segurança
Boletins de Segurança - Heimdall Security Research
O Heimdall, grupo de Threat Intelligence da ISH, apresenta os boletins sobre agentes de ameaças, Malwares utilizados por grupos maliciosos, Indicadores de Comprometimento, Técnicas, Táticas e Procedimentos (TTPs) e Análises de Artefatos e Mitigações, visando a prevenção de ataques e a evolução da maturidade da segurança cibernética.
ISH
Dicas para evitar ataques de DNS Spoofing
Neste boletim, para que a organização não seja vítima de ataques do tipo DNS Spoofing, o qual caso seja identificado o ataque poderá ser utilizado para redirecionar usuários para sites maliciosos, bem como causar diversos prejuízos a organização, tanto financeiro quanto a sua reputação, mencionamos medidas a serem adotadas para utilizar o DNSSEC e melhorar a maturidade de segurança...
ISH
Ator de ameaça garantindo persistência de 6 meses em rede ICS
Um grupo de ameaças conhecido como Redfly teria realizado a invasão a uma organização nacional de rede elétrica na Ásia e manteve seu acesso por seis meses. A descoberta foi publicada pela empresa Symantec, a qual encontrou evidências do malware ShadowPad...
ISH
Novos malwares Stealers identificados para macOS
Pesquisadores de segurança de segurança identificaram uma série de novas famílias de infostealers, como MacStealer, Pureland, Atomic Stealer e RealStealer, bem como o boletim apresentado possui o foco em apresentar detalhes da análise do MetaStealer, cuja análise foi realizada pelo SentinelOne...
ISH
Vulnerabilidades críticas do Google Chrome
Três vulnerabilidades foram identificadas como críticas e zero day par ao Google Chrome, as quais foram catalogadas como CVE-2023-2033, CVE-2023-2136 e CVE-2023-3079 todas estas vulnerabilidades críticas...
ISH
Ator de ameaça iraniano focando Brasil
O ator de ameaça conhecido como Charming Kiten teria sido associado a uma nova onda de ataques a diferentes entidades no Brasil e em outros dois países, Israel e Emirados Árabes Unidos. O ator estaria utilizando um backdoor anteriormente então documentado como Sponsoring...
ISH
Utilização do ScreenConnect para acesso remoto por atacantes
No início do ano de 2023, a Heimdall observou campanhas que utilizaram-se de e-mails phishing as quais encaminharam o usuário a realizar o download de ferramentas de gerenciamento remoto conhecida como ScreenConnect, a qual pode ser utilizada para acesso remotos por atacantes e dar prosseguimentos a ataques cibernéticos de vários tipos...
ISH
Falhas de segurança encontradas no Nagios XI
Uma ferramenta popular de monitoramento de rede utilizada por organizações para monitorar a integridade e desempenho de ativos foi identificada como vulnerável devido falhas de segurança. As vulnerabilidades catalogadas como: CVE-2023-40931, CVE-2023-40933 e CVE-2023-40934 possibilitam que usuários de diferentes níveis de autorizações explorem vulnerabilidades de SQL Injection...
ISH
Apple publica atualizações urgentes
A APPLE publicou novas taulizações de segurança de emergência para corrigir três novas vulnerabilidades de 0 day exploradas em ataques direcionados a usuários do Iphone e MAC. As vulnerabilidades incluem: Elevação de privilégios, Ignorar Validações de Assinaturas e Execução arbitrária de Código, todas as vulnerabilidades catalogadas e descritas neste boletim...
ISH
Akira ransomware explorando VPN Cisco
Foi identificado que os atores de ameaças do ransomware Akira estariam focando seus ataques em organizações alvo que utilizam VPNs da Cisco, as quais não possuem habilitado a configuração de autenticação multifator (MFA) para os usuários. Vale salientar que este método é utilizado para fins de acessos iniciais a redes das organizações...
ISH
Ataques a cadeias de suprimentos
A equipe de inteligência, Heimdall realizou a elaboração de alerta acerca dos ataques voltados a cadeia de suprimentos. Este termo refere-se ao conjunto de processos e atividades relacionadas a produção, transporte, armazenamento e entrega de produtos ou serviços ao cliente final...
ISH
CVE-2023-5009 – vulnerabilidade no GitLab
Uma atualização do GitLab foi divulgada para resolver uma vulnerabilidade classificada como crítica e catalogada como CVE-2023-5009, com pontuação de 9,6. A referida vulnerabilidade possibilita que um ator malicioso execute pipelines em nome de outros usuários...
ISH
Vulnerabilidades CVE-2023-34984 e CVE-2023-29183 Fortinet
A empresa Fortinet anunciou correções de segurança e alertou para duas vulnerabilidades com classificações de severidade alta para seus produtos FortiWeb, FortiOS e FortiProxy afetados pelas vulnerabilidades catalogadas como CVE-2023-34984 e CVE-2023-29183...
