Unutar kineskog hosting ekosustava: mapirano više od 18.000 malware C2 poslužitelja kod glavnih ISP-ova
Lov na prijetnje često započinje jednim indikatorom, poput sumnjive IP adrese, domene s beaconing ponašanjem ili poznate malware obitelji. Promatranje tih indikatora pojedinačno olakšava propuštanje uočavanja temeljne infrastrukture. Tijekom analize zlonamjernih aktivnosti u kineskim hosting okruženjima, više puta su se pojavljivale iste mreže i pružatelji usluga u nepovezanim kampanjama. Komercijalni malware, phishing operacije i alati povezani s državnim akterima često su bili smješteni unutar iste infrastrukture, čak i dok su se pojedinačne IP adrese i domene mijenjale.
Izvor: Hunt.io

Unutar RedVDS-a: kako je jedan pružatelj virtualnih radnih okruženja poticao globalne kibernetičke kriminalne operacije
Tijekom protekle godine Microsoft Threat Intelligence uočio je širenje RedVDS-a, pružatelja virtualnih namjenskih poslužitelja (VDS) kojeg su koristili brojni financijski motivirani prijetiteljski akteri za provođenje business email compromise (BEC) napada, masovnih phishing kampanja, preuzimanja računa i financijskih prijevara. Microsoftova istraga RedVDS usluga i infrastrukture otkrila je globalnu mrežu različitih kibernetičkih kriminalaca koji su kupovali i koristili ove usluge za napade na više sektora, uključujući pravni, građevinski, proizvodni, nekretninski, zdravstveni i obrazovni sektor u Sjedinjenim Američkim Državama, Kanadi, Ujedinjenom Kraljevstvu, Francuskoj, Njemačkoj, Australiji te zemljama s razvijenom bankarskom infrastrukturom i većim potencijalom financijske dobiti. U suradnji s tijelima za provedbu zakona diljem svijeta, Microsoftova Digital Crimes Unit (DCU) nedavno je omogućila ometanje RedVDS infrastrukture i povezanih operacija.
Izvor: Microsoft Security Blog

UAT-8837 cilja sektore kritične infrastrukture u Sjevernoj Americi
Cisco Talos pomno prati UAT-8837, prijetiteljskog aktera za kojeg s umjerenom razinom pouzdanosti procjenjuje da je kineski APT akter, na temelju preklapanja taktika, tehnika i procedura (TTP-ova) s drugim poznatim kineskim prijetiteljskim skupinama. Na temelju TTP-ova i postkompromitacijskih aktivnosti koje je Talos zabilježio u više upada, procjenjuje se da je primarna zadaća ovog aktera ostvarivanje početnog pristupa visokovrijednim organizacijama. Iako se ciljanje može činiti sporadičnim, od najmanje 2025. godine skupina se jasno fokusira na organizacije unutar sektora kritične infrastrukture u Sjevernoj Americi.
Izvor: Cisco Talos

Hakeri iskorištavaju c-ares DLL side-loading za zaobilaženje zaštite i isporuku malwarea
Sigurnosni stručnjaci objavili su detalje aktivne malware kampanje koja iskorištava DLL side-loading ranjivost u legitimnoj binarnoj datoteci povezanoj s open-source c-ares bibliotekom kako bi zaobišla sigurnosne kontrole i isporučila širok raspon komercijalnih trojanaca i stealera. „Napadači postižu izbjegavanje detekcije uparivanjem zlonamjernog libcares-2.dll-a s bilo kojom potpisanom verzijom legitimnog ahost.exe-a (koji često preimenuju) kako bi izvršili svoj kod”, navela je tvrtka Trellix u izvješću podijeljenom s The Hacker Newsom. „Ova DLL side-loading tehnika omogućuje malwareu zaobilaženje tradicionalnih sigurnosnih mehanizama temeljenih na potpisima.” Kampanja je zabilježena u distribuciji raznih malware obitelji, uključujući Agent Tesla, CryptBot, Formbook, Lumma Stealer, Vidar Stealer, Remcos RAT, Quasar RAT, DCRat i XWorm.
Izvor: The Hacker News

Novi “Reprompt” napad neprimjetno izvlači podatke iz Microsoft Copilota
Sigurnosni istraživači iz tvrtke Varonis otkrili su novi napad koji im je omogućio eksfiltraciju korisničkih podataka iz Microsoft Copilota putem jednog zlonamjernog linka. Napad, nazvan Reprompt, zaobišao je zaštite LLM sustava od curenja podataka i omogućio trajnu eksfiltraciju sesije čak i nakon zatvaranja Copilota, navodi Varonis. Napad koristi Parameter 2 Prompt (P2P) injection, tehniku dvostrukog zahtjeva i lančanu tehniku zahtjeva kako bi omogućio kontinuirano i neprimjetno izvlačenje podataka. Reprompt Copilot napad započinje iskorištavanjem parametra „q”, koji se na AI platformama koristi za isporuku korisničkog upita ili prompta putem URL-a. Dovoljan je samo klik korisnika na takav link.
Izvor: SecurityWeek

