Sigurnosne vijesti dana [10/11/25]

Prekinute veze: studija slučaja iranske špijunaže i atribucije
Istraživači Proofpointa analizirali su kampanju špijunaže koja je potekla iz Irana, a započela je bezazlenim e-mailom o političkoj nestabilnosti u zemlji. Analiza je pokazala preklapanje taktika s nekoliko iranskih hakerskih skupina, uključujući TA455, TA453 i TA450. Zbog nedostatka jasnih dokaza o povezanosti s jednom određenom grupom, aktivnost je označena kao privremeni klaster UNK_SmudgedSerpent. Slučaj pokazuje koliko je složeno precizno pripisivanje kibernetičkih napada državnim akterima.
Izvor: Proofpoint

Porast napada na industriju i širenje mobilnog zlonamjernog softvera: izvješće ThreatLabz 2025
Zscalerovo izvješće ThreatLabz 2025 otkriva porast napada na mobilne uređaje, IoT i OT sustave, koji su sve više međusobno povezani u poslovnoj infrastrukturi. Aktivnost Android zlonamjernog softvera porasla je za 67% u odnosu na prethodnu godinu, a otkriveno je 239 zlonamjernih aplikacija koje su preuzete više od 42 milijuna puta. Sektori energije, prometa i zdravstva zabilježili su najveći porast napada – 387%, 382% i 224% – potaknut naprednim špijunskim i bankarskim trojancima.
Izvor: Zscaler

LANDFALL: novi komercijalni Android špijunski softver u lancu iskorištavanja Samsung uređaja
Unit 42 iz Palo Alto Networksa otkrio je novi Android špijunski softver nazvan LANDFALL koji iskorištava nultodnevnu ranjivost CVE-2025-21042 u Samsungovoj biblioteci za obradu slika. Špijunski softver distribuirao se putem zlonamjernih DNG datoteka poslanih preko WhatsAppa te je aktivno korišten prije nego što je Samsung objavio zakrpu u travnju 2025. Napadni lanac podsjeća na ranije eksploatacije koje su ciljale Apple i WhatsApp, što ukazuje na širi obrazac međuplatformskih napada.
Izvor: Unit 42 (Palo Alto Networks)

Studeni 2025 Patch Tuesday: kraj podrške za Windows Exchange Server?
Prema analizi HelpNetSecurityja, Microsoft je u listopadu 2025. objavio rekordni broj sigurnosnih zakrpa – ukupno 250 CVE ranjivosti u sustavima Windows 10 i 11. S obzirom na završetak podrške za starije verzije sustava Office i Exchange Server, Microsoft potiče korisnike da prijeđu na podržane platforme. Završna nadogradnja za Windows 11 23H2 Professional izlazi idući tjedan, dok će inačice Education i Enterprise imati podršku do studenog 2026.
Izvor: HelpNetSecurity

Praćenje zmaja: analiza ransomware napada povezanog s grupom DragonForce
Tvrtka Darktrace istražila je ransomware napad povezan s grupom DragonForce koji je ciljao proizvodni sektor. Napadači su koristili brutalne napade na lozinke, eksfiltraciju podataka i šifriranje datoteka. Analiza artefakata u Windows Registriju otkrila je manipulacije planiranim zadacima i sigurnosnim postavkama WMI-ja, što upućuje na napredne tehnike postojanosti. Nalazi pokazuju sve veću složenost napada povezanih s DragonForceom.
Izvor: Darktrace

Sigurnosne vijesti dana [07/11/25]

Napadi zlonamjernog softvera ClickFix evoluirali s podrškom za više operativnih sustava i video vodičima
Kampanja zlonamjernog softvera ClickFix dobila je nova obilježja poput podrške za više operativnih sustava, ugrađenih video vodiča koji žrtvama prikazuju korake samoinfekcije te automatskog prepoznavanja sustava radi ispravnog pokretanja naredbi. Dok su ranije napadi sadržavali tekstualne upute za pokretanje zlonamjernog koda, sada se koriste video materijali koji djeluju uvjerljivije. Cilj napada ostaje isti – korisnike prevarom navesti na pokretanje zlonamjernog softvera koji preuzima i aktivira krađače informacija.
Izvor: BleepingComputer

Kritična ranjivost u Cisco UCCX omogućuje napadačima pokretanje naredbi s root privilegijama
Cisco je zakrpao kritičnu ranjivost (CVE-2025-20354) u svojoj platformi Unified Contact Center Express (UCCX) koja je omogućavala neautenticiranim napadačima izvršavanje naredbi s root privilegijama. Propust, koji se nalazi u Java RMI procesu, prijavio je sigurnosni istraživač Jahmel Harris. Cisco je također ispravio zaseban propust u aplikaciji CCX Editor koji je omogućavao zaobilaženje autentifikacije i udaljeno pokretanje proizvoljnih skripti s administrativnim ovlastima.
Izvor: BleepingComputer