ISH
Identificação de malware Kmsdbot para dispositivos iot
Um malware identificado pela Akamai, conhecido como KMSDBOT teria revelado uma campanha utilizando o binário KMSDX atualizado e direcionado a dispositivos IoT (Internet das Coisas). O binário possui como alvo a expansão para realizar ataques através de uma Botnet...
ISH
Correção de diversas vulnerabilidades Cisco
A Cisco publicou a correção de três falhas de alta gravidade nos softwares NX-OS e FXOS que poderiam ser utilizados para fins de causar negações de serviços (DoS). As vulnerabilidades foram catalogadas como CVE-2023-20200, CVE-2023-20169, CVE-2023-20168 e CVE-2023-20115...
ISH
Vulnerabilidade Juniper Web Device
Multiplas vulnerabilidades no componente J-Web do Juniper Networks Juno OS nas séries SRX e EX foram resolvidas por meio de aplicações de correções. As vulnerabilidades identificadas e catalogadas como: CVE-2023-36844, CVE-2023-36845 e CVE-2023-36847...
ISH
Campanha do malware DarkGate identificada
A equipe de inteligência coletou informações sobre um malware documentado e identificado pela primeira vez em 2018 conhecido e apelidado como DarkGate (também conhecido como MehCrypter). O malware atua como um loader de comodities com recursos que incluem a capacidade de baixar e executar arquivos em memória...
ISH
Cisa alerta para exploração de vulnerabilidades
A CISA emitiu um alerta sobre atores patrocinados por estado-nação que estariam se aproveitando de vulnerabilidades no Fortinet FortiOS SSL VPN e Zoho ManageEngine ServiceDesk Plus, ambas catalogadas como: CVE-2022-47966 e CVE-2022-42475 as quais poderiam ser utilizada para invasão de rede da organização...
ISH
Zero day para produtos Adobe
A Adobe publicou recentemente atualizações de segurança para corrigir uma vulnerabilidade de 0 day explorada no Acrobat e no Reader. A vulnerabilidade foi catalogada como CVE-2023-26369 de pontuação 8,8 (alta), podendo ocasionar a execução de códigos maliciosos...
ISH
Patch Tuesday Microsoft - Setembro
A Microsoft publicou o seu path Tuesday do mês de setembro. O patch apresentou atualizações a 59 falhas, sendo que duas vulnerabilidades corrigidas são de 0 day e exploradas ativamente por atores maliciosos...
ISH
CVE-2023-32315-OpenFire
A equipe de inteligência da ISH alerta para a vulnerabilidade catalogada como CVE-2023-32315 do OpenFire, o qual se trata de um servidor XMPP. A vulnerabilidade pode permitir um ataque de “path traversal”, onde um ator use o OpenFire para acessar páginas restritas. Em pesquisa, 1.048 servidores estão vulneráveis somente no Brasil...
ISH
CVE-2023-26359 – Adobe ColdFusion
A equipe de inteligência da ISH alerta para as vulnerabilidades em produtos Adobe ColdFusion já que apresenta uma determinada preocupação para os ambientes cibernéticos de organizações. A vulnerabilidade identificada afeta as versões 1028 update 15 e anteriores que poderá ocasionar a execução arbitrária de código (RCE) por atores maliciosos...
ISH
Detalhes da operação do Cuba Ransomware
Com base no relatório dos pesquisadores da BlackBerry, foram identificadas ferramentas utilizadas pelo grupo de Ransomware denominado Cuba. Este grupo está em seu quarto ano de operação e não teria apresentado sinais de desaceleração nas suas operações...
ISH
Vulnerabilidades identificadas como exploradas Julho e Agosto
A equipe de inteligência da ISH, com base na pesquisa e coleta de informações listou as principais vulnerabilidades identificadas como exploradas em Julho e Agosto, as quais foram adicionadas ao catálogo da CISA como vulnerabilidades utilizadas por atores maliciosos...
ISH
Nova versão do Ransomware Monti para máquinas Linux
O grupo de ransomware Monti possui variantes baseadas em sistemas operacionais Windows e Linux e acabou por chamar atenção dos pesquisadores devido a sua notável semelhança com o Ransomware Conti. O grupo também teria além do mesmo código, emulado táticas, técnicas e procedimentos amplamente conhecidos do grupo Conti.
ISH
Vulnerabilidade no Jorani versões anteriores a 1.0.2
A equipe de Inteligência de Ameaças da ISH alerta para a vulnerabilidade catalogada como CVE-2023-26469, na qual trata-se de uma vulnerabilidade no Jorani que poderá permitir um path transversal para acessar arquivos e executar um determinado código no servidor. De acordo com a CVE, esta apresenta a Base de Pontuação 9,8 (crítico) e, pesquisando sobre a vulnerabilidade, identificamos 6 servidores potencialmente vulneráveis existentes no Brasil...
ISH
Vulnerabilidade do plug-in Forminator do WordPress
A equipe de Inteligência de Ameaças da ISH alerta para a vulnerabilidade catalogada como CVE-2023-4596, na qual trata-se de uma vulnerabilidade no plug-in Forminator do WordPress, o qual foi considerado crítico com a pontuação de 9,8. Em pesquisas foram identificados 396 sites apenas no Brasil que estariam potencialmente vulneráveis...
