segurança

Boletins de Segurança - Heimdall Security Research

O Heimdall, grupo de Threat Intelligence da ISH, apresenta os boletins sobre agentes de ameaças, Malwares utilizados por grupos maliciosos, Indicadores de Comprometimento, Técnicas, Táticas e Procedimentos (TTPs) e Análises de Artefatos e Mitigações, visando a prevenção de ataques e a evolução da maturidade da segurança cibernética.

ISH

Dicas para evitar ataques de DNS Spoofing

Neste boletim, para que a organização não seja vítima de ataques do tipo DNS Spoofing, o qual caso seja identificado o ataque poderá ser utilizado para redirecionar usuários para sites maliciosos, bem como causar diversos prejuízos a organização, tanto financeiro quanto a sua reputação, mencionamos medidas a serem adotadas para utilizar o DNSSEC e melhorar a maturidade de segurança...

ISH

Ator de ameaça garantindo persistência de 6 meses em rede ICS

Um grupo de ameaças conhecido como Redfly teria realizado a invasão a uma organização nacional de rede elétrica na Ásia e manteve seu acesso por seis meses. A descoberta foi publicada pela empresa Symantec, a qual encontrou evidências do malware ShadowPad...

ISH

Novos malwares Stealers identificados para macOS

Pesquisadores de segurança de segurança identificaram uma série de novas famílias de infostealers, como MacStealer, Pureland, Atomic Stealer e RealStealer, bem como o boletim apresentado possui o foco em apresentar detalhes da análise do MetaStealer, cuja análise foi realizada pelo SentinelOne...

ISH

Vulnerabilidades críticas do Google Chrome

Três vulnerabilidades foram identificadas como críticas e zero day par ao Google Chrome, as quais foram catalogadas como CVE-2023-2033, CVE-2023-2136 e CVE-2023-3079 todas estas vulnerabilidades críticas...

ISH

Ator de ameaça iraniano focando Brasil

O ator de ameaça conhecido como Charming Kiten teria sido associado a uma nova onda de ataques a diferentes entidades no Brasil e em outros dois países, Israel e Emirados Árabes Unidos. O ator estaria utilizando um backdoor anteriormente então documentado como Sponsoring...

ISH

Utilização do ScreenConnect para acesso remoto por atacantes

No início do ano de 2023, a Heimdall observou campanhas que utilizaram-se de e-mails phishing as quais encaminharam o usuário a realizar o download de ferramentas de gerenciamento remoto conhecida como ScreenConnect, a qual pode ser utilizada para acesso remotos por atacantes e dar prosseguimentos a ataques cibernéticos de vários tipos...

ISH

Falhas de segurança encontradas no Nagios XI

Uma ferramenta popular de monitoramento de rede utilizada por organizações para monitorar a integridade e desempenho de ativos foi identificada como vulnerável devido falhas de segurança. As vulnerabilidades catalogadas como: CVE-2023-40931, CVE-2023-40933 e CVE-2023-40934 possibilitam que usuários de diferentes níveis de autorizações explorem vulnerabilidades de SQL Injection...

ISH

Apple publica atualizações urgentes

A APPLE publicou novas taulizações de segurança de emergência para corrigir três novas vulnerabilidades de 0 day exploradas em ataques direcionados a usuários do Iphone e MAC. As vulnerabilidades incluem: Elevação de privilégios, Ignorar Validações de Assinaturas e Execução arbitrária de Código, todas as vulnerabilidades catalogadas e descritas neste boletim...

ISH

Akira ransomware explorando VPN Cisco

Foi identificado que os atores de ameaças do ransomware Akira estariam focando seus ataques em organizações alvo que utilizam VPNs da Cisco, as quais não possuem habilitado a configuração de autenticação multifator (MFA) para os usuários. Vale salientar que este método é utilizado para fins de acessos iniciais a redes das organizações...

ISH

Ataques a cadeias de suprimentos

A equipe de inteligência, Heimdall realizou a elaboração de alerta acerca dos ataques voltados a cadeia de suprimentos. Este termo refere-se ao conjunto de processos e atividades relacionadas a produção, transporte, armazenamento e entrega de produtos ou serviços ao cliente final...