SonicWall potvrdio da su državni hakeri odgovorni za provalu u rujnu
SonicWall je potvrdio da su za provalu u rujnu, kojom su neovlašteno pristupljene sigurnosne kopije konfiguracija vatrozida, odgovorni hakeri koje sponzorira država. Napadači su pristupili podacima putem API poziva iz određenog oblaka. Tvrtka je naglasila da incident nije povezan s globalnim napadima Akira ransomwarea, no nije otkrila koja je država odgovorna. Povreda je zahvatila manje od 5% korisnika koji koriste uslugu sigurnosnih kopija u oblaku.
Izvor: TheHackerNews

Od vježbi do operativne otpornosti: izgradnja kibernetičke otpornosti u financijskom sektoru
Financijske institucije sada su obvezne provoditi vježbe kibernetičke otpornosti zbog novih regulatornih zahtjeva kao što su DORA u EU i CPS230 u Australiji. Takve vježbe, koje su nekad bile dobrovoljne, sada su operativna nužnost. Glavni izazov u ispunjavanju propisa leži u suradnji između tehničkih i netehničkih timova, što zahtijeva koordiniran pristup kako bi se ojačala otpornost i učinkovitost organizacija.
Izvor: TheHackerNews

Izvješće otkriva da je ransomware napad na Nevadu započeo mjesecima prije otkrivanja
Prema službenom izvješću, ransomware napad na američku saveznu državu Nevadu, otkriven u kolovozu 2025., započeo je još u svibnju kada je zaposlenik slučajno preuzeo zlonamjerni softver. Napad je uzrokovao velike prekide u radu javnih usluga, uključujući izdavanje vozačkih dozvola i provjere zaposlenja. Troškovi oporavka procjenjuju se na najmanje 1,5 milijuna dolara, a vlasti su potvrdile da otkupnina nije plaćena.
Izvor: SecurityWeek

Sigurnosne vijesti dana [06/11/25]

Kako pobijediti XLoader: generativna umjetna inteligencija kao pojačivač u reverznom inženjeringu
Istraživanje Check Pointa pokazuje kako generativna umjetna inteligencija ubrzava analizu zlonamjernog softvera poput XLoadera, jednog od najtežih za dešifriranje. XLoader koristi višeslojne enkripcije, lažne C2 domene i tehnike prikrivanja, što je dosad otežavalo analizu. Uz pomoć generativne AI, istraživači mogu u nekoliko sati prepoznati algoritme, generirati alate za dešifriranje i otkriti indikatore kompromitacije, čime se značajno smanjuje vrijeme reakcije na prijetnje.
Izvor: Check Point Research

Iskorištavanje Microsoft Teams platforme: otkrivene ranjivosti za lažno predstavljanje i spoofing
Novo istraživanje Check Pointa otkrilo je ranjivosti u Microsoft Teams platformi koje su omogućavale napadačima da se lažno predstave kao rukovoditelji, manipuliraju porukama i krivotvore obavijesti. Propusti su se mogli iskoristiti od strane zlonamjernih internih korisnika ili vanjskih gostiju, čime se narušava povjerenje u komunikaciju unutar organizacija. Napadači su mogli mijenjati sadržaj razgovora bez traga, što predstavlja ozbiljan rizik za tvrtke koje svakodnevno koriste Teams za donošenje odluka i razmjenu osjetljivih podataka.
Izvor: Check Point Research

GTIG AI Threat Tracker: napredak u korištenju AI alata od strane prijetnji
Google Threat Intelligence Group (GTIG) izvještava da su prijetnje prešle s korištenja umjetne inteligencije za učinkovitost na aktivno korištenje AI zlonamjernog softvera koji se prilagođava u stvarnom vremenu. Najnovije izvješće „AI Threat Tracker“ pokazuje da državne i kibernetičke kriminalne skupine integriraju strojno učenje u napade kako bi poboljšale prikrivanje i trajnost. Ovo označava novu fazu u kojoj AI postaje ključni element u cjelokupnom životnom ciklusu napada.
Izvor: Google Cloud