ISH
Campanhas de phishing para o Brasil e Espanha
A equipe de Inteligência de Ameaças da ISH coletou informações com base em relatórios tornados públicos de campanhas de e-mails de phishing criadas nas línguas de português e espanhol. Vale salientar que os e-mails são criados se passando por instituições bancárias brasileiras e espanholas...
ISH
Ataques comuns em 2023
Considerando que um ataque cibernético é um tipo de ação maliciosa praticada por alguns indivíduos, grupos ou organizações que visam explorar algum tipo de vulnerabilidade, fornecemos alguns dos principais tipos de ataques que foram identificados em 2023...
ISH
Ransomware Rhysida e suas operações
PeO HC3 acabou por divulgar um alerta de segurança sobre um novo ransomware conhecido como Rhysida, o qual estaria ativo desde maio de 2023. A operação do Ransomware ainda não está muito clara com relação a origem ou afiliações...
ISH
Táticas, técnicas e procedimentos comuns contra Organizações Industriais
Pesquisadores publicaram informações sobre as táticas, técnicas e procedimentos comuns de ataques contra organizações industriais, sendo salientado que o relatório obtido pela Heimdall foi publicado pela Kaspersky e elaborado em 2022 com base em informações e investigações de diversos ataques contra organizações industriais na Europa Oriental...
ISH
Campanha de aquisição de contas na nuvem
Pesquisadores de segurança cibernética identificaram um aumento de mais de 100% em incidente de aquisições de contas na nuvem afetando executivos de alto nível em empresas. De acordo com os pesquisadores, 100 organizações foram visadas globalmente. Os atores de ameaças utilizaram a ferramenta de phishing EvilProxy, a qual é baseada em uma arquitetura de proxy reverso, permitindo aos invasores de roubar credenciais protegidas por MFA e cookies...
ISH
Novo grupo de Ransomware, Yashma
A Cisco Talos teria identificado um novo agente de ameaça desconhecido de origem vietnamita, o qual teria iniciado suas operações em junho de 2023 utilizando uma variante do Ransomware Yashma, adicionando até mesmo características de funcionamento do Ransomware WannCry. O referido agente de ameaça teria utilizado repositórios no GitHub para que seja realizada o download da Nota de Resgate do ataque, diferente das demais operações de Ransomwares...
ISH
Novas vulnerabilidades em produtos Cisco
A Cisco teria divulgado alertas de segurança para vulnerabilidades de classificação alta que afetam vários produtos, na qual o agente de ameaça poderia explorar algumas das vulnerabilidades para assumir o controle de um sistema afetado ou causar uma condição de negação de serviços...
ISH
Falha de segurança descoberta no software PaperCut
O Software PaperCut é um software de gerenciamento de impressão e cópia que ajuda as empresas a monitorar e controlar seus custos de impressões. Recentemente fora descoberta por pesquisadores uma nova falha de segurança classificada como crítica, permitindo a execução remota de código (RCE)...
ISH
Patch Tuesday agosto – Microsoft
A Microsoft por meio da publicação do Patch Tuesday compartilhou neste mês de agosto a correção de algumas vulnerabilidades ofertados pela empresa. Como destaque das atualizações foram as CVEs: CVE-2023-38157, correspondente a uma vulnerabilidade de bypass no Microsoft Edge e CVE-2023-4071, correspondente a uma vulnerabilidade de estouro de buffer no heap do Visuals entre outras vulnerabilidades.
ISH
CVE-2023-38035 - Ivanti
Vulnerabilidade de segurança no MICS Admin Portal no Ivanti poderá permitir que invasores ignorem os controles de autenticações na interface administrativa devido a uma configuração Apache HTTPD insuficiente restritiva...
ISH
Campanha maliciosa para servidores Redis
O malware conhecido como Skidmap, um minerador de criptomoeda detectado pela Trend Micro foi identificado em setembro de 2019 visando máquinas Linux. O código utilizou rootkits no modo kernel para evitar a detecção, diferindo de mineradores semelhantes...
ISH
Principais vulnerabilidades de 2022
A ISH tecnologia, apresenta as principais vulnerabilidades exploradas de 2022 por atores de ameaças, focando principalmente nos dados fornecidos pelas organizações CISA, NSA e FBI.
ISH
Campanha de malware direcionada contra cibercriminosos
Uma campanha de malware foi observada fazendo a utilização de arquivos de configurações do OpenBullet para atingir criminosos cibernéticos inexperientes com o objetivo de fornecer um trojan de acesso remoto (RAT) com a capacidade de roubar informações confidenciais...
ISH
Utilização do PowerShell em ataques cibernéticos
O PowerShell, por ser uma ferramenta extremamente poderosa desenvolvida pela Microsoft está sendo utilizada em organizações para diversas finalidades, bem como devido a sua facilidade e utilidade a referida ferramenta passou a ser utilizada por cibercriminosos. A utilização desta ferramenta poderá ser realizada por estes cibercriminosos para fins de reconhecimento, movimentação lateral em uma rede infectada e também para fins de garantia de persistência na máquina comprometida...
