Víctor Mayoral-Vilches Cibercrime em Robótica, pesquisa da Alias Robotics que viaja para Black Hat Robôs industriais são seguros? É a dúvida com que essa análise começa, a partir da Alias Robotics, trabalhamos em conjunto com a TrendMicro em uma pesquisa sobre segurança robótica...
ElevenPaths Boletim semanal de cibersegurança 2 maio-4 junho Vulnerabilidade no SonicWall Network Security Manager A SonicWall lançou patches de segurança, para lidar com uma vulnerabilidade que afetaria as versões locais da solução de gerenciamento de firewall multiusuário do...
Boletim semanal de cibersegurança 3-10 junhoTelefónica Tech 10 junio, 2022 LockBit ameaça Mandiant depois de vinculá-los à EvilCorp Durante a tarde de 6 de maio, o grupo de ransomware Lockbit 2.0 anunciou em sua página de publicações na dark web o suposto compromisso da empresa de cibersegurança Mandiant e sua intenção de publicar algumas horas depois um total de 356.841 arquivos supostamente roubados da empresa. A publicação incluía um arquivo chamado «mandiantyellowpress.com.7z», que estaria relacionado ao domínio registrado no mesmo dia, mandiantyellowpress[.] com, que estava redirecionando na época para ninjaflex[.]com. As ameaças da LockBit seguiram a publicação de mandiant de um artigo indicando que o grupo russo Evil Corp começou a usar ransomware LockBit em seus alvos para escapar das sanções dos EUA. Desde que a ameaça era conhecida, Mandiant tem afirmado em todos os momentos que não tinha provas de que algum tipo de intrusão havia ocorrido, mas indicou que eles estavam monitorando a situação. Uma vez que os dados são publicados, como relatado pela mídia Bleeping Computer que foi capaz de analisá-los, é confirmado que não teria havido nenhum tipo de compromisso. O que eles publicaram da LockBit é uma mensagem na qual eles negam as acusações feitas pelo que eles chamam de «imprensa amarela» (referindo-se a Mandiant) sobre uma possível relação entre LockBit e Evil Corp. O grupo indica que os scripts e ferramentas para realizar ataques estão disponíveis publicamente e podem ser usados por qualquer usuário, portanto, uma semelhança entre as ferramentas usadas por dois grupos não significa que elas possam ser vinculadas a uma identidade única. Da mesma forma, em sua mensagem eles incluem uma linha final dissociando-se de qualquer tipo de ideologia política ou serviço especial de qualquer país. URL: https://www.bleepingcomputer.com/news/security/mandiant-no-evidence-we-were-hacked-by-lockbit-ransomware/ * * * Symbiote: novo malware furtivo contra sistemas Linux Pesquisadores da BlackBerry e Intezer publicaram ontem informações sobre um malware Linux que eles apelidaram de Symbiote. O malware, originalmente detectado em ataques ao setor financeiro na América Latina em novembro de 2021, destaca-se por suas capacidades altamente avançadas quando se trata de ocultar e ocultar processos. Isso é conseguido, em parte, por não ter um executável em si mesmo, mas é uma biblioteca de objetos compartilhados que é carregada em todos os processos de execução através da política de LD_PRELOAD, após a qual fornece ao invasor funções rootkit, recursos de roubo de senha e acesso remoto. Ao carregar em inúmeros processos, o malware pode manipular as respostas de diferentes ferramentas e funções do sistema, permitindo que usuários e pesquisadores vejam apenas uma versão tendenciosa dos resultados que estão procurando. Para isso, ele usa, entre outros, a função Berkeley Packet Filter, observada em backdoors desenvolvidos pelo Equation Group (NSA) e que permite ocultar tráfego malicioso e determinar quais pacotes são visíveis quando um administrador tenta capturar o tráfego. URL: https://www.intezer.com/blog/research/new-linux-threat-symbiote/ * * * Ataques contra empresas de telecomunicações e prestadores de serviços de rede As agências americanas NSA, CISA e FBI publicaram um aviso conjunto de segurança alertando sobre a detecção de ataques perpetrados por atores maliciosos contra empresas de telecomunicações e provedores de serviços de rede globalmente. Conforme detalhado, esta campanha está sendo realizada explorando vulnerabilidades existentes, principalmente em dispositivos de rede, apontando um total de 16 falhas de segurança distribuídas em diferentes marcas. O aviso também destaca que, ao garantir uma base inicial em uma organização de telecomunicações ou prestador de serviços de rede, esses atores mal-intencionados podem identificar usuários e sistemas críticos encarregados de manter a segurança da infraestrutura crítica de