Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Boletim semanal de cibersegurança 10-17 setembroTelefónica Tech 17 septiembre, 2021 S.O.V.A. – Novo Trojan bancário para Android Os pesquisadores da Threat Fabric descobriram a existência, pelo menos desde o início de agosto, de um novo Trojan bancário para Android que eles chamaram de S.O.V.A., cujo principal objetivo seria a coleta de informações pessoalmente identificáveis (PII) das vítimas. É um Trojan que contém funcionalidades comuns neste tipo de malware, como a capacidade de realizar ataques de sobreposição, keylogging ou manipulação de notificações; mas também inclui outras funcionalidades menos comuns, como o roubo de cookies de login, o que permitiria aos invasores acessar logins válidos dos usuários sem precisar saber suas credenciais. No momento, o Trojan está em fase de desenvolvimento, e os autores estariam anunciando-o em fóruns subterrâneos com a intenção de poder testá-lo em vários dispositivos e implementar as melhorias necessárias. Segundo os pesquisadores, adaptações do malware já teriam sido detectadas, disponíveis para a representação de instituições bancárias nos Estados Unidos e Espanha fundamentalmente, embora em seu anúncio os autores ofereçam a possibilidade de adaptá-lo contra outras entidades de acordo com as necessidades do comprador. Mais: https://www.threatfabric.com/blogs/sova-new-trojan-with-fowl-intentions.html Vermilion Strike: versão não oficial de um Cobalt Strike Beacon Pesquisadores da Intezer descobriram em agosto passado uma versão não oficial de um Cobalt Strike Beacon para sistemas Linux e Windows. Este Beacon, chamado Vermilion Strike, seria desenvolvido do zero por agentes de ameaças desconhecidos, sem compartilhar código com a versão oficial, e seria usado ativamente contra organizações em todo o mundo. O Vermilion Strike usa o mesmo protocolo do Cobalt Strike para se conectar aos servidores de Comando e Controle e tem recursos de acesso remoto, como carregar arquivos, executar comandos e modificar arquivos. Essa ameaça está em vigor desde agosto e seria usada em ataques direcionados contra empresas de telecomunicações, agências governamentais, tecnologia e instituições financeiras em todo o mundo. O objetivo final destes parece focar no trabalho de ciberespionagem. Mais: https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/ Operação Harvest: campanha de longa duração da ciberespionagem Pesquisadores da McAfee publicaram a análise de uma operação de longo prazo que eles chamaram de «Harvest». A descoberta dessa atividade começou com a análise de um incidente de malware que foi expandido para ser configurado como um ataque cibernético de grande sofisticação que teria durado vários anos. O ator de ameaças iniciou suas incursões violando o servidor web da vítima, gerando persistência e instalando ferramentas que seriam usadas para coleta de informações, elevação de privilégios, movimentos laterais e execução de arquivos. Entre as ferramentas utilizadas estão PSexec, Procdump, Mimikatz, RottenPotato e BadPotato. Além de usar um arsenal bastante grande de ferramentas, o agente de ameaças usou o malware PlugX e Winnti para aumentar os privilégios e obter um backdoor na infraestrutura da vítima. Com base nas análises realizadas, os pesquisadores estimam que o ataque foi realizado por um ator de origem chinesa que compartilha ligações com APT27 e APT41. Seu objetivo principal teria sido manter sua presença dentro da infraestrutura da vítima para exfiltrar informações de inteligência para fins comerciais ou militares. Mais: https://www.mcafee.com/blogs/enterprise/mcafee-enterprise-atr/operation-harvest-a-deep-dive-into-a-long-term-campaign/ Detalhes adicionais sobre as campanhas de exploração do 0 day em Microsoft MSHTML Pesquisadores da Microsoft publicaram uma análise detalhada dos primeiros ataques detectados nos quais a vulnerabilidade CVE-2021-40444 teria sido explorada, bem como sua potencial atribuição. As primeiras campanhas datam de agosto, com e-mails sob o pretexto de acordos legais ou