Boletim semanal de cibersegurança 13-19 novembro

Telefónica Tech    19 noviembre, 2021
Boletim cibersegurança

Emotet retorna à atividade

Pesquisadores de segurança da Cryptolaemus identificaram o que parece ser a reaparição do popular malware Emotet, cuja infraestrutura permaneceu inativa desde janeiro, após uma intervenção conjunta das forças de segurança em todo o mundo para frustrar suas operações. As novas amostras usavam o mesmo mecanismo de propagação tradicionalmente vinculado a esta botnet:  Malspam com anexos em Excel ou Word ou arquivos ZIP protegidos com senhas, remetentes falsificados e informações roubadas de threads de e-mail de vítimas antigas. A única diferença notável está no uso de comunicações criptografadas com o servidor C2 via HTTPS. Embora tenha sido apenas um dia desde a detecção da campanha de spam, outros pesquisadores começaram a alertar sobre essa nova atividade Emotet e sua entrega como segunda carga útil pelo malware Trickbot.  Operadores deste mesmo malware, Trickbot, que são conhecidos pelo pseudônimo de ITG23, foram recentemente vistos participando de várias campanhas junto com o ator de ameaças Shathak (TA551), na tentativa de entregar seu malware como uma etapa anterior de um compromisso com o ransomware Conti.

https://isc.sans.edu/diary/28044

0-Day em FatPipe VPN ativamente explorado

O FBI emitiu uma declaração alertando sobre uma ameaça persistente avançada (APT) abusando de uma vulnerabilidade de 0-day em dispositivos FatPipe VPN desde pelo menos maio do ano passado. Especificamente, a análise forense do FBI afirma que os atacantes poderiam ter acessado a função de upload de arquivo no firmware do dispositivo e instalado um webshell com acesso a raiz, levando a privilégios elevados nas redes internas das organizações alvo. A vulnerabilidade de 0-day descrita afeta os dispositivos FatPipe MPVPN, IPVPN e WARP (Virtual Private Network (VPN) e ainda não está identificada com um número CVE ou criticidade. O FatPipe já liberou um caminho e um aviso de segurança (FPSA006). O aviso do FBI também contém regras e indicadores da YARA para identificar atividades relacionadas nos sistemas.

https://www.ic3.gov/Media/News/2021/211117-2.pdf

ChainJacking: novo ataque da cadeia de suprimentos de software

A empresa de segurança Intezer, juntamente com a Checkmarx, publicou um artigo sobre um novo ataque da cadeia de suprimentos contra provedores de softwares que poderia colocar em risco várias ferramentas de gerenciamento de uso comum. Conhecido como «ChainJacking«, o ataque consiste na modificação ou corrupção do GitHub, Go Package Manager ou NPM pacotes de código aberto que são incluídos por padrão nas ferramentas de gerenciamento. No caso do GitHub, um invasor poderia reivindicar a propriedade de um nome de usuário abandonado e começar a entregar códigos maliciosos para qualquer um que baixe o pacote, aproveitando a confiança adquirida pelo antigo proprietário do nome de usuário. Explorando isso em um repositório de pacotes Go, poderia levar a uma reação em cadeia que amplificaria a disseminação do código malicioso e infectaria uma ampla gama de produtos, causando um dano comparável ao incidente do SolarWinds do ano passado ou ao do ataque de Kaseya deste ano. Até agora, nenhuma exploração ativa deste ataque foi relatada, mas isso não pode ser negligenciado dada a recente tendência de ataques da cadeia de fornecimento de software que são difíceis de detectar, ter um enorme impacto e dar aos agentes de ameaças novas mudanças de infecção.

https://www.intezer.com/blog/malware-analysis/chainjacking-supply-chain-attack-puts-popular-admin-tools-at-risk/

Vulnerabilidade de 0-day no ManageEngine ServiceDesk

Pesquisadores da IBM descobriram uma falha de 0-day no motor ManageEngine ServiceDesk. Trata-se de uma plataforma de gerenciamento de help desk amplamente utilizada que inclui aplicativos para a gestão de projetos e serviços de TI. A vulnerabilidade, CVE-2021-37415, poderia ser explorada para conceder acesso a um invasor não autorizado em um subconjunto de descanso de API de um aplicativo, que é responsável pela recuperação das informações dos tickets existentes dentro do referido aplicativo. Além disso, após a exploração bem-sucedida, um agente de ameaças poderia acessar dados confidenciais através da Internet, incluindo informações sobre os patches a serem aplicados ou a estrutura de rede interna de uma organização, entre outros. Além disso, isso poderia levar a um ataque da cadeia de suprimentos, devido ao uso generalizado deste produto e à natureza da vulnerabilidade. O ManageEngine emitiu a versão 11302  para corrigir a falha e que deve ser aplicada o mais rápido possível.

https://securityintelligence.com/posts/zero-day-discovered-enterprise-help-desk/

Deja una respuesta

Tu dirección de correo electrónico no será publicada.