Napadi na opskrbne lance softvera dosegnuli rekordnu razinu u listopadu 2025.
Prema podacima Cyblea, napadi na opskrbne lance softvera dosegnuli su rekordnu razinu u listopadu 2025., s rastom od 30% u odnosu na prethodni rekord iz travnja. Zabilježeno je 41 napad, što je dvostruko više od prosjeka iz 2024. godine. Porast se povezuje s iskorištavanjem nultodnevnih ranjivosti te ciljanjem SaaS i IT pružatelja usluga. Cyble upozorava da je rizik i dalje visok, a dodatni porast potiču AI phishing kampanje i prijetnje u oblaku.
Izvor: Cyble

Južnoafrička Republika pokreće pilot-projekt za sigurno razmjenjivanje podataka među državnim agencijama
Južnoafrička Republika pokrenula je pilot-projekt „MzansiXchange“, koji omogućuje sigurnu razmjenu podataka između državnih odjela. Projekt, koji vodi Nacionalna riznica, ima za cilj ukloniti podatkovne silose i povećati učinkovitost javne uprave omogućujući odjelima da surađuju u stvarnom vremenu. MzansiXchange ne djeluje kao centralna baza podataka, već kao siguran most za razmjenu podataka između ovlaštenih tijela, čime se potiče interoperabilnost i transparentnost u upravljanju.
Izvor: Cyble

Sigurnosne vijesti dana [05/11/25]

Priprema za nadolazeće prijetnje: sigurnosna prognoza za 2026.
Google Cloud objavio je izvješće „Cybersecurity Forecast 2026“, koje donosi uvid u ključne sigurnosne izazove očekivane u nadolazećoj godini. Izvješće naglašava kako će kibernetički akteri u potpunosti prigrliti umjetnu inteligenciju radi ubrzanja i skaliranja svojih operacija. Posebno se ističe porast napada tipa prompt injection – manipulacija AI modelima radi izvršavanja skrivenih zlonamjernih naredbi. Prognoze se temelje na stvarnim podacima i iskustvima sigurnosnih stručnjaka, analitičara i istraživača Google Clouda.
Izvor: Google Cloud

Američki tužitelji optužili sigurnosne stručnjake zbog BlackCat ransomware napada
Savezni tužitelji u SAD-u optužili su trojicu američkih državljana – Ryana Clifforda Goldberga, Kevina Tylera Martina i neimenovanog suučesnika – za provođenje BlackCat ransomware napada na pet američkih tvrtki između svibnja i studenog 2023. Optuženi, koji su radili kao stručnjaci za odgovor na incidente i pregovarači za ransomware, navodno su zloupotrijebili svoj položaj kako bi izvodili iznude nad tvrtkama iz sektora zdravstva, farmacije i inženjeringa, kradući podatke, šifrirajući ih i zahtijevajući otkupninu u kriptovalutama.
Izvor: TheHackerNews

Hakeri iskorištavaju kritičnu ranjivost u JobMonster WordPress temi
Zlonamjerni akteri aktivno iskorištavaju ranjivost CVE-2025-5397 u WordPress temi JobMonster, koja omogućuje zaobilaženje autentikacije i preuzimanje administratorskih računa. Ranjivost s ocjenom 9.8 na CVSS ljestvici proizlazi iz neadekvatne provjere identiteta u funkciji check_login(). Wordfence je zabilježio brojne pokušaje iskorištavanja na stranicama svojih korisnika. Tema JobMonster, popularna među portalima za zapošljavanje, ostaje ranjiva u svim verzijama do 4.8.1.
Izvor: BleepingComputer

Lažna Solidity VSCode ekstenzija na Open VSX platformi ugrožava programere
Otkrivena je lažna VSCode ekstenzija pod nazivom „juan-bianco.solidity-vlang“ na Open VSX registru, koja distribuira trojanca na daljinu nazvanog SleepyDuck. Ekstenzija je u početku bila bezopasna, ali je nakon nadogradnje postala zlonamjerna te je do sada preuzeta više od 53.000 puta. SleepyDuck koristi Ethereum pametni ugovor kao prikriveni kanal komunikacije, omogućujući napadačima daljinsko upravljanje kompromitiranim sustavima programera.
Izvor: BleepingComputer

Apple zakrpao 19 ranjivosti u WebKit mehanizmu
Apple je objavio ažuriranja za iOS 26.1 i macOS koja ispravljaju više od 100 sigurnosnih propusta, uključujući 19 koji pogađaju WebKit preglednički mehanizam. Iskorištavanje ovih ranjivosti moglo bi omogućiti krađu podataka, padove procesa ili praćenje unosa s tipkovnice. Mnoge od grešaka otkrio je Googleov AI agent „Big Sleep“, koji automatski pronalazi ranjivosti prije nego što ih zlonamjerni akteri iskoriste.
Izvor: SecurityWeek

Sigurnosne vijesti dana [04/11/25]