contratuais em que documentos maliciosos estavam hospedados em sites legítimos de compartilhamento de arquivos para a distribuição de carregadores com balizas Cobalt Strike. A carga final não foi marcada por sistemas Windows como baixado de uma fonte externa, por isso foi executada diretamente, sem interação do usuário, evidenciando assim a exploração da vulnerabilidade. A autoria desses ataques iniciais, segundo a Microsoft, aponta para o DEV-0365, um grupo em desenvolvimento sob o qual um conjunto de atividades fraudulentas associadas à infraestrutura cobalto Strike é agrupado. No entanto, eles também indicam que parte da infraestrutura que hospedou os documentos maliciosos iniciais pode estar relacionada com cargas de BazarLoader e Trickbot, atividade associada ao ator de ameaças DEV-0193 (também conhecido como UNC1878 ou Wizar Spider). Apesar desses vínculos com atores genéricos, da Microsoft eles têm desejado diferenciar essa atividade de exploração da vulnerabilidade para um novo grupo chamado DEV-0413, uma vez que indicam que não estaríamos enfrentando campanhas genéricas, mas que os e-mails de phishing estavam muito alinhados com as operações comerciais das organizações que foram atacadas. Além da investigação da Microsoft, nos últimos dias, pesquisadores de segurança no Twitter também têm alertado para a detecção de campanhas de spam que estariam distribuindo o Trojan Ramint explorando o mesmo bug. Mais: https://www.microsoft.com/security/blog/2021/09/15/analyzing-attacks-that-exploit-the-mshtml-cve-2021-40444-vulnerability/ OMIGOD: Vulnerabilidades na cadeia de fornecimento de nuvens A equipe de pesquisadores da Wiz descobriu recentemente uma série de vulnerabilidades no agente de software Open Management Infrastructure (OMI), incorporado em muitos dos produtos mais populares do Azure. Especificamente, são quatro vulnerabilidades classificadas como CVE-2021-38647 CVSS 9.8, CVE-2021-38648 CVSS 7.8, CVE-2021-38645 CVSS 7.8 e CVE-2021-38649 CVSS 7.0, coletivamente referido como «OMIGOD». O risco está nos clientes que usam máquinas virtuais Linux na nuvem, uma vez que o agente OMI é executado automaticamente e sem o conhecimento dos usuários ao habilitar determinados serviços no Azure (por exemplo, Log Analytics, Diagnósticos, Gerenciamento de Configuração, etc.), para que essas vulnerabilidades no OMI possam permitir que um potencial invasor aumente para privilégios raiz e execute códigos maliciosos remotamente. A Microsoft lançou a versão corrigida do OMI 1.6.8.1., por isso é aconselhável atualizá-lo o mais rápido possível, já que de acordo com os pesquisadores milhares de clientes do Azure e milhões de pontos finais seriam afetados. Mais: https://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution Inteligência da Telefónica Tech reforça a capacidade da Vivo para a mitigação de ameaças em seu BackbonePackageDNA, nossa estrutura de análise de pacote de desenvolvimento que estreou na BlackHat
Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Telefónica Tech Boletim semanal de Cibersegurança 8 – 14 Abril Apple corrige duas novas vulnerabilidades de 0-day exploradas ativamente A Apple lançou novos avisos de segurança sobre duas novas vulnerabilidades de 0-day exploradas ativamente que afetam iPhones, Macs e iPads....
Telefónica Tech Boletim semanal de Cibersegurança 25 – 31 Março GitHub expôs sua chave de host RSA SSH por engano O GitHub anunciou na sexta-feira passada que substituiu sua chave de host RSA SSH usada para proteger as operações do...
Telefónica Tech Boletim semanal de Cibersegurança 17 – 24 Março HinataBot: nova botnet dedicada a ataques DDoS A equipe de pesquisadores da Akamai publicou um relatório no qual eles identificaram uma nova botnet chamada HinataBot que teria a capacidade de realizar ataques...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Março Nova versão do Trojan bancário Xenomorph Pesquisadores do ThreatFabric detectaram uma nova variante do Trojan bancário para Android Xenomorph. Essa família de malware foi detectada pela primeira vez em fevereiro...
