Calendly/Google redirect abuse – TonRAT kampány a vendéglátóipar ellen
A Microsoft jelentése szerint a támadók a Calendly és a Google URL-átirányítási (redirect) lehetőségeit használták ki a vendéglátóipari partnerek elleni adathalász kampányokban. A támadás során a „photo.zip” nevű melléklet egy Node.js-alapú, TonRAT nevű távoli hozzáférést biztosító kártevőt (RAT) juttatott a rendszerekre. A kampány célja az volt, hogy a támadók tartós hozzáférést szerezzenek a szállodai és vendéglátóipari hálózatokhoz.
Mitigáció: URL-átirányítások és naptármeghívók szűrése, a ZIP-mellékletek sandboxolása, valamint alkalmazás- és aláírásalapú végpontvédelem (EDR) alkalmazása.
Forrás: Microsoft Security Blog
Booking.com-partnerek elleni TONResolver-kampány
A Trend Micro és más források szerint Japánban működő Booking.com-partnereket céloznak meg adathalász támadásokkal. A kampány a TONResolver RAT-et telepíti a kompromittált rendszerekre. A támadók blokklánc- és kripto témájú történeteket használnak csaliként, miközben valójában távoli hozzáférést szereznek, és adatokat lopnak el a szállásadói infrastruktúrából.
Mitigáció: Erős (MFA) hitelesítés bevezetése a partnerportálokon, a gyanús bejelentkezések monitorozása, valamint a végpontvédelem kötelezővé tétele a partnerek számára.
Forrás: Trend Micro
INSEE – A francia statisztikai hivatal személyzeti adatai
Az INSEE francia statisztikai hivatal jelentése szerint körülbelül 12 800 jelenlegi és korábbi munkatárs, valamint a hozzájuk kapcsolódó civil szolgálati résztvevő adatai szivárogtak ki a személyzeti címtár (trombi.insee.fr) elleni támadásban. A kompromittált adatok neveket és munkahelyi elérhetőségeket tartalmaznak; jelszavak, banki adatok és állampolgári statisztikai adatok nem kerültek veszélybe. Az adatcsomagot egy „Saturne” néven ismert fórumfelhasználó tette közzé, a behatolás pontos módja azonban egyelőre nem ismert.
Mitigáció: A személyzeti rendszerek hálózati elkülönítése, a címtáralkalmazások frissítése és hozzáférésük korlátozása, valamint az érintett dolgozók célzott értesítése.
Forrás: Reuters
Latvian State Forests – Ransomware-jellegű támadás
A Latvijas Valsts Meži (Latvian State Forests) jelentése szerint kibertámadás érte az IT-infrastruktúráját, amelyért egy külföldi ransomware-csoport vállalta a felelősséget. A vállalat részt vesz a parlamenti választási rendszer fejlesztésében is, de a beszámolók szerint ezt a környezetet teljesen elkülönítették, így a választási rendszer nem érintett.
Mitigáció: Kritikus beszállítók esetében szigorú hálózati szegmentáció, rendszeres mentés-visszaállítási tesztek, valamint a ransomware-elhárítási forgatókönyvek (playbookok) frissítése – különös tekintettel a választási infrastruktúrákra.
Forrás: LVM közlemény, LSM cikk
Aflac Japan – 4,38 millió ügyféladat
Az Aflac Japan közleménye szerint mintegy 4,38 millió ügyfél személyes adatai érintettek egy adatvédelmi incidensben. A kiszivárgott adatok között nevek, címek és szerződésekhez kapcsolódó információk szerepelnek, egyes ügyfeleknél pedig díjfizetési számlaadatok is kompromittálódhattak.
Mitigáció: Az érintett ügyfelek azonnali értesítése, hosszú távú hitel- és identitásmonitorozás ajánlása, a hozzáférési tokenek és API-kulcsok rotálása, valamint a partnerplatformok biztonsági auditálása.
Forrás: Aflac Japan
OpenClaw/Hologram – Hamis telepítő és Rust-alapú infostealer
A Netskope elemzése szerint az „OpenClaw Hologram” nevű, hamis telepítőket használó kampány egy Rust-alapú információlopót (infostealer) juttat a Windows rendszerekre. A támadás megtévesztő telepítőfelületet (GUI) használ, a perzisztenciát pedig ütemezett feladatokkal és az indítópultba helyezett parancsikonokkal éri el. A mintákat több malware-elemző szolgáltatás, köztük a VirusTotal és a PolySwarm is azonosította.
Mitigáció: A letöltött telepítők digitális aláírásának és eredetének ellenőrzése, alkalmazáskontroll (application whitelisting), az ütemezett feladatok és automatikus indítási bejegyzések folyamatos elemzése, valamint IoC-alapú fenyegetésvadászat (threat hunting).