ISH
Executáveis do Microsoft Office poderá ser abusado por cibercriminosos
A lista de arquivos LOLBAS (living-on-the-land-binaries and scripts) foi atualizado com base na identificação de ferramentas incluídas no Windows que podem ser utilizados para fins maliciosos, como utilizar executáveis do Microsoft Office para download de arquivos em sites...
ISH
Novas campanhas o Stealer Rilide
Recentemente foi identificada uma nova campanha da extensão maliciosa do malware Rilide Stealer criado para navegadores Chromes. A campanha foi direcionada a usuários que utilizam criptomoedas e funcionários corporativos, visando principalmente o roubo de informações e dados...
ISH
Vulnerabilidades exploradas em ataques
A equipe de inteligência da ISH, Heimdall elaborou alerta sobre a vulnerabilidades de classificações críticas que tem sido explorada em ataques cibernéticos por atores de ameaças. As vulnerabilidades incluem produtos da Zimbra, Adobe, Netscaler e outras...
ISH
FraudGPT, uma nova ferramenta para o cibercrime
Atores de ameaças estão utilizando mais uma ferramenta de inteligência artificial (IA) que pode ser utilizada para fins de crimes cibernéticos conhecida como FraudGPT. A ferramenta anda em conjunto com outra ferramenta de IA, WormGPT, sendo que ambas estão sendo divulgadas em mercados da Dark Web...
ISH
Malware para macOS conhecido como “Realst”
Um novo malware conhecido como “Realst” foi identificado para sistemas macOS e propagado por meio de uma campanha massiva. O malware inclui suporte para macOS 14 Sonoma como uma de suas variantes mais recentes. O malware é utilizado para roubo de dados de navegadores e de aplicativos de carteiras virtuais...
ISH
Telegram, uma arma para cibercriminosos
A equipe de Inteligência da ISH, elaborou alerta sobre a plataforma Telegram, a qual é utilizada pelo cibercrime para realização de diversas operações criminosas, como venda de dados corporativos, venda de produtos ilegais, hacktivismo, vazamento de dados, entorpecentes e outros tipos de vendas ilícitas
ISH
WORMGPT, uma IA para cibercriminosos
Atores maliciosos conseguiram realizar a criação de uma ferramenta utilizada como Inteligência Artificial (IA) que poderá gerar texto em linguagem natural a partir de uma determinada entrada ou contexto. Ela é baseada na arquitetura GPT-3, com algumas modificações e melhorias para atender a pedidos maliciosos...
ISH
Adobe alerta sobre vulnerabilidade!
A Adobe lançou atualizações de segurança para as versões 2023, 2021 e 2018 do ColdFusion, na qual as atualizações resolvem vulnerabilidades críticas e importantes que podem levar à execução arbitrária de código e desvio de recursos de segurança...
ISH
Ataques utilizando USB retornam
Os ataques através de dispositivos USBs, também conhecidos como “USB-based malware attacks” podem representar uma ameaça significativa a segurança cibernética das organizações, sendo esta uma tática empregada por cibercriminosos para...
ISH
RedDriver, malware realizando sequestro de navegadores
Pesquisadores de seguranças publicaram uma análise sobre um driver malicioso não documento apelidado como “RedDriver”, o qual realiza a operação de sequestro de navegadores baseado em driver que utiliza a Windows Filtering Platform...
ISH
Grupo de APT foca em produtos ICS
Um grupo de ameaça persistente avançada (APT) foi identificado realizando a exploração de vulnerabilidades de produtos da empresa Rockwell Automation. As vulnerabilidades poderiam ocasionar a interrupção ou destruição de operações em infraestruturas críticas...
ISH
Ransomware Big Head e suas variantes
Uma nova família de ransomware foi identificada possuindo diversas variantes. A família de ransomware surgiu em meados de maio de 2023 sendo sua operação conhecida como Big Head Ransomware. A identificação ocorreu por meio de pesquisadores da Trend Micro...
ISH
Vulnerabilidade crítica CVE-2023-30799
Uma nova vulnerabilidade catalogada como CVE-2023-30799 de pontuação crítica foi divulgada e poderá ocasionar a escalação de privilégios. A vulnerabilidade afeta os produtos MikroTik RouterOS nas versões anteriores a 6.49.7 a 6.48.6. De acordo com pesquisas realizadas o Brasil possui o maior número de sistemas disponíveis em comparação a outros países, gerando este alerta quanto a utilização desta CVE para ataques cibernéticos...
ISH
Novo malware para América Latina, Trojan Toitoin
Uma nova campanha de malware completamente sofisticado e persistente voltado para empresas na América Latina, cuja campanha está entregando o Trojan conhecido como ToiToin, sendo utilizada a infecção desta campanha através de diversos estágios. A pesquisa foi divulgada pela Zscaler, onde identificou diversos módulos personalizados...