Sjevernokorejski hakeri uhvaćeni na videu kako koriste AI filtere u lažnim razgovorima za posao
Sjevernokorejska hakerska skupina Famous Chollima koristi AI deepfake tehnologiju u stvarnom vremenu kako bi se predstavljala kao softverski inženjeri tijekom razgovora za posao u tvrtkama iz sektora kriptovaluta i Web3 tehnologija. Operativci kradu stvarne identitete i životopise, koristeći AI filtere lica kako bi sakrili svoj izgled i dobili zaposlenje pod lažnim identitetom. Cilj im je infiltrirati zapadne tvrtke radi industrijske špijunaže i financijske dobiti. Analitičari tima Quetzal zabilježili su najmanje dva pokušaja infiltracije na pozicijama viših softverskih inženjera.
Izvor: HackRead

Tjedni pregled ranjivosti: Cyble upozorava na potrebe za zakrpama u Apacheu i Microsoftu
Istraživači tvrtke Cyble pratili su 1.128 ranjivosti tijekom proteklog tjedna, od kojih 138 već ima javno dostupne Proof-of-Concept iskorištaje, čime se povećava rizik od stvarnih napada. Šezdeset i sedam ranjivosti ocijenjeno je kao kritično prema CVSS v3.1, a 22 prema CVSS v4.0. Među njima je CVE-2025-55754, ranjivost u Apache Tomcatu koja može omogućiti posredno izvršavanje administratorskih naredbi manipulacijom konzole ako administrator bude prevaren da pokrene zlonamjerne naredbe.
Izvor: Cyble

Udaljeni pristup, stvarni teret: kibernetički kriminalci ciljaju logističke i transportne tvrtke
Tvrtka Proofpoint otkrila je kampanju u kojoj kibernetički kriminalci koriste alate za udaljeno upravljanje (RMM) kako bi kompromitirali logističke i transportne tvrtke te preusmjerili stvarne pošiljke tereta. Napadači surađuju s organiziranim kriminalnim skupinama kako bi se infiltrirali u mreže, sudjelovali u stvarnim natječajima za prijevoz robe i potom ukrali pošiljke. Ukradena roba, od elektronike do napitaka, prodaje se putem interneta ili šalje u inozemstvo, uzrokujući velike financijske gubitke i poremećaje u opskrbnim lancima.
Izvor: Proofpoint

Operacija SkyCloak: Tor kampanja cilja vojsku Rusije i Bjelorusije
SEQRITE Labs otkrio je Tor kampanju koja cilja vojno osoblje Rusije i Bjelorusije, uključujući ruske zračne snage i bjeloruske specijalne postrojbe. Lanac infekcije koristi obfs4 mostove za anonimnu komunikaciju putem Tor mreže, višefazne PowerShell skripte te vojne mamce kako bi prevario žrtve. Slične regionalne kampanje, poput HollowQuill i CargoTalon, također su zabilježene 2025. godine, s naglaskom na zrakoplovni i obrambeni sektor.
Izvor: Seqrite

Broj žrtava ransomwarea na leak stranicama porastao za 13% u godinu dana
Europske organizacije zabilježile su porast ransomware napada od 13% između rujna 2024. i kolovoza 2025., pri čemu su najviše pogođene britanske tvrtke, navodi se u CrowdStrikeovom izvješću o europskom prijetnjama. Ukupan broj žrtava objavljenih na leak stranicama dosegao je 1.380, a među najugroženijima su Njemačka, Italija, Francuska i Španjolska. Najčešće pogođeni sektori uključuju proizvodnju, tehnologiju i profesionalne usluge, što ukazuje na kontinuirani porast financijski motiviranih napada u Europi.
Izvor: Infosecurity Magazine

Sigurnosne vijesti dana [03/11/25]

Upozorenja pri zapošljavanju: možete li prepoznati špijuna koji se predstavlja kao kandidat?
U srpnju 2024. tvrtka KnowBe4 otkrila je sumnjivo ponašanje novog zaposlenika koji je manipulirao i prenosio potencijalno štetne datoteke te pokušao pokrenuti neovlašteni softver. Naknadno je utvrđeno da se radilo o radniku iz Sjeverne Koreje koji je prevario HR tim i zaposlio se na daljinu. Incident pokazuje da nijedna organizacija nije imuna na rizik od zapošljavanja saboterâ. Prijetnje povezane s identitetom ne odnose se samo na ukradene lozinke, već i na same osobe koje ulaze u radnu sredinu. Kako AI sve bolje imitira stvarnost, nužno je unaprijediti procese zapošljavanja.
Izvor: WeLiveSecurity