Forrás: Netskope
Egészségügyi RAR-archívok – Python-alapú infostealer Thaiföldön
A Seqrite jelentése szerint egészségügyi témájú RAR-archívumokkal célozzák meg Thaiföld egészségügyi szektorát, egy Python-alapú információlopót terjesztve. A mellékletben található szkript a böngészőkben tárolt hitelesítő adatokat és különféle alkalmazástokeneket gyűjti össze, majd külső (C2) szerverre továbbítja őket.
Mitigáció: A RAR-archívumok automatikus sandboxolása a levelezőátjárón, a szkriptek (pl. Python, PowerShell) futtatásának korlátozása a végpontokon, célzott adathalászati tréningek az egészségügyi dolgozók számára, valamint a hálózati adatkiáramlás (exfiltráció) monitorozása.
Forrás: Seqrite
StrikeShark – SharkLoader és Cobalt Strike
A Kaspersky Securelist jelentése szerint a StrikeShark kampány nyilvánosan elérhető, internetre kitett alkalmazások sérülékenységeit használja ki azért, hogy a SharkLoader droppert telepítse, amely végül egy Cobalt Strike implantot juttat a hálózatba. A támadások elsődleges célja a vállalati hálózatokon belüli horizontális mozgás (lateral movement) és a hosszú távú jelenlét biztosítása.
Mitigáció: Az internet felől elérhető alkalmazások sérülékenységeinek azonnali javítása (patch management), WAF és exploitdetekció bevezetése, valamint a Cobalt Strike-ra jellemző hálózati forgalom viselkedésalapú elemzése.
Forrás: Securelist
Operation Navy Ghost – PyPI ellátási lánc elleni támadás
A Checkmarx „Operation Navy Ghost” elemzése feltárta, hogy a támadók hamis pyrogram-csomagokat tettek közzé a PyPI (Python Package Index) repozitóriumban. Ezek legitim Telegram API-integrációnak álcázták magukat, valójában azonban egy backdoort telepítettek a fejlesztői környezetekbe, amely Telegramon keresztül vezérelt C2-csatornát használt.
Mitigáció: A Python-függőségek reputáció- és kiadóalapú ellenőrzése, belső PyPI-mirrorok és szoftveres anyagjegyzék (SBOM) használata, valamint a fejlesztői munkaállomások megerősített védelme.
Forrás: Checkmarx
MicrosoftSystem64 / Hugging Face exfiltráció
Több kutatás is rámutatott arra, hogy a támadók npm-csomagokon és fejlesztői ökoszisztémákon keresztül terjesztenek infostealer és RAT komponenseket. A MicrosoftSystem64 nevű kártevő esetében a beszámolók szerint a Hugging Face AI-platformot is felhasználták adatlopási és exfiltrációs célokra. Ezzel párhuzamosan független kutatások észak-koreai kötődésű npm-alapú infostealer/RAT kampányokat is azonosítottak.
Mitigáció: Az ML-platformok (például a Hugging Face) hozzáféréseinek szigorú kontrollja, a hozzáférési tokenek védelme, az npm-függőségek folyamatos auditálása, valamint az exfiltrációs minták hálózati szintű detektálása.
Forrás: OX Security, JFrog
Cisco UCM – Tetszőleges fájlírásból RCE
Az SSD Disclosure szerint a Cisco Unified Communications Managerben (UCM) azonosított hiba tetszőleges fájlírást tesz lehetővé, ami egy támadási lánc részeként távoli kódfuttatássá (RCE) alakítható. A sérülékenység sikeres kihasználása teljes kontrollt adhat a támadónak a vállalat VoIP- és kommunikációs infrastruktúrája felett.
Mitigáció: A gyártói javítások azonnali telepítése, az UCM menedzsmentfelületek internetes kitettségének minimalizálása, valamint a konfigurációs integritás rendszeres ellenőrzése.
Forrás: SSD Disclosure
Linux pedit COW – Root jogosultság cache-elt binárisokon keresztül
Egy új Linux pedit COW exploit lehetővé teszi, hogy a támadó a gyorsítótárazott (cache-elt) binárisok „mérgezésével” root jogosultságot szerezzen bizonyos környezetekben. A hiba a Copy-On-Write (COW) mechanizmus és a pedit hálózati szűrő közötti interakciót használja ki, ezért különösen a többfelhasználós (shared hosting, terminálszerver) rendszerekben jelent komoly kockázatot.
Mitigáció: Az érintett kernelverziók azonnali frissítése, a lokális jogosultságkiterjesztés (LPE) ellen védő EDR-szabályok alkalmazása, valamint a szükségtelen SUID-binárisok letiltása.