ISH
Grupo de Ransomware, Mallox empregando novas técnicas
O grupo de ransomware conhecido como “TargetCompany” identificado pela primeira vez em junho de 2021 acabou por ganhar atenção para sua operação devido após a criptografia adicionar a extensão “.mallox” aos arquivos criptografados. O referido grupo foi atribuído na operação do Ransomware Mallox, o qual utilizando um BatLoader para realizar a sua implantação do payload para criptografia...
ISH
RedEnergy, Ransomware-as-a-Stealer
Uma variante de malware foi identificada e atribuída com o nome de Stealer RedEnergy, o qual durante a sua operação se enquadrou na categoria híbrida de malware “Stealer-as-a-Ransomware”. O referido malware possui o foco em organizações de setores públicos de energia, petróleo, gás e telecomunicações de países como Brasil e Filipinas...
ISH
Operadores do Ransomware Crysis com outros Ransomwares
Um ator de ameaça que atua na operação de Ransomware Crysis foi observado por pesquisadores de segurança utilizando ativamente o ransomware Venus em suas operações. Ambos os atores e ataques identificados foram utilizados acesso de serviços remotos (RDP) para execução...
ISH
Vulnerabilidades Citrix de nível crítico
A empresa Citrix publicou aviso sobre a descoberta e divulgação de 3 vulnerabilidades em produtos, sendo catalogadas como CVE-2023-3519, CVE-2023-3466 e CVE-2023-3467. A vulnerabilidade CVE-2023-3519 poderá ocasionar a execução de código remoto não autenticado, com a gravidade crítica (9,8)...
ISH
Extensões de navegadores maliciosas são identificadas
Recentemente foi identificado a existência de extensões na Chrome Web Store que apresentaram comportamento maliciosos. Uma das extensões analisadas pelo pesquisador apontou o download de mais de 87 milhões. As extensões foram carregadas e deixadas disponíveis entre os anos de 2021 e 2022, sendo identificado a existência de um grande período para que usuários possam se infectar...
ISH
Nova campanha do trojan ANATSA
Um trojan bancário desenvolvido para dispositivos Android conhecido como Anatsa foi identificado utilizando campanhas de droppers através da Google Play Store, sendo identificado a instalação de mais de 30.000 usuários. A empresa ThreatFabric divulgou um relatório detalhado sobre a análise dos artefatos...
ISH
CISA publica alerta sobre vulnerabilidades ICS
A CISA publicou alerta sobre uma vulnerabilidade para os produtos “Hitachi Energy FOXMAN-UM e UNEM” do fornecedor Hitachi Energy. A referida vulnerabilidade poderá permitir que atores maliciosos acessem informações confidenciais dos referidos produtos...
ISH
Variante da Botnet MIRAI explorando produtos IoT
Uma nova variante da botnet conhecida como Mirai está explorando vulnerabilidades em dispositivos da Internet das Coisas (IOT) visando infectar e tornar mais um dispositivo da botnet. As vulnerabilidades exploradas são dos produtos da: D-link, Arris, Zyxel, TP-Link, Tenda, Netgear, MediaTek e outros...
ISH
Ator de ameaça STORM-0978 explorando vulnerabilidades
A Microsoft identificou uma campanha de phishing direcionada pelo agente de ameaça rastreado e identificado como Storm-0978 visando entidades governamentais e de defesa na Europa e na América do Norte. A referida campanha estaria explorando uma vulnerabilidade catalogada como CVE-2023-36884, a qual se trata de uma vulnerabilidade que causa execução remota de código explorada...
ISH
Atualizações para CVE-2023-33308 - Fortinet
A FORTINET publicou atualizações para a vulnerabilidade catalogada como CVE-2023-33308, a qual poderia permitir que atores maliciosos executassem códigos remotos através de estouro de pilha nos produtos FortiOS e FortiProxy. A vulnerabilidade possui a pontuação de 9,8, considerada crítica. No seu comunicado, a empresa recomendou que seja realizada a atualização dos produtos...
ISH
Novos grupos de Ransomware em Maio e Junho
A equipe de inteligência de ameaças da ISH identificou o surgimento de pelo menos até a 2ª quinzena de junho, 13 (treze) novos grupos de ransomwares que realizam a dupla extorsão em suas vítimas. Após a exfiltração dos dados, realizam a criptografia e encaminham a vítima para negociação...
ISH
Stealer Meduza identificado como serviço MaaS
Um ator de ameaça publicou em um fórum clandestino Russo a venda de um malware-as-a-service do tipo Stealer, identificado como Meduza. O referido malware segundo análise teria código fonte e funções similares ao malware Aurora Stealer...
ISH
Apple publica atualizações para 0day
A Apple publicou atualizações de segurança para corrigir falhas de zero day exploradas ativamente em produtos. As atualizações foram realizadas para sistemas iOS, macOS e watchOS, na qual cobriram defeitos de segurança no kernel e no WebKit, os quais foram explorados por atores...