Sigurnosno upozorenje: MongoDB ranjivost (CVE-2025-14847)
Dana 19. prosinca 2025. MongoDB je javno objavio MongoBleed, sigurnosnu ranjivost (CVE-2025-14847) koja omogućuje neautentificiranim napadačima curenje osjetljive heap memorije iskorištavanjem problema povjerenja u načinu na koji MongoDB Server obrađuje mrežne poruke komprimirane pomoću zliba. Ova ranjivost javlja se prije autentifikacije, što znači da je napadaču potreban samo mrežni pristup zadanom portu baze podataka kako bi je iskoristio.
Izvor: Palo Alto Networks Unit 42

Fortinet zakrpa kritičnu FortiSIEM ranjivost koja omogućuje neautentificirano udaljeno izvršavanje koda
Fortinet je objavio nadogradnje koje ispravljaju kritičnu sigurnosnu ranjivost u FortiSIEM-u, a koja bi mogla omogućiti neautentificiranom napadaču izvršavanje koda na pogođenim instancama. Ranjivost ubrizgavanja naredbi operacijskog sustava, praćena pod oznakom CVE-2025-64155, ocijenjena je s 9,4 od mogućih 10,0 prema CVSS sustavu. „Neispravna neutralizacija posebnih elemenata korištenih u OS naredbi (‘OS command injection’) [CWE-78] u FortiSIEM-u može omogućiti neautentificiranom napadaču izvršavanje neautoriziranog koda ili naredbi putem posebno oblikovanih TCP zahtjeva”, navela je tvrtka u svom priopćenju.
Izvor: The Hacker News

Kritična Node.js ranjivost može uzrokovati padove poslužitelja putem async_hooks stack overflowa
Node.js je objavio nadogradnje za ispravak kritičnog sigurnosnog problema koji, prema navodima, pogađa „gotovo svaku produkcijsku Node.js aplikaciju” i koji, ako se uspješno iskoristi, može izazvati uskraćivanje usluge (DoS). „Node.js/V8 ulaže najbolji mogući napor da se oporavi od iscrpljivanja prostora stoga uz hvatanje greške, na što su se frameworksi oslanjali radi dostupnosti usluge”, izjavili su Matteo Collina i Joyee Cheung iz Node.js tima u službenom biltenu.
Izvor: The Hacker News

Microsoft siječanj 2026 Patch Tuesday: ispravljeno 115 ranjivosti
Microsoft je objavio svoj prvi Patch Tuesday u 2026. godini, donoseći velik broj sigurnosnih zakrpa za zaštitu korisnika od različitih digitalnih prijetnji. Ovog mjeseca tehnološki gigant riješio je 115 ranjivosti, od kojih se osam smatra kritičnima, što predstavlja najvišu razinu rizika, dok je 106 označeno kao važno. Siječanjska ažuriranja obuhvaćaju sve, od Windowsa 11 i Microsoft Officea do preglednika Edge.
Izvor: Hackread

„Nepouzdana zaklada”: ciljani kibernetički napadi UAC-0190 protiv SOU-a uz korištenje PLUGGYAPE alata
Tijekom razdoblja od listopada do prosinca 2025., Nacionalni tim za odgovor na kibernetičke incidente, kibernetičke napade i prijetnje CERT-UA, u suradnji s Timom za odgovor na kibernetičke incidente Oružanih snaga Ukrajine (vojna jedinica A0334), proveo je istrage niza ciljanih kibernetičkih napada protiv pripadnika Obrambenih snaga Ukrajine. Napadi su provođeni pod krinkom aktivnosti dobrotvornih zaklada korištenjem softverskog alata PLUGGYAPE. Na temelju određenih obilježja, aktivnosti su s umjerenom razinom pouzdanosti povezane s djelovanjem grupe poznate kao Void Blizzard (Laundry Bear), za čije se praćenje koristi identifikator UAC-0190. U sklopu napada, mete se putem aplikacija za razmjenu poruka potiče da posjete web stranicu koja imitira stranicu navodne dobrotvorne zaklade, s koje im se nudi preuzimanje „dokumenata” – izvršnih datoteka, najčešće smještenih u arhivi zaštićenoj lozinkom.
Izvor: CERT-UA