Kada AI agenti „polude“: napad agent session smuggling u A2A sustavima
Istraživači su otkrili novu tehniku napada nazvanu „agent session smuggling“, koja omogućuje zlonamjernom AI agentu da iskoristi postojeću komunikacijsku sesiju među agentima za slanje skrivenih naredbi žrtvi. Napad iskorištava stanje sesije u Agent2Agent (A2A) protokolu kako bi umetnuo zlonamjerne upute unutar legitimne razmjene podataka. Za razliku od jednokratnih napada na podatke, ova metoda omogućuje napadaču da kroz višestruke interakcije stvori lažni osjećaj povjerenja i manipulira agentom tijekom duljeg vremena.
Izvor: Unit42

Zlouporaba oblaka u velikim razmjerima
Kompromitacija identiteta ostaje jedna od najvećih prijetnji sigurnosti oblaka. Kada napadači dobiju pristup valjanim vjerodajnicama, mogu zaobići sigurnosne kontrole i zloupotrijebiti usluge poput AWS Simple Email Service (SES) za izvođenje phishing i spam kampanja. Fortinetovi istraživači otkrili su kampanju u kojoj su napadači koristili ukradene AWS ključeve za vođenje operacija pomoću infrastrukture nazvane TruffleNet, temeljene na alatu TruffleHog, za sustavno testiranje i iskorištavanje kompromitiranih vjerodajnica.
Izvor: Fortinet

Vojni dokumenti korišteni za širenje naprednog SSH-Tor backdoora u obrambenom sektoru
Istraživači iz Cyblea otkrili su kampanju u kojoj je zlonamjerni softver distribuiran putem ZIP arhiva maskiranih kao bjeloruski vojni dokumenti, usmjerenih na stručnjake za dronove u specijalnim postrojbama. Višestupanjski napad koristi napredne tehnike izbjegavanja detekcije, uključujući dvostruke ekstenzije, anti-sandbox mehanizme i prikrivene PowerShell naredbe, kako bi uspostavio trajni pristup sustavu. Backdoor kombinira OpenSSH za Windows i Tor skrivenu uslugu uz obfs4 maskiranje prometa.
Izvor: Cyble

Porast hacktivističkih napada na kritičnu infrastrukturu: izvješće Cyblea
Hacktivistički napadi na kritičnu infrastrukturu znatno su porasli u trećem kvartalu 2025., čineći 25% svih takvih incidenata do rujna. Iako DDoS napadi i izmjene web stranica i dalje dominiraju, sve veći broj skupina usmjerava se na napade na industrijske kontrolne sustave (ICS), krađe podataka i ransomware. Među najaktivnijima su Z-Pentest, Dark Engine, Golden Falcon Team i Sector 16, što ukazuje na širenje ideološki i geopolitički motiviranih kampanja.
Izvor: Cyble

Sigurnosne vijesti dana [31/10/25]

LinkedIn phishing cilja financijske direktore lažnim pozivnicama za upravni odbor
Hakeri zloupotrebljavaju LinkedIn kako bi ciljano napadali financijske direktore putem direktnih poruka koje oponašaju pozivnice za pridruživanje upravnom odboru, s ciljem krađe Microsoft vjerodajnica. Kampanju je otkrila tvrtka Push Security, koja je nedavno blokirala jedan od takvih pokušaja phishinga. Poruke tvrde da dolaze od novoosnovanog investicijskog fonda “Common Wealth”, koji navodno poziva rukovoditelje da se pridruže njegovu izvršnom odboru.
Izvor: BleepingComputer

Zlonamjerni NPM paketi preuzimaju infostealer za Windows, Linux i macOS
Deset zlonamjernih paketa koji oponašaju legitimne softverske projekte na npm registru preuzima komponentu za krađu informacija s Windows, Linux i macOS sustava. Paketi su objavljeni 4. srpnja i ostali su neotkriveni dulje vrijeme zbog više slojeva zamagljivanja koji su im pomogli izbjeći standardne mehanizme statičke analize. Prema istraživačima tvrtke Socket, ti su paketi imali gotovo 10.000 preuzimanja te su krali vjerodajnice iz sistemskih ključeva, preglednika i autentifikacijskih servisa.
Izvor: BleepingComputer

PhantomRaven malware pronađen u 126 npm paketa koji kradu GitHub tokene od programera
Sigurnosni istraživači otkrili su novu aktivnu kampanju napada na opskrbni lanac softvera koja cilja npm registar s više od 100 zlonamjernih paketa osmišljenih za krađu autentifikacijskih tokena, CI/CD tajni i GitHub vjerodajnica s računala programera. Kampanju je nazvala Koi Security “PhantomRaven”. Napadi su specifični po tome što zlonamjerni kod skrivaju u ovisnostima koje upućuju na prilagođene HTTP adrese, prisiljavajući npm da pakete preuzima s neprovjerenih web lokacija.
Izvor: TheHackerNews

