home.social

#gtig — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #gtig, aggregated by home.social.

  1. Chinese PhaaS Ecosystem Evolves, Threatens Global Financial Security

    The game has changed in the world of phishing: attackers are now using Phishing as a Service (PhaaS) to intercept one-time passcodes and tokenize payment cards, giving them direct control over victims' financial accounts. This sinister shift threatens global financial security, allowing attackers to tap into accounts…

    osintsights.com/chinese-phaas-

    #PhishingAsAService #Phaas #FinancialSecurity #GoogleThreatIntelligenceGroup #Gtig

  2. Google Exposes AI-Generated Zero-Day Exploit Used by Hackers

    Google's Threat Intelligence Group has made a groundbreaking discovery - a zero-day exploit, potentially crafted with AI, was used by hackers to bypass two-factor authentication in a widely-used open-source tool. This alarming finding highlights the emerging threat of AI-generated cyber attacks.

    osintsights.com/google-exposes

    #AigeneratedExploit #ZeroDay #GoogleThreatIntelligenceGroup #Gtig #Llm

  3. Google Exposes Microsoft Teams Phishing Campaign Using Custom Snow Malware

    Beware of scammers posing as helpdesk heroes! They'll flood your inbox with spam, then reach out on Microsoft Teams with a fake fix that actually steals your password using custom Snow malware.

    osintsights.com/google-exposes

    #MicrosoftTeamsPhishing #CustomSnowMalware #GoogleThreatIntelligenceGroup #Gtig #PhishingCampaign

  4. 政府級黑客工具 Coruna 外洩 逾 4.2 萬舊 iPhone 中招 落入中俄犯罪份子手中
      Google 旗下威脅情報團隊(GTIG)與流動安全公司 iVerify 於 2026 年 3 […]
    #科技新聞 #資訊保安 #Apple #iOS
    unwire.hk/2026/03/10/coruna-io

  5. 政府級黑客工具 Coruna 外洩 逾 4.2 萬舊 iPhone 中招 落入中俄犯罪份子手中
      Google 旗下威脅情報團隊(GTIG)與流動安全公司 iVerify 於 2026 年 3 […]
    #科技新聞 #資訊保安 #Apple #iOS
    unwire.hk/2026/03/10/coruna-io

  6. 政府級黑客工具 Coruna 外洩 逾 4.2 萬舊 iPhone 中招 落入中俄犯罪份子手中
      Google 旗下威脅情報團隊(GTIG)與流動安全公司 iVerify 於 2026 年 3 […]
    #科技新聞 #資訊保安 #Apple #iOS
    unwire.hk/2026/03/10/coruna-io

  7. Szpiegostwo na globalną skalę. Google rozbija chińską siatkę, która wykradała dane z polskich telekomów

    Zespoły Google Threat Intelligence Group (GTIG) oraz Mandiant zneutralizowały potężną infrastrukturę szpiegowską grupy UNC2814, powiązanej z Chinami.

    Hakerzy od lat atakowali sektor telekomunikacyjny i administrację publiczną w ponad 40 krajach, w tym w Polsce. Do wyciągania wrażliwych danych, takich jak treści SMS-ów czy numery PESEL, cyberprzestępcy wykorzystywali m.in… legalne Arkusze Google.

    Wyniki najnowszego śledztwa analityków bezpieczeństwa rzucają światło na jedną z najbardziej rozległych kampanii szpiegowskich ostatnich lat. Grupa oznaczona kodem UNC2814, działająca aktywnie co najmniej od 2017 roku, stworzyła globalną sieć inwigilacji, której głównym celem byli dostawcy usług telekomunikacyjnych oraz instytucje rządowe.

    Atakując operatorów, napastnicy zyskiwali strategiczny punkt dostępu do komunikacji i danych wielu podmiotów jednocześnie. Eksperci z GTIG potwierdzili aż 53 przypadki udanych włamań w 42 państwach, identyfikując przy tym potencjalne cele w ponad 20 kolejnych krajach. Na liście poszkodowanych znalazła się również Polska.

    Polska na celowniku: PESEL i billingi w rękach hakerów

    Choć w naszym regionie uwaga ekspertów ds. cyberbezpieczeństwa skupia się zazwyczaj na destrukcyjnych działaniach grup powiązanych z Rosją i Białorusią, raport Google udowadnia, że polska infrastruktura krytyczna jest na celowniku również innych mocarstw.