Skriveni Telegram proxy linkovi mogu otkriti vašu IP adresu jednim klikom
Dovoljan je jedan klik na ono što može izgledati kao Telegram korisničko ime ili bezazleni link kako bi se napadačima otkrila vaša stvarna IP adresa zbog načina na koji se obrađuju proxy linkovi. Telegram je za BleepingComputer izjavio da će sada dodavati upozorenja na proxy linkove nakon što su istraživači pokazali da se posebno izrađeni linkovi mogu koristiti za otkrivanje stvarne IP adrese Telegram korisnika bez ikakve dodatne potvrde.
Izvor: BleepingComputer

Everest ransomware tvrdi da je probio Nissan i ukrao 900 GB podataka
Zloglasna ransomware grupa Everest tvrdi da je kompromitirala Nissan Motor Corporation (Nissan Motor Co., Ltd.), japanskog multinacionalnog proizvođača automobila. Grupa je svoje tvrdnje objavila na svom dark web leak portalu 10. siječnja 2026., podijelivši šest snimki zaslona za koje se tvrdi da potječu iz ukradenih podataka. Također su otkrili strukturu direktorija koja prikazuje ZIP arhive, tekstualne datoteke, Excel tablice i CSV dokumente. Na temelju objavljenih snimki zaslona, čini se da materijali uključuju strukture direktorija i interne zapise koji su navodno povezani s Nissanom.
Izvor: Hackread

Targetov razvojni poslužitelj izvan mreže nakon tvrdnji o krađi izvornog koda
Hakeri tvrde da prodaju interni izvorni kod tvrtke Target Corporation, nakon što su objavili ono što izgleda kao uzorak ukradenih repozitorija koda na javnoj platformi za razvoj softvera. Prošli tjedan nepoznati prijetiteljski akter kreirao je više repozitorija na Gitei koji su, prema svemu sudeći, sadržavali dijelove Targetovog internog koda i razvojne dokumentacije. Repozitoriji su predstavljeni kao najava znatno većeg skupa podataka koji se navodno nudi na prodaju kupcima na underground forumu ili privatnom kanalu.
Izvor: BleepingComputer

CISA naređuje saveznim agencijama zakrpavanje Gogs RCE ranjivosti iskorištavane u zero-day napadima
Američka agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) naložila je državnim agencijama da osiguraju svoje sustave protiv Gogs ranjivosti visoke ozbiljnosti koja je iskorištavana u zero-day napadima. Gogs, dizajniran kao alternativa GitLabu ili GitHub Enterpriseu i napisan u Go jeziku, često je izložen na internetu radi udaljene suradnje. Ranjivost, praćena pod oznakom CVE-2025-8110, omogućuje udaljeno izvršavanje koda (RCE) i proizlazi iz path traversal slabosti u PutContents API-ju, omogućujući autentificiranim napadačima zaobilaženje zaštita implementiranih za prethodno zakrpanu RCE grešku (CVE-2024-55947) prepisivanjem datoteka izvan repozitorija putem simboličkih linkova.
Izvor: BleepingComputer

Otkriven VoidLink – prikriveni, cloud-native Linux malware framework
U prosincu 2025. Check Point Research identificirao je manju skupinu prethodno neviđenih Linux malware uzoraka koji, prema svemu sudeći, potječu iz kineskog razvojnog okruženja. Mnogi binarni zapisi sadržavali su debug simbole i druge razvojne artefakte, što upućuje na to da se radi o verzijama u razvoju, a ne o gotovom i široko rasprostranjenom alatu. Brzina i raznolikost promjena među uzorcima ukazuju na framework koji se brzo razvija s ciljem šire primjene u stvarnim okruženjima. Framework, interno nazvan VoidLink, cloud-first je implant napisan u Zig jeziku i dizajniran za rad u modernoj infrastrukturi. Može prepoznati glavna cloud okruženja i detektirati kada se izvršava unutar Kubernetes ili Docker sustava, te prema tome prilagoditi svoje ponašanje. VoidLink također prikuplja vjerodajnice povezane s cloud okruženjima i standardnim sustavima za verzioniranje izvornog koda, poput Gita, što upućuje na to da bi softverski inženjeri mogli biti potencijalna meta, bilo za špijunske aktivnosti ili moguće buduće napade temeljene na supply chainu.
Izvor: Check Point Research

