich agencji wywiadowczych dotyczące chińskich grup powiązanych z wywiadem, które budują sieci tzw. „operacyjnych przekaźników" z zainfekowanych routerów domowych i małych firm. Technika pozwala atakującym prowadzić operacje szpiegowskie z adresów IP należących do zwykłych użytkowników w różnych krajach — co utrudnia wykrycie i atrybucję ataków. Routery są infekowane przez znane podatności, a następnie używane jako węzły pośrednie w atakach na cele wysokiego priorytetu: instytucje rządowe, firmy zbrojeniowe i infrastrukturę krytyczną. To ta sama taktyka co rosyjski APT28 z przejętymi routerami SOHO — ale stosowana niezależnie przez chińskich aktorów.
Źródło: The Register [EN] | CyberScoop [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 23 kwietnia 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.
@lesiopm2, thank you for supporting the HiveBuzz project by voting for our witness.
Click on the badge to view your board.
Once again, thanks for your support!