um país. Em relação à atribuição dessas campanhas, o alerta não identificou um ator específico que tenha realizado essas invasões, denotando que o mesmo objetivo é instigar todas as organizações a corrigir a lista de vulnerabilidades e aplicar as medidas de mitigação previstas para evitar possíveis incidentes de segurança. URL: https://www.cisa.gov/uscert/ncas/alerts/aa22-158a * * * Campanha de espionagem de longa duração pelo ator Aoqin Dragon A equipe de pesquisadores do SentinelLabs publicou uma investigação na qual relatam a descoberta de um APT ligado a um estado, chamado Aoqin Dragon, e que estaria realizando campanhas de espionagem sem ser detectado por 10 anos. Especificamente, este novo ator teria desenvolvido sua atividade contra organizações governamentais, educacionais e empresas do setor de telecomunicações, todas geograficamente localizadas no Sudeste Asiático. Segundo analistas, a Aoqin Dragon teria desenvolvido três importantes mecanismos de infecção entre seus TTPs; Entre 2012 e 2015, eles usaram campanhas malspam com documentos de escritório anexados que exploravam as vulnerabilidades CVE-2012-0158 e CVE-2010-3333; entre 2016 e 2017, seu vetor de entrada consistia em ofuscar executáveis maliciosos mascarados em falsos ícones antivírus; e desde 2018, eles usam um arquivo de atalho de disco removível que, quando executado, permite a injeção de código malicioso. Da mesma forma, Aoqin Dragon se destaca por usar dois backdoors, Heyoka e Mongall, para extrair informações e permitir a comunicação com as redes de suas vítimas. URL: https://www.sentinelone.com/labs/aoqin-dragon-newly-discovered-chinese-linked-apt-has-been-quietly-spying-on-organizations-for-10-years/ * * * Atualizações, PoCs e exploração ativa de vulnerabilidade de 0-day na Atlassian Depois que a Atlassian publicou na semana passada um alerta de segurança sobre a vulnerabilidade cve-2022-26134 em seus produtos confluence Server e Data Center, a empresa publicou uma atualização na tarde de sexta-feira para corrigir a falha diante da proliferação de tentativas de explorá-la. A Atlassian pediu aos clientes que atualizem para as versões 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 e 7.18.1 de seus produtos o mais rápido possível, e também lançou medidas temporárias de mitigação para aqueles que não conseguem atualizar seu software imediatamente. Na mesma sexta-feira, várias façanhas fáceis de implementar foram tornadas públicas e mostraram como explorar a vulnerabilidade para criar novas contas de administrador, forçar solicitações de DNS, coletar informações e criar conchas reversas, detectando desde então inúmeras tentativas de exploração, conforme coletado pelos pesquisadores do Grey Noise. URL: https://www.bleepingcomputer.com/news/security/exploit-released-for-atlassian-confluence-rce-bug-patch-now/ Boletim semanal de cibersegurança 28 maio-3 junhoBoletim semanal de cibersegurança 13-17 junho
Telefónica Tech Boletim semanal de cibersegurança 18-24 junho Serviços do Microsoft Office 365 e Cloudflare interrompidos globalmente Ao longo da última terça-feira, vários serviços web foram interrompidos em todo o mundo. A origem desses incidentes residia, por um...
Telefónica Tech Boletim semanal de cibersegurança 13-17 junho Hertzbleed. Novo ataque de canal lateral contra processadores AMD e Intel Pesquisadores de segurança de várias universidades dos EUA descobriram um novo ataque de canal lateral que afeta processadores Intel...
Telefónica Tech Boletim semanal de cibersegurança 28 maio-3 junho Evolução rápida do botnet EnemyBot Desde sua descoberta em março passado por pesquisadores da Securonix, a botnet conhecida como EnemyBot, focada na realização de ataques DDoS, não deixou de se...
Telefónica Tech Boletim semanal de cibersegurança, 21—27 maio Vulnerabilidade não corrigida da PayPal O pesquisador de segurança H4x0r-DZ revelou uma vulnerabilidade não corrigida no serviço de transferência de dinheiro da PayPal que poderia permitir que os invasores enganassem...
Telefónica Tech Boletim semanal de cibersegurança, 13—20 maio VMware corrige vulnerabilidades críticas em vários de seus produtos A VMware lançou um aviso de segurança para abordar uma vulnerabilidade de desvio de autenticação crítica que afeta vários de seus...
Telefónica Tech Boletim semanal de cibersegurança, 7—13 maio Vulnerabilidade no BIG-IP explorada para exclusão de informações Em 4 de maio, o F5 corrigiu, entre outros, uma vulnerabilidade que afetou dispositivos BIG-IP (CVE-2022-1388 CVSSv3 9.8), o que poderia permitir...