Ranjivost maksimalne ozbiljnosti Ni8mare pogađa gotovo 60.000 n8n instanci
Gotovo 60.000 n8n instanci izloženih na internetu i dalje nije zakrpano protiv ranjivosti maksimalne ozbiljnosti nazvane “Ni8mare”. n8n je open-source platforma za automatizaciju radnih tokova koja korisnicima omogućuje povezivanje različitih aplikacija i servisa putem unaprijed izrađenih konektora i vizualnog sučelja temeljenog na čvorovima, kako bi se automatizirali ponavljajući zadaci bez pisanja koda. Platforma za automatizaciju široko se koristi u razvoju umjetne inteligencije za automatizaciju ingestije podataka te izgradnju AI agenata i RAG pipelineova. Ima više od 100 milijuna preuzimanja na Docker Hubu i više od 50.000 tjednih preuzimanja na npm-u. Budući da n8n služi kao centralno čvorište za automatizaciju, često pohranjuje API ključeve, OAuth tokene, vjerodajnice baza podataka, pristup cloud pohrani, CI/CD tajne i poslovne podatke, što ga čini atraktivnom metom za prijetitelje.
Izvor: BleepingComputer

Detaljno analitičko izvješće o LockBit 5.0: način rada i protumjere
Od svog prvog pojavljivanja u rujnu 2019., LockBit je poznat kao jedna od najzloglasnijih i najaktivnijih Ransomware-as-a-Service (RaaS) grupa na svijetu. LockBit djeluje prema RaaS modelu i karakteriziraju ga sofisticirana enkripcijska tehnologija i automatizirane mogućnosti širenja. Početni pristup najčešće se ostvaruje iskorištavanjem ranjivosti, brute force napadima, phishingom ili procurjelim pristupnim podacima, a napad slijedi trofazni proces: početni pristup, lateralno kretanje i eskalacija privilegija te implementacija ransomwarea. Grupa također koristi alat Stealbit za eksfiltraciju podataka. Od kolovoza 2021. do kolovoza 2022. LockBit je činio 30,25% poznatih ransomware napada, a 2023. godine oko 21% napada. Iznosi ucjena i troškovi oporavka rezultirali su gubicima od više milijardi dolara. Unatoč naporima tijela za provedbu zakona, LockBit i dalje predstavlja ozbiljnu prijetnju kibernetičkoj sigurnosti diljem svijeta. Ransomware grupa LockBit 5.0 upravlja DLS web stranicom koja navodi kompanije koje su uspješno kompromitirane. Iako na popisu nema južnokorejskih tvrtki, identificirane su brojne strane žrtve. Grupa je izvela ransomware napade na organizacije iz širokog spektra industrija, uključujući IT, elektroniku, odvjetničke urede i crkve.
Izvor: AhnLab ASEC

Prijetiteljski akteri aktivno ciljaju LLM sustave
Naša Ollama honeypot infrastruktura zabilježila je 91.403 napadačke sesije između listopada 2025. i siječnja 2026. Skriveni unutar tih podataka nalaze se dvije zasebne kampanje koje otkrivaju kako prijetiteljski akteri sustavno mapiraju rastuću površinu napada AI implementacija. GreyNoise korisnici zaprimili su Executive Situation Report (SITREP) koji uključuje IOC-e i druge vrijedne obavještajne podatke iz ove istrage. Korisnici trebaju provjeriti svoje sandučiće. Prva kampanja iskorištavala je ranjivosti server-side request forgery (SSRF), tehnike koje prisiljavaju poslužitelj na uspostavljanje izlaznih veza prema infrastrukturi pod kontrolom napadača. Kampanja je trajala od listopada 2025. do siječnja 2026., s dramatičnim porastom tijekom božićnog razdoblja – 1.688 sesija u 48 sati. Napadači su koristili ProjectDiscovery OAST (Out-of-band Application Security Testing) infrastrukturu za potvrdu uspješne SSRF eksploatacije putem callback validacije.
Izvor: GreyNoise

Kritične ranjivosti u React Routeru: CVE-2025-61686 omogućuje pristup datotekama poslužitelja
Programeri koji se oslanjaju na popularnu biblioteku React Router pozivaju se da odmah zakrpaju svoje aplikacije nakon otkrivanja više ranjivosti visoke ozbiljnosti. Ranjivosti, koje uključuju neautorizirani pristup datotekama i Cross-Site Scripting (XSS), ugrožavaju integritet web aplikacija koje koriste react-router i @remix-run ekosustave. Najkritičnija među njima, označena kao CVE-2025-61686, nosi razornu CVSS ocjenu 9.1. Ova ranjivost pogađa samu srž upravljanja sesijama i potencijalno omogućuje napadačima kompromitaciju datotečnog sustava poslužitelja.
Izvor: SecurityOnline