ThreatsDay bilten: DNS trovanje, krađa u opskrbnom lancu, trik s Rust malverom i novi RAT-ovi
Američke energetske kompanije poput Chevronea, ConocoPhillipsa, PBF Energyja i Phillipsa 66 postale su meta phishing napada u kojima napadači koriste lažne domene kako bi oponašali njihove brendove. Hunt[.]io je zabilježio više od 1.465 takvih pokušaja tijekom proteklih 12 mjeseci. Kibernetičke prijetnje razvijaju se brže nego što se obrambeni sustavi mogu prilagoditi, a granica između kriminalnih skupina i državnih aktera sve je mutnija.
Izvor: TheHackerNews

Američka telekomunikacijska tvrtka napadnuta od strane državnih hakera
Tvrtka Ribbon Communications, koja pruža temeljnu tehnologiju za komunikacijske mreže, postala je meta kibernetičkog napada. Ribbonovi sustavi koriste se u telekomunikacijskim i infrastrukturnim organizacijama diljem svijeta. U nedavnom izvješću predanom američkoj agenciji SEC, tvrtka je potvrdila da je u rujnu 2025. otkrila neovlašteni pristup svojoj IT mreži, za koji se sumnja da ga stoje državno sponzorirani napadači.
Izvor: SecurityWeek

Sigurnosne vijesti dana [30/10/25]

Ruski hakeri ciljaju ukrajinske organizacije koristeći prikrivene “living-off-the-land” taktike
Organizacije u Ukrajini našle su se na meti napadača ruskog podrijetla s ciljem krađe osjetljivih podataka i održavanja trajnog pristupa kompromitiranim mrežama. Prema izvješću timova Symantec i Carbon Black Threat Hunter, napadi su trajali dva mjeseca na jedno veliko poduzeće iz sektora poslovnih usluga te tjedan dana na lokalnu državnu instituciju. Napadači su koristili „living-off-the-land“ (LotL) taktike i alate s dvostrukom namjenom, uz minimalnu upotrebu malvera, kako bi smanjili digitalni trag i ostali neotkriveni. Pristup su ostvarili postavljanjem web shellova na javno dostupne poslužitelje, najvjerojatnije iskorištavanjem neispravljenih ranjivosti.
Izvor: TheHackerNews

Deset zlonamjernih npm paketa krade vjerodajnice programera na Windows, macOS i Linux sustavima
Sigurnosni istraživači otkrili su 10 zlonamjernih npm paketa dizajniranih za isporuku infostealera koji cilja sustave Windows, Linux i macOS. Malware koristi četiri sloja zamagljivanja kako bi sakrio svoj payload, prikazuje lažnu CAPTCHA provjeru radi vjerodostojnosti, identificira žrtve prema IP adresi te preuzima 24 MB velik infostealer izrađen pomoću PyInstallera. Cilj mu je krađa vjerodajnica iz sustavnih ključeva, preglednika i autentifikacijskih servisa na više platformi.
Izvor: TheHackerNews

Qilin ransomware koristi WSL za pokretanje Linux enkriptora u Windowsu
Operacija Qilin ransomwarea uočena je kako pokreće Linux enkriptore unutar Windows okruženja koristeći Windows Subsystem for Linux (WSL) radi izbjegavanja detekcije tradicionalnih sigurnosnih alata. Ransomware je prvotno pokrenut pod nazivom „Agenda“ u kolovozu 2022., a već sljedećeg mjeseca preimenovan u Qilin. Prema istraživanjima Trend Microa i Cisco Talosa, grupa je napala više od 700 žrtava u 62 zemlje tijekom 2025. godine te prosječno objavljuje više od 40 novih žrtava mjesečno.
Izvor: BleepingComputer

CISA upozorava na dvije nove aktivno iskorištavane ranjivosti u Dassault softveru
Američka agencija CISA upozorila je na aktivno iskorištavanje dviju ranjivosti u softveru DELMIA Apriso tvrtke Dassault Systèmes, koji se koristi za upravljanje proizvodnim procesima. Prva ranjivost (CVE-2025-6205) omogućuje udaljeni pristup bez autentifikacije i preuzimanje administratorskih ovlasti, dok druga (CVE-2025-6204) omogućuje izvršavanje proizvoljnog koda na ranjivim sustavima putem injekcije koda. Obje ranjivosti predstavljaju ozbiljan rizik za nezaštićene organizacije.
Izvor: BleepingComputer

