Odmrzavanje PolarEdge backdoora

Istraživači iz Sekoia.io analizirali su botnet nazvan PolarEdge, prvi put detektiran u siječnju 2025., koji koristi ranjivost CVE-2023-20118 za postizanje udaljenog izvršavanja koda (RCE) i postavljanje web shell-a na ciljnim routerima. Drugi napad u veljači 2025. uključivao je udaljenu naredbu koja je instalirala TLS-temeljen backdoor implant. Kampanja također uključuje srodne payload-ove koji ciljaju Asus, QNAP i Synology routere, što ukazuje na širu obitelj napada.

Izvor: Sekoia

—

Misteriozni Elephant: rastuća prijetnja

Istraživači iz Kaspersky GReAT-a detaljno su opisali aktivnost grupe Mysterious Elephant, APT aktera koji cilja vladine i vanjskopolitičke organizacije u regiji Azije i Pacifika. Aktivna od 2023., grupa stalno prilagođava svoje taktike i koristi WhatsApp za izvlačenje dokumenata i drugih osjetljivih podataka. Kampanje iz 2025. oslanjaju se na nove prilagođene alate i modificirane open-source module poput BabShell i MemLoader kako bi poboljšali prikrivenost i učinkovitost.

Izvor: Securelist (Kaspersky)

—

Operacija Zero Disco: napadači iskorištavaju Cisco SNMP ranjivost za instalaciju rootkita

Trend Micro je otkrio operaciju u kojoj napadači iskorištavaju Cisco SNMP ranjivost (CVE-2025-20352) za instalaciju Linux rootkita na ranjivim mrežnim uređajima. Napadači su koristili lažne IP adrese i Mac adrese, a malware postavlja univerzalnu lozinku koja sadrži riječ „disco“. Nakon implantacije, malware dodaje hookove u IOSd komponente i ostvaruje fileless prikrivenost. Iako noviji Cisco switch modeli koriste ASLR za smanjenje uspješnosti napada, ponovljeni pokušaji i dalje mogu uspjeti.

Izvor: TrendMicro

—

PhantomVAI loader isporučuje različite infostealere

Tim Unit 42 iz Palo Alto Networks izvijestio je o phishing kampanjama koje koriste PhantomVAI loader za dostavu različitog malwarea za krađu informacija kroz višestupanjske, prikrivene lance infekcije. Loader, izvorno povezan s Katz Stealerom, sada distribuira AsyncRAT, XWorm, FormBook i DCRat. Prodaje se kao malware-as-a-service te koristi steganografiju i obfuskaciju za sakrivanje payload-ova i izbjegavanje detekcije.

Izvor: Unit42 (Palo Alto Networks)

—

Nova Android Pixnapping metoda krade MFA kodove piksel-po-piksel

Nova side-channel metoda nazvana Pixnapping omogućuje zlonamjernoj Android aplikaciji bez dopuštenja da uhvati piksele prikazane u drugim aplikacijama ili preglednicima i rekonstruira osjetljive podatke, uključujući poruke, e-mailove i kodove za dvofaktorsku autentifikaciju. Metodu su razvili i demonstrirali istraživači sa sedam američkih sveučilišta; napad radi i na potpuno ažuriranim modernim Android uređajima i može ukrasti 2FA kodove za manje od 30 sekundi.

Izvor: BleepingComputer