Ponovno rođeni u Rustu: Muddy Water razvija alate s implantom RustyWater
CloudSEK-ov TRIAD nedavno je identificirao spearphishing kampanju pripisanu APT grupi Muddy Water koja cilja više sektora na Bliskom istoku, uključujući diplomatske, pomorske, financijske i telekomunikacijske organizacije. Kampanja koristi lažiranje ikona i zlonamjerne Word dokumente za isporuku Rust baziranih implanta sposobnih za asinkroni C2, anti-analizu, perzistenciju putem registra i modularno proširenje post-kompromitacijskih sposobnosti. Povijesno gledano, Muddy Water se oslanjao na PowerShell i VBS loadere za početni pristup i post-kompromitacijske operacije. Uvođenje Rust baziranih implanta predstavlja značajnu evoluciju alata prema strukturiranijim, modularnim i niskobučnim RAT sposobnostima.
Izvor: CloudSEK

WebRAT zlonamjerni softver širi se putem lažnih exploita ranjivosti na GitHubu
Zlonamjerni softver WebRAT distribuira se putem GitHub repozitorija koji se lažno predstavljaju kao proof-of-concept exploiti za nedavno otkrivene ranjivosti. Ranije se širio kroz piratski softver i cheatove za igre, a radi se o backdooru s mogućnostima krađe podataka, uključujući vjerodajnice za komunikacijske platforme i kripto novčanike, špijuniranje putem web kamere te snimanje zaslona.
Izvor: BleepingComputer

Operacija PCPcat: Lov na Next.js kradljivca vjerodajnica koji je već kompromitirao 59.000 poslužitelja
Istraživači su tijekom nadzora Docker honeypota otkrili opsežnu kampanju napada koja iskorištava ranjivosti u Next.js i React okruženjima za udaljeno izvršavanje koda, krađu vjerodajnica i uspostavu trajne C2 infrastrukture. Kampanja, pripisana skupini koja se identificira kao “PCP”, već je kompromitirala više od 59.000 poslužitelja u manje od 48 sati, što ukazuje na industrijsku razinu eksploatacije i izvlačenja podataka.
Izvor: Beelzebub AI

APT36 kampanja zlonamjernog softvera temeljena na LNK datotekama i MSI payloadovima
Ciljana kampanja zlonamjernog softvera pripisana skupini APT36 koristi socijalni inženjering i zlonamjerne prečace prerušene u PDF dokumente s navodnim vladinim obavijestima. Lanac napada isporučuje skriveni MSI payload koji instalira .NET loader, zlonamjerne DLL-ove i postojanost kroz registar, dok se korisniku prikazuje legitimni mamac kako bi se izbjegla sumnja i omogućio dugotrajan pristup.
Izvor: CYFIRMA

UNG0801: Praćenje prijetnji opsjednutih lažiranjem antivirusnih ikona koje ciljaju Izrael
SEQRITE Labs prati postojanu prijetnju označenu kao UNG0801, koja primarno cilja izraelske organizacije putem phishing kampanja pisanih na hebrejskom jeziku. Napadači se snažno oslanjaju na lažiranje antivirusnih ikona i zloupotrebu brendova poznatih sigurnosnih proizvođača kako bi povećali povjerenje korisnika i potaknuli daljnju kompromitaciju.
Izvor: Seqrite

Operacija Artemis: analiza HWP napada temeljenih na DLL side-loading tehnici
Istraživači su identificirali kampanju skupine APT37 nazvanu “Artemis”, u kojoj se zlonamjerni OLE objekti skrivaju unutar HWP dokumenata. Višefazni napad koristi tehnike maskiranja i DLL side-loading unutar legitimnih procesa kako bi se zaobišla detekcija temeljena na potpisima i omogućilo izvršavanje zlonamjernog koda.
Izvor: Genians

Dva Chrome proširenja potajno krala vjerodajnice s više od 170 web-stranica
Istraživači su otkrili dva zlonamjerna Google Chrome proširenja istog naziva i autora koja presreću promet i kradu korisničke vjerodajnice. Proširenja se predstavljaju kao alat za testiranje brzine mreže, ali nakon plaćanja aktiviraju proxy način rada i usmjeravaju promet s više od 170 domena kroz infrastrukturu napadača, omogućujući kontinuiranu krađu podataka.
Izvor: The Hacker News

Microsoft Teams od siječnja automatski pojačava sigurnost poruka
Microsoft je najavio da će od 12. siječnja 2026. Teams automatski uključiti sigurnosne značajke za poruke kod organizacija koje koriste zadane postavke. Promjena uključuje zaštitu od opasnih vrsta datoteka, detekciju zlonamjernih URL-ova i mehanizam za prijavu lažnih pozitivnih detekcija, čime se dodatno smanjuje rizik od phishinga i širenja malvera.
Izvor: BleepingComputer