    Z ustaleń śledczych wynika, że włamania UNC2814 nie miały na celu niszczenia infrastruktury (jak ma to miejsce w przypadku rosyjskich ataków typu „wiper”), lecz cichą, długofalową inwigilację. Hakerzy przejmowali m.in. bazy danych osobowych, wykazy połączeń, a nawet treści wiadomości SMS konkretnych osób. W wielu potwierdzonych przypadkach cyberprzestępcy polowali na niezwykle wrażliwe dane obywateli, w tym numery dowodów osobistych oraz numery PESEL.

    Obawy o bezpieczeństwo w Polsce słusznie koncentrują się na działaniach grup powiązanych z Rosją. Jednak aktywność UNC2814 pokazuje, że sektor telekomunikacyjny – fundament polskiej łączności i cyfrowej gospodarki – jest celem uporczywych działań o globalnym zasięgu. Grupy powiązane z Chinami stawiają na długofalowe działania, zaprojektowane tak, by przez lata pozostać w ukryciu i po cichu wykradać dane” – tłumaczy Jamie Collier, główny doradca na Europę w Google Threat Intelligence Group.

    GRIDTIDE, czyli jak zhakować przez Arkusze Google

    Kluczowym momentem w rozpracowaniu grupy było odkrycie pod koniec 2025 roku przez zespół Mandiant nowego narzędzia typu backdoor, nazwanego „GRIDTIDE”. Złośliwe oprogramowanie, napisane w języku C, służyło do utrzymywania stałego dostępu do zainfekowanych systemów.

    Sposób działania GRIDTIDE idealnie obrazuje nowy, niebezpieczny trend w cyberprzestępczości – nadużywanie legalnych platform chmurowych (SaaS). Zamiast stawiać własne serwery kontroli (C2), które łatwo wykryć i zablokować, złośliwy kod łączył się z Arkuszami Google kontrolowanymi przez napastników. Dzięki temu transfer wykradanych danych idealnie wtapiał się w normalny, firmowy ruch sieciowy. Google wyraźnie zaznacza, że nie był to wynik luki w zabezpieczeniach usługi, lecz sprytne wykorzystanie jej prawidłowych, wbudowanych funkcji w celu uniknięcia detekcji przez systemy bezpieczeństwa.

    Dekada budowy, natychmiastowy demontaż

    Aby przeciąć operacje szpiegowskie UNC2814, Google przeprowadziło skoordynowaną akcję uderzeniową. Firma zamknęła wszystkie projekty w Google Cloud kontrolowane przez napastników, zablokowała powiązane konta oraz przejęła kontrolę nad ich domenami (technika tzw. sinkholingu), skutecznie odcinając złośliwy kod od zaatakowanych środowisk. Analitycy spodziewają się, że ruch ten zniweczy dekadę pracy hakerów nad budową ich globalnej sieci.

    Wszystkie poszkodowane podmioty otrzymały już oficjalne powiadomienia, a eksperci Google aktywnie wspierają organizacje w łataniu luk. Jednocześnie GTIG podkreśla, że kampania UNC2814 to odrębna operacja i nie należy jej łączyć z głośnymi ostatnio atakami grupy „Salt Typhoon”, która również obrała sobie za cel sektor telekomunikacyjny.

    Szerszy raport techniczny z operacji rozbicia infrastruktury GRIDTIDE został opublikowany na blogu Google Cloud.

    Historyczny cyberatak: chińscy hakerzy użyli AI do autonomicznego włamania. Mamy raport Anthropic

    #APTChiny #atakNaTelekomy #backdoorGRIDTIDE #chińscyHakerzy #cyberbezpieczeństwoPolska #GoogleThreatIntelligenceGroup #GTIG #kradzieżPESEL #Mandiant #UNC2814
  8. Szpiegostwo na globalną skalę. Google rozbija chińską siatkę, która wykradała dane z polskich telekomów

    Zespoły Google Threat Intelligence Group (GTIG) oraz Mandiant zneutralizowały potężną infrastrukturę szpiegowską grupy UNC2814, powiązanej z Chinami.

    Hakerzy od lat atakowali sektor telekomunikacyjny i administrację publiczną w ponad 40 krajach, w tym w Polsce. Do wyciągania wrażliwych danych, takich jak treści SMS-ów czy numery PESEL, cyberprzestępcy wykorzystywali m.in… legalne Arkusze Google.

    Wyniki najnowszego śledztwa analityków bezpieczeństwa rzucają światło na jedną z najbardziej rozległych kampanii szpiegowskich ostatnich lat. Grupa oznaczona kodem UNC2814, działająca aktywnie co najmniej od 2017 roku, stworzyła globalną sieć inwigilacji, której głównym celem byli dostawcy usług telekomunikacyjnych oraz instytucje rządowe.