ISH

CVE-2023-5009 – vulnerabilidade no GitLab

Uma atualização do GitLab foi divulgada para resolver uma vulnerabilidade classificada como crítica e catalogada como CVE-2023-5009, com pontuação de 9,6. A referida vulnerabilidade possibilita que um ator malicioso execute pipelines em nome de outros usuários...

ISH

Vulnerabilidades CVE-2023-34984 e CVE-2023-29183 Fortinet

A empresa Fortinet anunciou correções de segurança e alertou para duas vulnerabilidades com classificações de severidade alta para seus produtos FortiWeb, FortiOS e FortiProxy afetados pelas vulnerabilidades catalogadas como CVE-2023-34984 e CVE-2023-29183...

ISH

Identificação de malware Kmsdbot para dispositivos iot

Um malware identificado pela Akamai, conhecido como KMSDBOT teria revelado uma campanha utilizando o binário KMSDX atualizado e direcionado a dispositivos IoT (Internet das Coisas). O binário possui como alvo a expansão para realizar ataques através de uma Botnet...

ISH

Correção de diversas vulnerabilidades Cisco

A Cisco publicou a correção de três falhas de alta gravidade nos softwares NX-OS e FXOS que poderiam ser utilizados para fins de causar negações de serviços (DoS). As vulnerabilidades foram catalogadas como CVE-2023-20200, CVE-2023-20169, CVE-2023-20168 e CVE-2023-20115...

ISH

Vulnerabilidade Juniper Web Device

Multiplas vulnerabilidades no componente J-Web do Juniper Networks Juno OS nas séries SRX e EX foram resolvidas por meio de aplicações de correções. As vulnerabilidades identificadas e catalogadas como: CVE-2023-36844, CVE-2023-36845 e CVE-2023-36847...

ISH

Campanha do malware DarkGate identificada

A equipe de inteligência coletou informações sobre um malware documentado e identificado pela primeira vez em 2018 conhecido e apelidado como DarkGate (também conhecido como MehCrypter). O malware atua como um loader de comodities com recursos que incluem a capacidade de baixar e executar arquivos em memória...

ISH

Cisa alerta para exploração de vulnerabilidades

A CISA emitiu um alerta sobre atores patrocinados por estado-nação que estariam se aproveitando de vulnerabilidades no Fortinet FortiOS SSL VPN e Zoho ManageEngine ServiceDesk Plus, ambas catalogadas como: CVE-2022-47966 e CVE-2022-42475 as quais poderiam ser utilizada para invasão de rede da organização...

ISH

Zero day para produtos Adobe

A Adobe publicou recentemente atualizações de segurança para corrigir uma vulnerabilidade de 0 day explorada no Acrobat e no Reader. A vulnerabilidade foi catalogada como CVE-2023-26369 de pontuação 8,8 (alta), podendo ocasionar a execução de códigos maliciosos...

ISH

Patch Tuesday Microsoft - Setembro

A Microsoft publicou o seu path Tuesday do mês de setembro. O patch apresentou atualizações a 59 falhas, sendo que duas vulnerabilidades corrigidas são de 0 day e exploradas ativamente por atores maliciosos...

ISH

CVE-2023-32315-OpenFire

A equipe de inteligência da ISH alerta para a vulnerabilidade catalogada como CVE-2023-32315 do OpenFire, o qual se trata de um servidor XMPP. A vulnerabilidade pode permitir um ataque de “path traversal”, onde um ator use o OpenFire para acessar páginas restritas. Em pesquisa, 1.048 servidores estão vulneráveis somente no Brasil...

ISH

CVE-2023-26359 – Adobe ColdFusion

A equipe de inteligência da ISH alerta para as vulnerabilidades em produtos Adobe ColdFusion já que apresenta uma determinada preocupação para os ambientes cibernéticos de organizações. A vulnerabilidade identificada afeta as versões 1028 update 15 e anteriores que poderá ocasionar a execução arbitrária de código (RCE) por atores maliciosos...

ISH

Detalhes da operação do Cuba Ransomware

Com base no relatório dos pesquisadores da BlackBerry, foram identificadas ferramentas utilizadas pelo grupo de Ransomware denominado Cuba. Este grupo está em seu quarto ano de operação e não teria apresentado sinais de desaceleração nas suas operações...