Ransomware napad paralizirao rumunjsku upravu za vode
Rumunjska nacionalna uprava za vode pogođena je ransomware napadom koji je onesposobio oko 1.000 sustava, uključujući radne stanice, e-mail i web poslužitelje. Incident je započeo 20. prosinca 2025., a zbog statusa vodne infrastrukture kao kritične, slučaj se smatra izravnim rizikom za nacionalnu sigurnost.
Izvor: Hackread

Kritična ranjivost u n8n platformi omogućuje proizvoljno izvršavanje koda
Otkrivena je kritična ranjivost (CVE-2025-68613, CVSS 9.9) u n8n platformi za automatizaciju radnih tokova. U određenim uvjetima omogućuje autentificiranim korisnicima izvršavanje proizvoljnog koda zbog nedovoljne izolacije izraza unutar runtime okruženja. n8n ima oko 57.000 tjednih preuzimanja, što povećava potencijalni doseg rizika.
Izvor: The Hacker News

Zero-day propust u Linksys routerima omogućuje preuzimanje kontrole bez lozinke
Sigurnosni istraživači objavili su zero-day ranjivost (CVE-2025-52692) u Linksys E9450-SG routerima koja omogućuje zaobilaženje autentifikacije i aktivaciju skrivenog Telnet servisa bez lozinke. Napad je moguć s lokalne mreže, a ranjivost dodatno naglašava dugogodišnje probleme sigurnosti potrošačkih routera.
Izvor: Security Online

ATM hakeri optuženi u SAD-u zbog korištenja malvera Ploutus
Američko Ministarstvo pravosuđa podiglo je optužnice protiv 54 osobe zbog sudjelovanja u velikoj kampanji tzv. ATM jackpotting napada koji su uključivali malver Ploutus. Osumnjičenici su povezani s venezuelanskom kriminalnom skupinom Tren de Aragua te se suočavaju s višedesetljetnim zatvorskim kaznama zbog bankovne prijevare, računalnog kriminala i pranja novca.
Izvor: SecurityWeek

Napadači zloupotrebljavaju popularni alat za nadzor Nezha kao prikriveni trojanac
Istraživači su otkrili da se open-source alat za nadzor Nezha koristi kao Remote Access Trojan (RAT). Budući da je riječ o legitimnom softveru koji se široko koristi i ne izaziva antivirusna upozorenja, napadači ga iskorištavaju za dugotrajni i prikriveni pristup kompromitiranim sustavima.
Izvor: Hackread

MacSync macOS malver distribuira se putem potpisane Swift aplikacije
Prema Jamfovim izvješćima, MacSync Stealer sada se distribuira kroz potpisanu Swift aplikaciju, čime se uklanja potreba za izvršavanjem naredbi u terminalu. Malver je evoluirao iz ranijeg Mac.c stealera te sada uključuje potpunu backdoor funkcionalnost putem Go-baziranog agenta.
Izvor: SecurityWeek

Kritična RCE ranjivost pogađa više od 115.000 WatchGuard vatrozida
Više od 115.000 javno dostupnih WatchGuard Firebox uređaja i dalje je ranjivo na aktivno iskorištavanu ranjivost za udaljeno izvršavanje koda (CVE-2025-14733). Uspješna eksploatacija omogućuje neautentificiranim napadačima izvršavanje proizvoljnog koda, posebno na uređajima konfiguriranim s IKEv2 VPN-om.
Izvor: BleepingComputer

ClickFix korišten za isporuku Stealc malvera i Qilin ransomwarea
Sophosovi istraživači opisuju kako se tehnika društvenog inženjeringa ClickFix koristi za isporuku Stealc infostealera i omogućavanje Qilin ransomware napada. Žrtve se navode da slijede lažne korake provjere identiteta na kompromitiranim web-stranicama, što dovodi do instalacije malvera i kasnijeg ransomware napada.
Izvor: Sophos

Kineska APT skupina koristi Windows Group Policy za distribuciju špijunskog malwarea
Ranije nedokumentirana kineska prijetnja nazvana LongNosedGoblin povezana je s kibernetičkim napadima na državne institucije u jugoistočnoj Aziji i Japanu s ciljem kibernetičke špijunaže. Prema ESET-u, skupina koristi Windows Group Policy za širenje malwarea unutar kompromitiranih mreža te cloud servise poput Microsoft OneDrivea i Google Drivea kao C2 infrastrukturu.
Izvor: The Hacker News