    Atakując operatorów, napastnicy zyskiwali strategiczny punkt dostępu do komunikacji i danych wielu podmiotów jednocześnie. Eksperci z GTIG potwierdzili aż 53 przypadki udanych włamań w 42 państwach, identyfikując przy tym potencjalne cele w ponad 20 kolejnych krajach. Na liście poszkodowanych znalazła się również Polska.

    Polska na celowniku: PESEL i billingi w rękach hakerów

    Choć w naszym regionie uwaga ekspertów ds. cyberbezpieczeństwa skupia się zazwyczaj na destrukcyjnych działaniach grup powiązanych z Rosją i Białorusią, raport Google udowadnia, że polska infrastruktura krytyczna jest na celowniku również innych mocarstw.

    Z ustaleń śledczych wynika, że włamania UNC2814 nie miały na celu niszczenia infrastruktury (jak ma to miejsce w przypadku rosyjskich ataków typu „wiper”), lecz cichą, długofalową inwigilację. Hakerzy przejmowali m.in. bazy danych osobowych, wykazy połączeń, a nawet treści wiadomości SMS konkretnych osób. W wielu potwierdzonych przypadkach cyberprzestępcy polowali na niezwykle wrażliwe dane obywateli, w tym numery dowodów osobistych oraz numery PESEL.

    Obawy o bezpieczeństwo w Polsce słusznie koncentrują się na działaniach grup powiązanych z Rosją. Jednak aktywność UNC2814 pokazuje, że sektor telekomunikacyjny – fundament polskiej łączności i cyfrowej gospodarki – jest celem uporczywych działań o globalnym zasięgu. Grupy powiązane z Chinami stawiają na długofalowe działania, zaprojektowane tak, by przez lata pozostać w ukryciu i po cichu wykradać dane” – tłumaczy Jamie Collier, główny doradca na Europę w Google Threat Intelligence Group.

    GRIDTIDE, czyli jak zhakować przez Arkusze Google

    Kluczowym momentem w rozpracowaniu grupy było odkrycie pod koniec 2025 roku przez zespół Mandiant nowego narzędzia typu backdoor, nazwanego „GRIDTIDE”. Złośliwe oprogramowanie, napisane w języku C, służyło do utrzymywania stałego dostępu do zainfekowanych systemów.

    Sposób działania GRIDTIDE idealnie obrazuje nowy, niebezpieczny trend w cyberprzestępczości – nadużywanie legalnych platform chmurowych (SaaS). Zamiast stawiać własne serwery kontroli (C2), które łatwo wykryć i zablokować, złośliwy kod łączył się z Arkuszami Google kontrolowanymi przez napastników. Dzięki temu transfer wykradanych danych idealnie wtapiał się w normalny, firmowy ruch sieciowy. Google wyraźnie zaznacza, że nie był to wynik luki w zabezpieczeniach usługi, lecz sprytne wykorzystanie jej prawidłowych, wbudowanych funkcji w celu uniknięcia detekcji przez systemy bezpieczeństwa.

    Dekada budowy, natychmiastowy demontaż

    Aby przeciąć operacje szpiegowskie UNC2814, Google przeprowadziło skoordynowaną akcję uderzeniową. Firma zamknęła wszystkie projekty w Google Cloud kontrolowane przez napastników, zablokowała powiązane konta oraz przejęła kontrolę nad ich domenami (technika tzw. sinkholingu), skutecznie odcinając złośliwy kod od zaatakowanych środowisk. Analitycy spodziewają się, że ruch ten zniweczy dekadę pracy hakerów nad budową ich globalnej sieci.

    Wszystkie poszkodowane podmioty otrzymały już oficjalne powiadomienia, a eksperci Google aktywnie wspierają organizacje w łataniu luk. Jednocześnie GTIG podkreśla, że kampania UNC2814 to odrębna operacja i nie należy jej łączyć z głośnymi ostatnio atakami grupy „Salt Typhoon”, która również obrała sobie za cel sektor telekomunikacyjny.

    Szerszy raport techniczny z operacji rozbicia infrastruktury GRIDTIDE został opublikowany na blogu Google Cloud.

    Historyczny cyberatak: chińscy hakerzy użyli AI do autonomicznego włamania. Mamy raport Anthropic

    #APTChiny #atakNaTelekomy #backdoorGRIDTIDE #chińscyHakerzy #cyberbezpieczeństwoPolska #GoogleThreatIntelligenceGroup #GTIG #kradzieżPESEL #Mandiant #UNC2814
  9. Die Cybercriminals so:
    "Lass uns mal was mit AI machen!"
    "Jo. Und dann fragt der Shit selbstständig bei der AI nach und besorgt sich aktuellen Code."
    "Aber getarnt!"