ISH
Novo grupo de Ransomware Identificado, RA Group
Um novo grupo de ransomware conhecido como RA Group, o qual estaria operando desde meados de abril de 2023 foi identificado. O ransomware possui similaridades com o código-fonte vazado do Ransomware Babuk em 2021...
ISH
Campanha de ciberespionagem utilizando RDStealer
Uma campanha de ciberespionagem foi identificada como “RedClouds” utilizando um malware personalizado e catalogado como RDStealer, o qual visa roubar dados automaticamente de unidades compartilhadas por meio de conexões de Área de Trabalho Remota (RDP)...
ISH
Vulnerabilidade em Firewalls FortiGate crítica
Uma vulnerabilidade crítica catalogada como CVE-2023-27997 de pontuação CVSS:9,8 conhecida como XORtigate afeta os dispositivos Fortinet FortiOS e FortiProxy SSL-VPN, podendo permitir que um invasor remoto execute códigos ou comandos arbitrários por meio de solicitações criadas para exploração...
ISH
Kit de ferramentas maliciosas sofisticadas identificadas para macOS
Um kit de ferramentas maliciosas foram identificadas por pesquisadores as quais são integradas a um kit de ferramentas sofisticadas direcionadas para o sistema macOS da Apple. Os arquivos possuíam recursos de backdoor, aparentando ser de um kit de ferramentas de malwares para ataques complexos...
ISH
Nova vulnerabilidade FortiNAC da Fortinet
A Fortinet publicou uma atualização para resolver uma vulnerabilidade de segurança crítica que afetou a solução de controle de acesso à rede FortiNAC que poderia levar a execução de código arbitrário. A vulnerabilidade foi catalogada como CVE-2023-33299 e possui uma gravidade de 9,8 (crítica) e foi descrito como um caso de desserialização de objeto não confiável...
ISH
Vulnerabilidade no plug-in do WordPress
Uma vulnerabilidade divulgada recentemente expõe a falha de segurança crítica no plug-in de login e registro social do miniOrange para WordPress, na qual, poderá permitir que um cibercriminoso realize o login de forma ilícita. A vulnerabilidade possui a pontua 9,8 e foi catalogada como CVE-2023-2982...
ISH
Spyware Android GravityRAT identificado
Um malware do tipo spyware foi identificado para dispositivos Android e apelidado como GravityRAT. O malware era distribuído por meio de aplicativos de mensagens BingeChat e Chatico. O RAT (Remote Access Trojan) é conhecido como sendo utilizado por atores maliciosos desde o ano de 2015 e foi utilizado em ataques direcionados contra a Índia...
ISH
Nova campanha do ChromeLoader conhecida como Shampoo.
Uma campanha maliciosa foi descoberta por pesquisadores de segurança de um malware criada através de uma extensão de navegador Google Chrome. A extensão foi apelidada de ChromeLoader e a campanha maliciosa foi atribuída com o nome Shampoo...
ISH
Vulnerabilidade crítica do VMware Aria sendo explorada.
A empresa VMware informou recentemente que uma vulnerabilidade crítica que poderia acarretar a injeção de comandos recém corrigida no produto Aria Operations for Networks, a qual se trata de uma ferramenta de monitoramento de rede estaria sendo explorada ativamente por atores maliciosos. A vulnerabilidade foi catalogada como CVE-2023-20887...
ISH
Novo grupo de Ransomware identificado, Rhysida
Um novo grupo de ransomware foi identificado em maio de 2023 utilizando o nome de Rhysida, o qual após realizar a criptografia dos arquivos apresenta a nota de resgate indicando a vítima para acesso via rede Tor. O ransomware foi escrito na linguagem de programação C++ e compilada utilizando o MinGW...
ISH
Configuração incorreta do OAuth pode gerar incidentes
A configuração incorreta da infraestrutura de identidade e autenticação por meio do OAuth poderia ser explorada para garantir a escalação de privilégios em determinadas contas do Azure Active Directory (AD) por meio de configuração e troca de atributos...
ISH
Ransomware NoEscape identificado (RAAS)
Recentemente um novo programa de Ransomware-as-a-Service apelidado como “NoEscape” foi identificado sendo oferecido em um fórum de cibercrime no final de maio de 2023 e possuía o foco em rerutar novos afiliados para seu programa...
ISH
Patches de Atualizações para MOVEit publicados
A responsável pelo software Progress Software publicou uma nova rodada de patches para seus produtos MOVEit após pesquisadores identificarem uma vulnerabilidade zero day. A vulnerabilidade afetada o software MOVEit Transfer e Cloud Managed File Transfer (MFT), rastreada como CVE-2023-34362...
ISH
Afiliado de Ransomware da LockBit entrevistado
Um afiliado recém identificado pelo FBI, conhecido como Mikhail Pavlovich, um cidadão Russo que teria atuado com as operações de ransomware LockBit, Babuk e Hive apresentou detalhes de algumas tendências que podem ser observas a grupos de ransomware...