YouTube Ghost Network koristi „sablasne“ taktike za napad na korisnike
Napadači koriste kompromitirane YouTube račune i zlonamjerne videozapise kako bi prevarili korisnike da preuzmu malware. Istraživači Check Pointa otkrili su mrežu poznatu kao YouTube Ghost Network, koja putem tisuća lažnih videozapisa promovira zlonamjerne poveznice. Mreža, aktivna od 2021., tijekom 2025. godine utrostručila je broj objavljenih videozapisa. Iako djeluje i na drugim platformama poput GitHuba, većina sadržaja uklonjena je nakon otkrića kampanje.
Izvor: SecurityWeek

Sigurnosne vijesti dana [29/10/25]

New Herodotus Android Malware Fakes Human Typing to Avoid Detection
Nova obitelj Android zlonamjernog softvera nazvana Herodotus koristi nasumična vremenska kašnjenja u unosima kako bi oponašala ljudsko ponašanje i izbjegla detekciju sigurnosnih sustava koji prate obrasce tipkanja. Prema Threat Fabricu, Herodotus se nudi kao malware-as-a-service (MaaS) financijski motiviranim kibernetičkim kriminalcima, za koje se vjeruje da su isti operateri iza malvera Brokewell. Iako je Herodotus još u razvoju, njegovi korisnici već ga koriste protiv talijanskih i brazilskih korisnika putem SMS phishing poruka. Zlonamjerni SMS sadrži poveznicu na prilagođeni dropper koji instalira glavni payload i pokušava zaobići ograničenja pristupa Accessibility dozvolama u Android verzijama 13 i novijima.
Izvor: BleepingComputer

Google Disputes False Claims of Massive Gmail Data Breach
Google je ponovno morao javno demantirati tvrdnje da je došlo do velikog proboja Gmail računa, nakon što su brojni mediji objavili senzacionalne članke o navodnom curenju podataka 183 milijuna korisnika. Tvrtka je objasnila da Gmail nije bio kompromitiran te da se radi o zbirci vjerodajnica koje su godinama prikupljene putem infostealer malvera i drugih napada. Google je istaknuo da su „izvještaji o sigurnosnom incidentu Gmaila netočni“ i da su korisnici zaštićeni, dok su pogrešni navodi proizašli iz pogrešnog tumačenja baza ukradenih podataka. Tvrtka je također odbacila glasine da je izdala masovno upozorenje korisnicima, naglašavajući da nije riječ o novom napadu na Gmail.
Izvor: BleepingComputer

SideWinder Adopts New ClickOnce-Based Attack Chain Targeting South Asian Diplomats
Kibernetička skupina SideWinder ciljala je europsku ambasadu u New Delhiju te organizacije u Šri Lanki, Pakistanu i Bangladešu novom kampanjom u rujnu 2025. Istraživači iz Trellixa otkrili su da napadi predstavljaju značajnu evoluciju taktika i tehnika grupe, uključujući novu infekcijsku sekvencu temeljenu na PDF i ClickOnce formatu, uz prethodno korištene Microsoft Word exploite. Napadi su se odvijali u četiri vala od ožujka do rujna, putem spear-phishing e-mailova dizajniranih za isporuku malvera poput ModuleInstaller i StealerBot, koji prikupljaju osjetljive informacije s kompromitiranih sustava.
Izvor: TheHackerNews

New ChatGPT Atlas Browser Exploit Lets Attackers Plant Persistent Hidden Commands
Sigurnosni istraživači otkrili su novu ranjivost u OpenAI-jevom ChatGPT Atlas pregledniku koja napadačima omogućuje umetanje skrivenih instrukcija u memoriju sustava i izvršavanje proizvoljnog koda. Prema LayerX Securityju, ranjivost se temelji na cross-site request forgery (CSRF) propustu koji omogućuje ubrizgavanje zlonamjernih naredbi u trajnu memoriju ChatGPT-a. Te izmjene mogu ostati aktivne kroz više uređaja i sesija, čime napadači mogu preuzeti kontrolu nad korisničkim računom, preglednikom ili povezanim sustavima. Exploit omogućuje instalaciju malvera, povećanje privilegija i druge oblike kompromitacije sustava.
Izvor: TheHackerNews

Massive China-Linked Smishing Campaign Leveraged 194,000 Domains
Palo Alto Networks upozorava na opsežnu smishing kampanju povezana s kineskim akterima, koja od travnja 2024. koristi čak 194.000 domena. Kampanja imitira usluge naplate cestarina, dostave paketa, banke, kripto platforme, zdravstvene organizacije, e-trgovine, policiju i društvene mreže. Početna analiza identificirala je više od 10.000 domena, dok je naknadno otkriveno da je broj višestruko veći. Napadi se temelje na lažnim SMS porukama koje korisnike navode na lažne web stranice radi krađe podataka i financijskih informacija.
Izvor: SecurityWeek