ISH

Vulnerabilidades identificadas como exploradas Julho e Agosto

A equipe de inteligência da ISH, com base na pesquisa e coleta de informações listou as principais vulnerabilidades identificadas como exploradas em Julho e Agosto, as quais foram adicionadas ao catálogo da CISA como vulnerabilidades utilizadas por atores maliciosos...

ISH

Nova versão do Ransomware Monti para máquinas Linux

O grupo de ransomware Monti possui variantes baseadas em sistemas operacionais Windows e Linux e acabou por chamar atenção dos pesquisadores devido a sua notável semelhança com o Ransomware Conti. O grupo também teria além do mesmo código, emulado táticas, técnicas e procedimentos amplamente conhecidos do grupo Conti.

ISH

Vulnerabilidade no Jorani versões anteriores a 1.0.2

A equipe de Inteligência de Ameaças da ISH alerta para a vulnerabilidade catalogada como CVE-2023-26469, na qual trata-se de uma vulnerabilidade no Jorani que poderá permitir um path transversal para acessar arquivos e executar um determinado código no servidor. De acordo com a CVE, esta apresenta a Base de Pontuação 9,8 (crítico) e, pesquisando sobre a vulnerabilidade, identificamos 6 servidores potencialmente vulneráveis existentes no Brasil...

ISH

Vulnerabilidade do plug-in Forminator do WordPress

A equipe de Inteligência de Ameaças da ISH alerta para a vulnerabilidade catalogada como CVE-2023-4596, na qual trata-se de uma vulnerabilidade no plug-in Forminator do WordPress, o qual foi considerado crítico com a pontuação de 9,8. Em pesquisas foram identificados 396 sites apenas no Brasil que estariam potencialmente vulneráveis...

ISH

Campanhas de phishing para o Brasil e Espanha

A equipe de Inteligência de Ameaças da ISH coletou informações com base em relatórios tornados públicos de campanhas de e-mails de phishing criadas nas línguas de português e espanhol. Vale salientar que os e-mails são criados se passando por instituições bancárias brasileiras e espanholas...

ISH

Ataques comuns em 2023

Considerando que um ataque cibernético é um tipo de ação maliciosa praticada por alguns indivíduos, grupos ou organizações que visam explorar algum tipo de vulnerabilidade, fornecemos alguns dos principais tipos de ataques que foram identificados em 2023...

ISH

Ransomware Rhysida e suas operações

PeO HC3 acabou por divulgar um alerta de segurança sobre um novo ransomware conhecido como Rhysida, o qual estaria ativo desde maio de 2023. A operação do Ransomware ainda não está muito clara com relação a origem ou afiliações...

ISH

Táticas, técnicas e procedimentos comuns contra Organizações Industriais

Pesquisadores publicaram informações sobre as táticas, técnicas e procedimentos comuns de ataques contra organizações industriais, sendo salientado que o relatório obtido pela Heimdall foi publicado pela Kaspersky e elaborado em 2022 com base em informações e investigações de diversos ataques contra organizações industriais na Europa Oriental...

ISH

Campanha de aquisição de contas na nuvem

Pesquisadores de segurança cibernética identificaram um aumento de mais de 100% em incidente de aquisições de contas na nuvem afetando executivos de alto nível em empresas. De acordo com os pesquisadores, 100 organizações foram visadas globalmente. Os atores de ameaças utilizaram a ferramenta de phishing EvilProxy, a qual é baseada em uma arquitetura de proxy reverso, permitindo aos invasores de roubar credenciais protegidas por MFA e cookies...

ISH

Novo grupo de Ransomware, Yashma

A Cisco Talos teria identificado um novo agente de ameaça desconhecido de origem vietnamita, o qual teria iniciado suas operações em junho de 2023 utilizando uma variante do Ransomware Yashma, adicionando até mesmo características de funcionamento do Ransomware WannCry. O referido agente de ameaça teria utilizado repositórios no GitHub para que seja realizada o download da Nota de Resgate do ataque, diferente das demais operações de Ransomwares...

