Wiadomości z ciemnej strony październik 2025

Wiadomości z ciemnej strony, październik 2025

Błędy w systemach pamięci masowej Dell pozwalają hakerom przejąć kontrolę nad systemami korporacyjnymi.

Badacze z Tenable odkryli nowe podatności w Dell Storage Manager (DSM), które mogą umożliwić zdalnym atakującym obejście uwierzytelniania, dostęp do poufnych danych lub całkowite przejęcie kontroli nad systemami pamięci masowej przedsiębiorstw.
Najpoważniejsza z trzech luk, CVE-2025-43995, wynika z nieprawidłowego mechanizmu uwierzytelniania w komponencie DSM Data Collector.
Wykorzystując ujawnione interfejsy API w pliku ApiProxy.war, atakujący mogą tworzyć sfałszowane wartości SessionKey i UserId, podszywając się pod zaufane konta wewnętrzne.

Luka dnia zerowego (zero-day) w Chrome napędza aktywną kampanię szpiegowską grupy ForumTroll.

Luka dnia zerowego w Google Chrome była aktywnie wykorzystywana przez grupę hakerską Mem3nt0 Mori w serii ukierunkowanych ataków na organizacje o wysokim profilu w Rosji i na Białorusi. Luka pozwalała atakującym ominąć zabezpieczenia sandboxa Chrome i wdrożyć spyware za pośrednictwem kampanii phishingowych podszywających się pod zaproszenia na forum Primakov Readings.
Operacja ForumTroll
Luka CVE-2025-2783 dotyczy wersji Chrome sprzed 134.0.6998.177 w systemie Windows.
W przypadku wykorzystania umożliwia ona wykonanie dowolnego kodu, kradzież plików oraz instalację oprogramowania szpiegującego  bez konieczności pobierania czegokolwiek lub interakcji użytkownika.
Google wydało poprawkę, ale  jak ustalili badacze Kaspersky luka była aktywnie wykorzystywana przed jej załataniem.
Incydenty te, będące częścią operacji nazwanej przez Kaspersky Operation ForumTroll, były wymierzone w media, instytucje finansowe i uniwersytety badawcze. Pokazuje to, że cyberprzestępcy coraz częściej łączą socjotechnikę z komercyjnym oprogramowaniem szpiegującym w celach wywiadowczych.

Atak zaczynał się od spersonalizowanych e-maili phishingowych w języku rosyjskim, które wyglądały jak oficjalne zaproszenia na forum Primakov Readings.
Linki prowadziły do złośliwych stron internetowych, które automatycznie uruchamiały exploit — bez konieczności klikania czy pobierania plików.
Po otwarciu w Chrome exploit wykorzystywał lukę w systemie komunikacji międzyprocesowej Mojo (IPC), odpowiedzialnym za wymianę danych między odseparowanymi komponentami przeglądarki (sandbox).
Problem wynikał z braku prawidłowej walidacji tzw. pseudo-uchwytów (np. stałej -2), używanych do odwoływania się do bieżącego wątku.
To przeoczenie pozwalało atakującym duplikować uchwyty wątków poza granicami sandboxa, uzyskując w ten sposób możliwość wykonania kodu w procesie przeglądarki z wyższymi uprawnieniami.
Po uzyskaniu przyczółka hakerzy wdrażali trwały loader złośliwego oprogramowania poprzez atak typu COM hijacking, zmuszając system Windows do ładowania złośliwej biblioteki DLL podszywającej się pod twinapi.dll.
Loader odszyfrowywał i uruchamiał ładunek spyware o nazwie LeetAgent, który wykonywał polecenia zapisane w języku leetspeak.

Spyware LeetAgent umożliwiał atakującym:
- Rejestrowanie naciśnięć klawiszy i monitorowanie schowka.
- Kradzież plików o rozszerzeniach .docx, .pdf, .xlsx.
- Wstrzykiwanie kodu (shellcode) do zaufanych procesów, takich jak rdpclip.exe.
Złośliwe oprogramowanie komunikowało się z serwerami C2 hostowanymi w infrastrukturze chmurowej Fastly[.]net, wykorzystując zaciemnianie kodu i szyfrowanie ChaCha20.
Badacze z Kaspersky powiązali to oprogramowanie z Dante — komercyjnym narzędziem nadzoru stworzonym przez Memento Labs (dawniej Hacking Team), włoską firmę znaną ze sprzedaży oprogramowania szpiegującego rządom.

październik 2025
źródło: TechnologyAdvice, eSecurity Plant,