Sigurnosne vijesti dana [28/10/25]

Qilin Ransomware Combines Linux Payload With BYOVD Exploit in Hybrid Attack
Grupa koja stoji iza Qilin ransomwarea (poznata i kao Agenda, Gold Feather i Water Galura) tvrdi da je tijekom 2025. napadala više od 40 žrtava mjesečno, osim u siječnju, dok je u lipnju broj objava na njihovom data leak portalu dosegnuo 100 slučajeva. Riječ je o jednoj od najaktivnijih ransomware-as-a-service (RaaS) operacija, s 84 žrtve u kolovozu i rujnu 2025. Qilin djeluje od srpnja 2022., a prema podacima Cisco Talosa, najviše su pogođene SAD, Kanada, Ujedinjeno Kraljevstvo, Francuska i Njemačka. Napadi su ponajprije ciljali sektore proizvodnje (23%), profesionalnih i znanstvenih usluga (18%) te veleprodaje (10%).
Izvor: TheHackerNews

Newly Patched Critical Microsoft WSUS Flaw Comes Under Active Exploitation
Microsoft je objavio izvanredno sigurnosno ažuriranje kojim je zakrpao kritičnu ranjivost u Windows Server Update Service (WSUS) sustavu, za koju postoji javno dostupan proof-of-concept exploit, a koja se već aktivno iskorištava. Ranjivost, označena kao CVE-2025-59287 (CVSS ocjena 9.8), omogućuje udaljeno izvršavanje koda putem mreže i povezana je s nesigurnim deserializiranjem podataka u WSUS-u. Tri sigurnosna istraživača — MEOW, f7d8c52bec79e42795cf15888b85cbad i Markus Wulftange iz CODE WHITE GmbH — zaslužna su za otkrivanje i prijavu greške. Ranjivost ne utječe na Windows poslužitelje bez aktivirane WSUS Server Role funkcije.
Izvor: TheHackerNews

Hackers Launch Mass Attacks Exploiting Outdated WordPress Plugins
Opsežna kampanja iskorištavanja cilja WordPress web stranice koje koriste ranjive dodatke GutenKit i Hunk Companion, pogođene starim i kritičnim propustima koji omogućuju daljinsko izvršavanje koda (RCE). Tvrtka Wordfence izvijestila je da je blokirala 8,7 milijuna pokušaja napada u samo dva dana, 8. i 9. listopada. Kampanja koristi tri ranjivosti — CVE-2024-9234, CVE-2024-9707 i CVE-2024-11972 — sve s CVSS ocjenom 9.8. Ranjivost CVE-2024-9234 omogućuje instalaciju proizvoljnih dodataka bez autentifikacije putem REST sučelja u GutenKit dodatku koji ima 40.000 instalacija.
Izvor: BleepingComputer

Hackers Steal Discord Accounts With RedTiger-based Infostealer
Napadači koriste open-source alat RedTiger za izradu infostealera koji krade podatke s Discord računa i informacije o plaćanju. Malware može također prikupljati vjerodajnice spremljene u pregledniku, podatke o kripto novčanicima i korisničke račune u igrama. RedTiger je Python-based alat za testiranje penetracije na Windows i Linux sustavima, koji sadrži module za mrežno skeniranje, razbijanje lozinki, OSINT, alate za Discord i generator malvera. Njegov infostealer modul prikuplja sistemske informacije, kolačiće i lozinke iz preglednika, datoteke kripto novčanika, podatke iz Roblox i Discord računa te može snimati fotografije s web kamere i slike zaslona.
Izvor: BleepingComputer

Ransomware Payments Dropped in Q3 2025: Analysis
Iznosi isplata u ransomware napadima znatno su pali u trećem kvartalu 2025., prema analizi tvrtke Coveware. Stopa plaćanja otkupnine pala je na povijesno niskih 23%, što ukazuje na smanjenu učinkovitost kibernetičke ucjene. Prosječna isplata iznosila je oko 377.000 USD, što je pad od 66% u odnosu na prethodni kvartal, dok je medijan pao na 140.000 USD (pad od 65%). Coveware pad pripisuje rastućem trendu u kojem velike organizacije odbijaju platiti otkupnine te uspješnim naporima tijela za provedbu zakona i kibernetičkih stručnjaka.
Izvor: SecurityWeek

Novosti