ISH

Novas vulnerabilidades em produtos Cisco

A Cisco teria divulgado alertas de segurança para vulnerabilidades de classificação alta que afetam vários produtos, na qual o agente de ameaça poderia explorar algumas das vulnerabilidades para assumir o controle de um sistema afetado ou causar uma condição de negação de serviços...

ISH

Falha de segurança descoberta no software PaperCut

O Software PaperCut é um software de gerenciamento de impressão e cópia que ajuda as empresas a monitorar e controlar seus custos de impressões. Recentemente fora descoberta por pesquisadores uma nova falha de segurança classificada como crítica, permitindo a execução remota de código (RCE)...

ISH

Patch Tuesday agosto – Microsoft

A Microsoft por meio da publicação do Patch Tuesday compartilhou neste mês de agosto a correção de algumas vulnerabilidades ofertados pela empresa. Como destaque das atualizações foram as CVEs: CVE-2023-38157, correspondente a uma vulnerabilidade de bypass no Microsoft Edge e CVE-2023-4071, correspondente a uma vulnerabilidade de estouro de buffer no heap do Visuals entre outras vulnerabilidades.

ISH

CVE-2023-38035 - Ivanti

Vulnerabilidade de segurança no MICS Admin Portal no Ivanti poderá permitir que invasores ignorem os controles de autenticações na interface administrativa devido a uma configuração Apache HTTPD insuficiente restritiva...

ISH

Campanha maliciosa para servidores Redis

O malware conhecido como Skidmap, um minerador de criptomoeda detectado pela Trend Micro foi identificado em setembro de 2019 visando máquinas Linux. O código utilizou rootkits no modo kernel para evitar a detecção, diferindo de mineradores semelhantes...

ISH

Principais vulnerabilidades de 2022

A ISH tecnologia, apresenta as principais vulnerabilidades exploradas de 2022 por atores de ameaças, focando principalmente nos dados fornecidos pelas organizações CISA, NSA e FBI.

ISH

Campanha de malware direcionada contra cibercriminosos

Uma campanha de malware foi observada fazendo a utilização de arquivos de configurações do OpenBullet para atingir criminosos cibernéticos inexperientes com o objetivo de fornecer um trojan de acesso remoto (RAT) com a capacidade de roubar informações confidenciais...

ISH

Utilização do PowerShell em ataques cibernéticos

O PowerShell, por ser uma ferramenta extremamente poderosa desenvolvida pela Microsoft está sendo utilizada em organizações para diversas finalidades, bem como devido a sua facilidade e utilidade a referida ferramenta passou a ser utilizada por cibercriminosos. A utilização desta ferramenta poderá ser realizada por estes cibercriminosos para fins de reconhecimento, movimentação lateral em uma rede infectada e também para fins de garantia de persistência na máquina comprometida...

ISH

Executáveis do Microsoft Office poderá ser abusado por cibercriminosos

A lista de arquivos LOLBAS (living-on-the-land-binaries and scripts) foi atualizado com base na identificação de ferramentas incluídas no Windows que podem ser utilizados para fins maliciosos, como utilizar executáveis do Microsoft Office para download de arquivos em sites...

ISH

Novas campanhas o Stealer Rilide

Recentemente foi identificada uma nova campanha da extensão maliciosa do malware Rilide Stealer criado para navegadores Chromes. A campanha foi direcionada a usuários que utilizam criptomoedas e funcionários corporativos, visando principalmente o roubo de informações e dados...

ISH

Vulnerabilidades exploradas em ataques

A equipe de inteligência da ISH, Heimdall elaborou alerta sobre a vulnerabilidades de classificações críticas que tem sido explorada em ataques cibernéticos por atores de ameaças. As vulnerabilidades incluem produtos da Zimbra, Adobe, Netscaler e outras...

ISH

FraudGPT, uma nova ferramenta para o cibercrime

Atores de ameaças estão utilizando mais uma ferramenta de inteligência artificial (IA) que pode ser utilizada para fins de crimes cibernéticos conhecida como FraudGPT. A ferramenta anda em conjunto com outra ferramenta de IA, WormGPT, sendo que ambas estão sendo divulgadas em mercados da Dark Web...