Koordinirana kampanja krađe vjerodajnica cilja Cisco i Palo Alto Networks VPN gatewaye
GreyNoise prati automatiziranu kampanju usmjerenu na VPN autentikacijsku infrastrukturu velikih organizacija, uključujući Cisco SSL VPN i Palo Alto Networks GlobalProtect. Aktivnost se temelji na masovnim skriptiranim pokušajima prijave, a ne na iskorištavanju ranjivosti, te pokazuje obrazac jedinstvene kampanje koja se prebacuje između različitih VPN platformi.
Izvor: GreyNoise

Lazarus grupa ubacuje novu BeaverTail varijantu u alate za developere
Darktrace je identificirao novu varijantu JavaScript infostealera BeaverTail povezanu s Lazarus grupom. Kampanja cilja financijski i kripto sektor, a širi se putem lažnih ponuda za posao gdje se developere mami na preuzimanje navodnih alata za tehničke intervjue, koji u stvarnosti kompromitiraju sustav žrtve.
Izvor: Hackread

Clop ransomware cilja Gladinet CentreStack poslužitelje u kampanji krađe podataka
Ransomware skupina Clop pokrenula je novu kampanju iznude usmjerenu na internetski izložene Gladinet CentreStack poslužitelje. Napadači skeniraju i kompromitiraju sustave, ostavljajući poruke o otkupnini, dok je Gladinet ranije zakrpao više ranjivosti koje su korištene, uključujući zero-day propuste.
Izvor: BleepingComputer

Otkrivena prva Rust ranjivost u Linux kernelu (CVE-2025-68260)
Sigurnosni propust CVE-2025-68260 predstavlja prvi službeno dodijeljeni CVE za Rust kod u glavnoj grani Linux kernela. Ranjivost u Rust implementaciji Android Binder drivera može uzrokovati pad sustava zbog neispravnog rukovanja povezanom listom u višedretvenom okruženju.
Izvor: Security Online

Novi val pokušaja VPN prijava cilja Palo Alto GlobalProtect portale
Zabilježena je kampanja koja od 2. prosinca cilja GlobalProtect portale putem brute-force napada, nakon čega je uslijedilo skeniranje SonicWall SonicOS API sučelja. Aktivnost potječe s više od 7.000 IP adresa povezanih s hosting pružateljem 3xK GmbH (AS200373), navodi GreyNoise.
Izvor: BleepingComputer

AI-automatizirano threat hunting otkriva GhostPenguin backdoor
Trend Micro je otkrio GhostPenguin, višedretveni Linux backdoor koji koristi RC5-šifrirani UDP kanal za udaljeni pristup ljusci i upravljanje datotekama. Otkriven je putem AI-automatiziranog procesa analize zero-detection uzoraka s VirusTotal platforme.
Izvor: Trend Micro

Kineska grupa Warp Panda cilja sjevernoameričke tvrtke u špijunskoj kampanji
CrowdStrike izvještava o sofisticiranoj kampanji kibernetičke špijunaže u kojoj Warp Panda cilja pravne, tehnološke i proizvodne organizacije u Sjevernoj Americi. Napadači pokazuju visoku razinu OPSEC-a i znanja o cloud i VM okruženjima, uključujući napade na VMware vCenter.
Izvor: Infosecurity Magazine

Više od 70 domena korišteno u višemjesečnoj phishing kampanji protiv američkih sveučilišta
Infoblox je otkrio dugotrajnu phishing kampanju koja je gađala najmanje 18 američkih sveučilišta s ciljem krađe korisničkih vjerodajnica, uključujući slučajeve s MFA zaštitom. Kampanja je zaobilaženje MFA-a izvela pomoću open-source alata Evilginx.
Izvor: Hackread

Unutrašnjost Shanya packera – Packer-as-a-Service koji pokreće moderne napade
Sophos analizira Shanya packer, novi PaaS alat koji je već postao popularan među ransomware grupama te u određenoj mjeri zamijenio HeartCrypt. Shanya omogućuje snažnu obfuskaciju i viđeno je njegovo korištenje u ciljanim napadima tijekom incident response aktivnosti.
Izvor: Sophos

Mirai varijanta „Broadside” cilja sektor pomorske logistike
Istraživači iz Cydomea identificirali su „Broadside”, novu Mirai varijantu koja iskorištava CVE-2024-3721 u digitalnim snimačima korištenima na brodovima. ranjivost omogućuje daljinsko ubrizgavanje naredbi i postojanost putem Netlink mehanizama.
Izvor: Dark Reading

