Boletim semanal de cibersegurança 1 — 8 julho

Raspberry Robin: worm detectado em várias redes do Windows

A Microsoft emitiu um aviso privado voltado para assinantes do Microsoft Defender for Endpoint, informando sobre a detecção de malware Raspberry Robin em várias redes do setor industrial principalmente.

Este worm foi criado em 2019 e foi detectado pela primeira vez em setembro do ano passado de 2021, sendo seu principal método de propagação através de dispositivos USB infectados. Algumas de suas características são o uso de dispositivos QNAP NAS como servidores de comando e controle (C2) e o uso de conexões para a rede Tor.

Além disso, o Raspberry Robin abusa de ferramentas legítimas do Windows, como o processo msiexec, para infectar novos dispositivos, executar cargas maliciosas e, eventualmente, fornecer malware.

A exploração ativa dos acessos que os operadores desse malware já teriam obtido para as redes de suas vítimas não está confirmada e não foi possível atribuir esta campanha a qualquer ator malicioso específico, embora a Microsoft tenha qualificado como de alto risco, dado que os atacantes poderiam implantar malware adicional nas redes das vítimas e aumentar seus privilégios a qualquer momento. 

Ler mais → 

* * *

Vulnerabilidade crítica em Spring Data para MongoDB

O pesquisador Zewei Zhang, do NSFOCUS TIANJI Lab, relatou uma vulnerabilidade crítica de execução de código remoto (RCE) no Spring Data MongoDB, um projeto para integrar documentos aos bancos de dados do MongoDB. O erro foi identificado com CVE-2022-22980 e recebeu uma criticidade de 9.8 (CVSSv3).

Especificamente, a vulnerabilidade consiste na possibilidade de executar uma injeção de SpEL (Spring Expression Language) maliciosa que permitiria que um invasor executasse código arbitrário remotamente com privilégios legados.

O bug afeta as versões 3.4.0, 3.3.0 para 3.3.4, e as versões anteriores não suportadas, entretanto, a Spring já liberou as versões corrigidas correspondentes do Dados de Primavera MongoDB, 3.4.1 e 3.3.5 no final de junho passado.

No entanto, se não for possível implementar essas novas versões, existem medidas de mitigação que podem ser consultadas no edital publicado pela VMware, que é recomendado para ser aplicado imediatamente levando em conta a disponibilidade pública de provas de conceito sobre essa vulnerabilidade.

Ler mais → 

* * *

Versão maliciosa do Brute Ratel C4

Pesquisadores da Palo Alto Networks publicaram sobre uma amostra maliciosa do legítimo software Brute Ratel C4 (BRc4). Esta ferramenta surgiu como uma alternativa ao Cobalt Strike para Red Teans quando se trata de testes de penetração.

Assim como o Cobalt Strike deixa faróis em computadores infectados, o Brute Ratel instala badgers que executam uma função semelhante, estabelecem persistência e se conectam a servidores de comando e controle para receber comandos e executar código em computadores infectados.

Além disso, esta ferramenta foi especificamente projetada para evitar a detecção de ponto final (EDR) e o antivírus. De acordo com os pesquisadores, é muito provável que ex-membros do ransomware Conti tenham criado empresas de fachada para passar uma parte do processo de verificação necessário para obter esse software.

Finalmente, eles pedem que os fornecedores de segurança atualizem suas proteções para detectar esse software e que as organizações tomem medidas proativas para se defenderem.

Ler mais → 

* * *

Vulnerabilidade crítica no OpenSSL

O pesquisador de segurança Xi Ruoyao descobriu uma vulnerabilidade na biblioteca criptográfica do OpenSSL que poderia levar à execução remota de código sob certas circunstâncias.

A falha, identificada como CVE-2022-2274, está na implementação de RSA para CPUs X86_64 compatíveis com instruções AVX512IFMA. A vulnerabilidade pode levar à corrupção de memória durante a computação, que um invasor poderia usar para, finalmente, desencadear a execução remota de código na máquina que executa a computação.

O bug afeta a versão 3.0.4 do OpenSSL, lançada em 21 de junho de 2022, e foi corrigida com a versão 3.0.5 do OpenSSL. As versões OpenSSL 1.1.1 e Open SSL 1.0.2 não são afetadas por essa vulnerabilidade. 

Ler mais → 

* * *

Nova campanha de ransomware HavanaCrypt

Pesquisadores da TrendMicro analisaram uma campanha da nova família de ransomware chamada HavanaCrypt, que estaria se passando por o aplicativo google software update para distribuição. HavanaCrypt é compilado em .NET e usa Obfuscar, um ofuscador de código aberto para proteger o código .NET.

Da mesma forma, foi identificado que ele estaria fazendo uso de um endereço IP de um serviço de hospedagem da Microsoft, como C & C (Command & Control) para evitar a detecção, algo incomum neste tipo de ameaça.

A TrendMicro também detectou o uso de múltiplas ferramentas anti-virtualização para evitar possíveis análises dinâmicas em máquinas virtuais. Finalmente, vale mencionar a função QueueUserWorkItem, usada para distribuir outras cargas e ferramentas de criptografia.

Após o processo de criptografia, durante o qual ele usa módulos legítimos de segurança de senha do KeePass e o recurso CryptoRandom, este ransomware não deixa nenhuma nota de resgate, então os pesquisadores acreditam que ele ainda pode estar em fase de desenvolvimento.  

Ler mais →