ISH
Grupo de ransomware com foco em serviços SaaS
Um grupo de ator malicioso denominado 0mega, realizou o ataque a um serviço de Sharepoint de uma organização na qual realizou a exfiltração dos dados, upload de nota de resgate e exclusão dos arquivos da organização, forçando que esta realizasse o pagamento. O ator malicioso conseguiu realizar movimento lateral e criação de contas administradoras...
ISH
CISA publica dois novos avisos de ICS
A CISA publicou dois novos avisos sobre Sistemas de Controles Industriais (ICS) acerca de problemas de segurança, vulnerabilidades e exploits relacionados. O aviso se limitou aos produtos ICSA-23-157-01 (Delta Electronics CNCSoft-B DOPSoft) e ICSA-23-157-01 (Mitsubishi Electric MELSEC série IQ-R/Série IQ-F)...
ISH
Ataque massivo de DDoS contra Outlook
No início de junho um grupo de agentes de ameaças conhecidos como Anonymous Sudan, alegou a autoria de um ataque massivo de DDoS contra os serviços da Microsoft, mais precisamente contra o serviço de Outlook (e-mails). A interrupção teria ocasionado o impedimento de diversos usuários em acessar o aplicativo móvel e também versão web...
ISH
Ransomware Cyclops utilizando Stealer para ataques
Outro grupo de ransomware surgiu na esfera de ataques cibernéticos, desta vez o denominado Cyclops Ransomware. Este grupo possui a operação no formato de RaaS (Ransomware-as-a-Service) e apresenta suporte para o afiliado, disponibilizando ainda um malware do tipo Stealer para realizar o roubo de informações...
ISH
Riscos e Recomendações para serviços RDP
A equipe de Inteligência da ISH, elaborou boletim sobre o protocolo de área de trabalho remota (RDP) alertando sobre o risco de estar disponível publicamente para que atores de ameaças possam realizar a exploração da porta. A exposição poderá ocasionar o acesso não autorizado, roubo de informações confidenciais, ransomware e ataques destrutivos, fraudes e atividades criminosas e comprometimento de rede e outros tipos de problemas...
ISH
Kit de phishing anunciado para domínios ZIP
Uma nova campanha utilizando um kit de phishing “File Archives In the Browser” foi identificada abusando de domínios ZIP, a qual apresenta para o usuário janelas falsas do Winrar ou do Windows File Explorer no navegador para convencer os usuários a executar o arquivo malicioso...
ISH
Campanha maliciosa contra Iphones Russos
Recentemente uma publicação no blog da empresa Kaspersky afirmou que um ataque cibernético extremamente completo teria sido direcionado a profissionais da empresa que utilizam dispositivos móveis da Apple. O ataque teria ocorrido por meio de malware do tipo spyware, atuando de forma discreta. Além da Kaspersky, a Federação Russa teria se manifestado afirmando que o governo do EUA teriam realizados ataques em conjunto com a Apple...
ISH
Patch Tuesday Microsoft - Junho
A Microsoft publicou em junho um patch de atualizações na segunda terça-feira (14) para corrigir 78 falhas de segurança, incluindo nestas falhas a possibilidade de execução remota de códigos...
ISH
Nova campanha maliciosa identificada, a Horabot
Uma campanha maliciosa utilizando o malware botnet Horabot foi identificada atuando na América Latina desde novembro de 2020. O referido malware é distribuído por meio de um trojan bancário e por uma ferramenta de spam, na qual poderá permitir que os atores maliciosos assumam o controle das contas de e-mail do Gmail, Outlook, Hotmail ou Yahoo da vítima e outras atividades maliciosas...
ISH
Nova ferramenta comercializada para evasão de seguranças
Uma ferramenta passou a ser comercializada em um fórum clandestino na dark web por um ator de ameaça. A ferramenta prometia realizar a finalização de serviços de seguranças, como Antivírus, EDRs e XDRs de diversas marcas e fornecedores. A ferramenta foi anunciada como “Terminator”...
ISH
BUG no WhatsApp prejudica a sua utilização
Um bug no aplicativo do WhatsApp permitia que qualquer pessoa na lista de contato enviassem uma mensagem em formato de link, na qual ao clicar o processo do whatsapp no dispositivo móvel Android encerrava-se. O aplicativo só retornava ao seu funcionamento correto após a exclusão da mensagem através do WhatsApp Web...
ISH
Novo malware para OT-ICS
Identificado recentemente um novo malware criado especialmente para produtos OT-ICS. O malware é conhecido como COSMICENERGY, e possui em interagir com dispositivos IEC-60870-5-104(IEC-104), os quais atuam como unidades terminais remotas (RTUs) que podem causar a interrupção de fornecimento de energia elétrica...
ISH
Análise da CVE-2023-27997 - FORTIOS
A fornecedora do produto FortiOS, Foritnet publicou ontem um comunicado referente a análise da CVE-2023-27997 que afeta os produtos de SSL-VPN na pré-autenticação, verificando-se que até o momento não houveram indícios de explorações, mas que a referida CVE será atribuída ao arsenal de atores maliciosos para explorações e acessos iniciais...