    Google’s Threat Intelligence Group (GTIG):
    "Gegner nutzen künstliche Intelligenz, um neue Malware‑Familien zu verbreiten, die während der Ausführung große Sprachmodelle (LLMs) integrieren.

    Dieser neue Ansatz ermöglicht ein dynamisches Ändern während der Ausführung und erreicht damit ein Maß an operativer Vielseitigkeit, das mit herkömmlicher Malware praktisch unmöglich zu erreichen ist.

    Google bezeichnet die Technik als „Just‑in‑Time“‑Selbstmodifikation und hebt den experimentellen PromptFlux‑Malware‑Dropper sowie den PromptSteal‑(auch bekannt als LameHug‑)Datensammler, der in der Ukraine eingesetzt wurde, als Beispiele für dynamische Skriptgenerierung, Code‑Obfuskation und die Erstellung von On‑Demand‑Funktionen hervor."

    cloud.google.com/blog/topics/t

    #infosec #infosecnews #google #gtig #Malware #PromptFlux #PromptSteal

  10. Die Cybercriminals so:
    "Lass uns mal was mit AI machen!"
    "Jo. Und dann fragt der Shit selbstständig bei der AI nach und besorgt sich aktuellen Code."
    "Aber getarnt!"

    Google’s Threat Intelligence Group (GTIG):
    "Gegner nutzen künstliche Intelligenz, um neue Malware‑Familien zu verbreiten, die während der Ausführung große Sprachmodelle (LLMs) integrieren.

    Dieser neue Ansatz ermöglicht ein dynamisches Ändern während der Ausführung und erreicht damit ein Maß an operativer Vielseitigkeit, das mit herkömmlicher Malware praktisch unmöglich zu erreichen ist.

    Google bezeichnet die Technik als „Just‑in‑Time“‑Selbstmodifikation und hebt den experimentellen PromptFlux‑Malware‑Dropper sowie den PromptSteal‑(auch bekannt als LameHug‑)Datensammler, der in der Ukraine eingesetzt wurde, als Beispiele für dynamische Skriptgenerierung, Code‑Obfuskation und die Erstellung von On‑Demand‑Funktionen hervor."

    cloud.google.com/blog/topics/t

    #infosec #infosecnews #google #gtig #Malware #PromptFlux #PromptSteal

  11. Die Cybercriminals so:
    "Lass uns mal was mit AI machen!"
    "Jo. Und dann fragt der Shit selbstständig bei der AI nach und besorgt sich aktuellen Code."
    "Aber getarnt!"

    Google’s Threat Intelligence Group (GTIG):
    "Gegner nutzen künstliche Intelligenz, um neue Malware‑Familien zu verbreiten, die während der Ausführung große Sprachmodelle (LLMs) integrieren.

    Dieser neue Ansatz ermöglicht ein dynamisches Ändern während der Ausführung und erreicht damit ein Maß an operativer Vielseitigkeit, das mit herkömmlicher Malware praktisch unmöglich zu erreichen ist.

    Google bezeichnet die Technik als „Just‑in‑Time“‑Selbstmodifikation und hebt den experimentellen PromptFlux‑Malware‑Dropper sowie den PromptSteal‑(auch bekannt als LameHug‑)Datensammler, der in der Ukraine eingesetzt wurde, als Beispiele für dynamische Skriptgenerierung, Code‑Obfuskation und die Erstellung von On‑Demand‑Funktionen hervor."

    cloud.google.com/blog/topics/t

    #infosec #infosecnews #google #gtig #Malware #PromptFlux #PromptSteal

  12. Google Threat Intelligence Group (GTIG) report: “Adversarial Misuse of Generative AI” details how threat actors (ATP and IO actors) are attempting to misuse Google’s Gemini web application and if these efforts have created any novel or unique AI-enabled attack techniques.

    High level results: At this time, AI can be useful to threat actors for performing common tasks like troubleshooting, research, learning/training, and content generation. GTIG is indicating they are NOT seeing new or novel capabilities being created by threat actor activities with AI.

    “Rather than enabling disruptive change, generative AI allows threat actors to move faster and at higher volume. For skilled actors, generative AI tools provide a helpful framework” … “For less skilled actors, they also provide a learning and productivity tool, enabling them to more quickly develop tools and incorporate existing techniques.”

    DL report (PDF) here: services.google.com/fh/files/m

    #AI #cybersecurity #Google #GTIG #LLMs #hackers #GenAI #Gemini