Forrás: The Hacker News
Kemp LoadMaster – Pre-auth RCE (CVE-2026-8037)
A Progress/Kemp LoadMaster CVE-2026-8037 sérülékenysége előzetes hitelesítés nélküli távoli kódfuttatást (pre-auth RCE) tesz lehetővé az érintett eszközökön; a hibához már nyilvánosan elérhető PoC (Proof of Concept) exploit is létezik. Mivel a LoadMaster jellemzően alkalmazáskézbesítő és gateway szerepet tölt be, a hiba kihasználása teljes kontrollt adhat a támadónak az adatközponti forgalom felett.
Mitigáció: Azonnali firmware-frissítés a gyártói bulletin alapján, a menedzsment interfészek internetes kitettségének megszüntetése, valamint WAF/IPS-szabályok aktiválása a publikált exploitmintákra.
Forrás: Progress Security Bulletin, watchTowr Labs
Gemini CLI – Kritikus RCE-sérülékenység
A Google egy kritikus RCE-ként minősített hibát, a CVE-2026-12537-et javított a Gemini CLI-ben és a kapcsolódó run-gemini-cli GitHub Actions workflow-kban; aktív kihasználásra utaló bizonyíték jelenleg nincs. A hiba a CI/CD pipeline-okban futó actionökön keresztül lett volna kihasználható, pre-sandbox (host-szintű) parancsfuttatást engedve.
Mitigáció: A Gemini CLI és a kapcsolódó GitHub Actions azonnali frissítése, az action-jogosultságok szigorítása (least privilege elv), valamint a pipeline-biztonság átfogó felülvizsgálata.
Forrás: CybersecurityNews, GitHub Advisory
libssh2 kliensoldali sérülékenység (CVE-2026-55200)
Egy biztonsági kutató kritikus kliensoldali hibát hozott nyilvánosságra a libssh2 könyvtárban, amelyhez már publikus PoC is elérhető, ám aktív kihasználást még nem észleltek. A hiba bizonyos körülmények között lehetővé teheti a kliensről indított SSH-kapcsolatok kompromittálását egy rosszindulatú szerver által.
Mitigáció: A libssh2-könyvtárak frissítése a fejlesztői környezetekben és alkalmazásokban, az SSH-klienskomponensek leltározása, valamint a sérülékeny verziók cseréje.
Forrás: The Hacker News
Fluentd RCE (CVE-2026-44024)
A Fluentd nyílt forráskódú naplógyűjtőben azonosított CVE-2026-44024 kritikus RCE-hiba az 1.19.2-es és annál korábbi verziókat érinti. Aktív kihasználást egyelőre nem jelentettek. Mivel a Fluentd a legtöbb infrastruktúrában magas (gyakran root vagy cluster-admin) jogosultsággal fut, egy sikeres támadás kritikus kockázatot jelent.
Mitigáció: A Fluentd frissítése a javított verzióra, az input pluginok forrásainak szigorú auditálása, valamint konténerizált vagy minimális jogosultságú (non-root) futtatási környezet kialakítása.
Forrás: CybersecurityNews
SharePoint CVE-2026-45659 – CISA KEV
A CISA aktív kihasználásra utaló bizonyítékok alapján felvette a CVE-2026-45659 számú SharePoint Server sérülékenységet az ismert módon kihasznált hibák (KEV) katalógusába. A hiba a nem megbízható adatok deszerializációjához (untrusted deserialization) kapcsolódik, és egy már hitelesített támadó számára tesz lehetővé távoli kódfuttatást a SharePoint-környezetben.
Mitigáció: A SharePoint biztonsági frissítéseinek azonnali telepítése, a CISA KEV-lista rendszeres nyomon követése, valamint az internetre nyitott SharePoint-példányok kitettségének minimalizálása (pl. VPN/ZTNA mögé helyezés).
Forrás: CISA Alert
Citrix NetScaler – Új CitrixBleed-szerű hiba (CVE-2026-8451)
A SecurityWeek beszámolója szerint a CVE-2026-8451 jelű, a korábbi CitrixBleed-hez hasonló NetScaler-sérülékenységet a nyilvános közzétételt követően szinte azonnal célba vették a támadók. A hiba bizonyos konfigurációkban érzékeny memóriatartalom kiszivárgásához vezet, ami session tokenek vagy egyéb hitelesítési adatok ellopását eredményezheti.
Mitigáció: A NetScaler firmware azonnali frissítése a gyártó által kiadott legújabb verzióra, az adminisztratív felületek elzárása az internet elől, valamint az SSL VPN- és ICA-forgalom anomáliafigyelése (szokatlan session-váltások detektálása).
Forrás: SecurityWeek