ISH
Serviços de Malware-as-a-Services
A equipe de inteligência da ISH, Heimdall apresentou neste boletim as principais plataformas e serviços de malware-as-a-service (MaaS) que realizam a venda de serviços de malware do tipo stealer. O referido malware possui o foco principal em realizar o roubo de informações e exfiltrações de arquivos, atuando ainda de forma anterior a um ataque ransomwares, realizando a exfiltração dos dados para canais C2...
ISH
Novo malware stealer identificado, ObserverStealer
A equipe de inteligência da ISH, Heimdall identificou a operação de um novo malware-as-a-service conhecido como ObserverStealer. O referido malware é comercializado em fóruns clandestinos e possui um valor abaixo dos demais MaaS já identificados e apresenta a função de realizar o roubo de informações e arquivos de uma vítima...
ISH
Vulnerabilidade no Fortigate SSL-VPN
Identificada uma vulnerabilidade rastreada pela CVE-2023-27997 para os produtos Fortigate em dispositivos FortiOS SSL VPN, o qual poderá ocasionar a execução remota de código mesmo que o MFA esteja habilitado. A aplicação de patch de atualização já está disponível para a referida vulnerabilidade...
ISH
Vulnerabilidades no Zimbra Collaboration Suite
Identificada uma vulnerabilidade de gravidade alta nas instancias do Zimbra Collaboration Suite, sendo identificada através da CVE-2022-27974, o que permite que um ator malicioso injete comandos maliciosos. O ator de ameaça poderá realizar o roubo de credenciais da conta de e-mail do ZCS ...
ISH
Alerta para falhas em dispositivos Samsung
A CISA publicou um alerta para uma vulnerabilidade de segurança que afeta os dispositivos da Samsung com Android nas versões 11, 12 e 13, as quais contêm uma inserção de informações confidenciais na vulnerabilidade do arquivo de log, o que permite um bypass pelo ator malicioso ...
ISH
Novo ransomwares identificado, 8base
Uma nova operação de ransomwares foi identificada, cujo nome adotado foi 8base Ransomware. Este grupo possui site de data leak e realizou o compartilhamento de dados de outras empresas atacadas, incluindo empresas brasileiras...
ISH
Aplicativo Android malicioso com mais de 50.000 instalações
Um aplicativo que se encontrava disponível na PlayStore para download foi confirmado como sendo malicioso e apresentava comportamentos de um trojan de acesso remoto (RAT). O aplicativo se encontrava com o nome iRecorder e foi baixado por mais de 50.000 usuários...
ISH
Patches de 38 vulnerabilidades da Microsoft
Em maio a Microsoft publicou um patch de atualização que realiza a correção de 38 vulnerabilidades de seus produtos, bem como anuncia quais são as vulnerabilidades que possuem riscos de serem exploradas ativamente por atores maliciosos...
ISH
Nova operação de Ransomware identificada, MalasLocker
Uma operação de ransomwares que utilizam vulnerabilidades de servidores Zumbra para realizar a exfiltração de dados de e-mails, bem como realizar a exfiltração dos dados da organização para posteriormente realizar a extorsão, conhecidos como MalasLocker...
ISH
Vulnerabilidade para os produtos MOVEit sendo explorada
Identifica que a vulnerabilidade MOVEit, atribuída ao número de CVE-2023-34362 na qual agentes maliciosos poderão realizar ataques de SQL Injection sobre a aplicação, podendo ocasionar a criação de backdoors e acesso a dados restritos...
ISH
Recomendações para portas abertas em Firewall
A equipe de inteligência da ISH, Heimdall alerta para organizações que mantém portas abertas em firewalls, as quais estarão sujeitas a ataques cibernéticos, bem como outras consequências como: acessos não autorizados, exploração de vulnerabilidades, propagações de malwares, ataques DoS e outros...
ISH
Malware XWORM explorando vulnerabilidades
Identificada uma nova campanha de phishing que utiliza uma cadeia de ataque exclusiva para distribuir o malware XWorm nos sistemas alvos. O malware é um malware commodity, o qual é anunciado a venda em fóruns clandestinos e utiliza a exploração da vulnerabilidade Follina...
ISH
Novo Ransomware Darkrace identificado
A equipe de pesquisa de inteligência, Heimdall identificou uma nova variante de ransomwares conhecida como Darkrace, o qual possui site de vazamento de dados. O referido ransomwares realiza a criptografia de determinados arquivos, bem como realiza a exclusão do log de eventos e encerra determinados processos...
ISH
Extensões maliciosas do VSCode são utilizadas para roubo de dados
Recentemente foram realizadas a análise de algumas extensões que podem ser instaladas no software VSCode, dentre as quais foram encontradas extensões que possuem comportamentos maliciosos, como roubo de dados, roubo de metadados sobre configurações do VSCode e a possibilidade de injeção de códigos...