Istraživači otkrili 30+ ranjivosti u AI alatima za razvoj koda
Preko 30 ranjivosti, nazvanih „IDEsaster”, otkriveno je u AI-pokretanim IDE alatima poput Cursora, Windsurfa, GitHub Copilota i drugih. Kombinacija prompt injekcija i legitimnih funkcija omogućuje krađu podataka i daljinsko izvršavanje koda.
Izvor: The Hacker News

Sigurnosni incident u Marquis Softwareu pogodio više od 780.000 osoba
Marquis Software potvrdio je kompromitaciju podataka preko 780.000 pojedinaca nakon što su napadači iskoristili ranjivost u SonicWall firewallu za pristup i eksfiltraciju osjetljivih datoteka. Ugroženi su osobni i financijski podaci korisnika.
Izvor: Infosecurity Magazine

LockBit 5.0 infrastruktura otkrivena kroz novi leak
Istraživači su otkrili ključnu LockBit 5.0 infrastrukturu na IP adresi 205.185.116.233 i domeni karma0.xyz, povezanoj s PONYNET mrežom. Leak pruža uvid u operacije grupe usred njihove ponovne eskalacije aktivnosti.
Izvor: Cybersecurity News

AWS: Kineski akteri eksploatirali React2Shell nekoliko sati nakon objave
AWS upozorava da su kineski akteri eksploatirali novu React2Shell ranjivost (CVE-2025-55182) svega nekoliko sati nakon objave. Iako AWS usluge nisu pogođene, ranjivost predstavlja rizik za organizacije koje koriste ranjive React i Next.js implementacije.
Izvor: Security Affairs

Veliki ClickFix phishing napadi ciljaju hotelske sustave s malwareom PureRAT
Sigurnosni istraživači otkrili su opsešnu phishing kampanju usmjerenu na ugostiteljski sektor koja koristi ClickFix-stranice kako bi prevarila upravitelje hotela i instalirala PureRAT. Napadači su koristili kompromitirane e-mail račune za lažno predstavljanje Booking.coma i preusmjeravanje žrtava na stranice za krađu vjerodajnica. Ukradene vjerodajnice omogućuju neovlašten pristup platformama za rezervacije poput Booking.coma i Expidije, koji se potom prodaju ili koriste za daljnju prijevaru.
Izvor: TheHackerNews

Microsoft otkrio napad ‘Whisper Leak’ koji u šifriranom prometu otkriva teme razgovora s AI
Microsoftovi istraživači opisali su bočno-kanalni napad nazvan Whisper Leak koji može, uz mogućnost promatranja mrežnog prometa, iz šifriranih tokova podataka zaključiti o čemu korisnik razgovara s modelom jezika u streaming načinu. Napad ugrožava privatnost komunikacija s AI sustavima jer pasivni promatrači mreže moguekstraktirati indikacije o temama koje se razmjenjuju.
Izvor: TheHackerNews

QNAP zakrpio ranjivosti iskorištavane na Pwn2Own Ireland
QNAP je objavio zakrpe za dvije desetine ranjivosti u svom portfelju, uključujući sedam koje su demonstrirane na natjecanju Pwn2Own Ireland 2025. Istraživači su pokazali složene lančane eksploatacije koje su pogodile QNAP rutere i NAS uređaje. Dobiveno je više nagrada, a QNAP preporučuje nadogradnju na HBS 3 Hybrid Backup Sync verziju 26.2.0.938 te promjenu lozinki nakon ažuriranja.
Izvor: SecurityWeek

“Ransomvibing” zahvatio Visual Studio Marketplace
Otkriven je maliciozni dodatak u Visual Studio Marketplaceu koji demonstrira pojavni trend „ransomvibing“ — generiranje ransomwarea putem AI „vibe coding“ pristupa. Dodatak otvoreno šifrira i eksfiltrira podatke, što pokazuje kako prijetitelji koriste AI za brzo stvaranje zlonamjernog koda putem prirodnog jezika. Istraživači upozoravaju na rastući rizik kako AI-generirani kod postaje uobičajen u razvoju softvera.
Izvor: DarkReading

GlassWorm malware vraća se na OpenVSX s 3 nova VSCode dodatka
Kampanja GlassWorm vratila se na OpenVSX s tri nova VSCode dodatka, koji su već preuzeti više od 10.000 puta. Malware koristi skrivene Unicode znakove i Solana transakcije za preuzimanje payloada koji krade vjerodajnice i podatke iz kripto-novčanika. OpenVSX je u odgovoru rotirao pristupne tokene za kompromitirane račune i uveo sigurnosne mjere za sprječavanje daljnjih incidenata.
Izvor: BleepingComputer