ISH

Malware para macOS conhecido como “Realst”

Um novo malware conhecido como “Realst” foi identificado para sistemas macOS e propagado por meio de uma campanha massiva. O malware inclui suporte para macOS 14 Sonoma como uma de suas variantes mais recentes. O malware é utilizado para roubo de dados de navegadores e de aplicativos de carteiras virtuais...

ISH

Telegram, uma arma para cibercriminosos

A equipe de Inteligência da ISH, elaborou alerta sobre a plataforma Telegram, a qual é utilizada pelo cibercrime para realização de diversas operações criminosas, como venda de dados corporativos, venda de produtos ilegais, hacktivismo, vazamento de dados, entorpecentes e outros tipos de vendas ilícitas

ISH

WORMGPT, uma IA para cibercriminosos

Atores maliciosos conseguiram realizar a criação de uma ferramenta utilizada como Inteligência Artificial (IA) que poderá gerar texto em linguagem natural a partir de uma determinada entrada ou contexto. Ela é baseada na arquitetura GPT-3, com algumas modificações e melhorias para atender a pedidos maliciosos...

ISH

Adobe alerta sobre vulnerabilidade!

A Adobe lançou atualizações de segurança para as versões 2023, 2021 e 2018 do ColdFusion, na qual as atualizações resolvem vulnerabilidades críticas e importantes que podem levar à execução arbitrária de código e desvio de recursos de segurança...

ISH

Ataques utilizando USB retornam

Os ataques através de dispositivos USBs, também conhecidos como “USB-based malware attacks” podem representar uma ameaça significativa a segurança cibernética das organizações, sendo esta uma tática empregada por cibercriminosos para...

ISH

RedDriver, malware realizando sequestro de navegadores

Pesquisadores de seguranças publicaram uma análise sobre um driver malicioso não documento apelidado como “RedDriver”, o qual realiza a operação de sequestro de navegadores baseado em driver que utiliza a Windows Filtering Platform...

ISH

Grupo de APT foca em produtos ICS

Um grupo de ameaça persistente avançada (APT) foi identificado realizando a exploração de vulnerabilidades de produtos da empresa Rockwell Automation. As vulnerabilidades poderiam ocasionar a interrupção ou destruição de operações em infraestruturas críticas...

ISH

Ransomware Big Head e suas variantes

Uma nova família de ransomware foi identificada possuindo diversas variantes. A família de ransomware surgiu em meados de maio de 2023 sendo sua operação conhecida como Big Head Ransomware. A identificação ocorreu por meio de pesquisadores da Trend Micro...

ISH

Vulnerabilidade crítica CVE-2023-30799

Uma nova vulnerabilidade catalogada como CVE-2023-30799 de pontuação crítica foi divulgada e poderá ocasionar a escalação de privilégios. A vulnerabilidade afeta os produtos MikroTik RouterOS nas versões anteriores a 6.49.7 a 6.48.6. De acordo com pesquisas realizadas o Brasil possui o maior número de sistemas disponíveis em comparação a outros países, gerando este alerta quanto a utilização desta CVE para ataques cibernéticos...

ISH

Novo malware para América Latina, Trojan Toitoin

Uma nova campanha de malware completamente sofisticado e persistente voltado para empresas na América Latina, cuja campanha está entregando o Trojan conhecido como ToiToin, sendo utilizada a infecção desta campanha através de diversos estágios. A pesquisa foi divulgada pela Zscaler, onde identificou diversos módulos personalizados...

ISH

Grupo de Ransomware, Mallox empregando novas técnicas

O grupo de ransomware conhecido como “TargetCompany” identificado pela primeira vez em junho de 2021 acabou por ganhar atenção para sua operação devido após a criptografia adicionar a extensão “.mallox” aos arquivos criptografados. O referido grupo foi atribuído na operação do Ransomware Mallox, o qual utilizando um BatLoader para realizar a sua implantação do payload para criptografia...

ISH

RedEnergy, Ransomware-as-a-Stealer

Uma variante de malware foi identificada e atribuída com o nome de Stealer RedEnergy, o qual durante a sua operação se enquadrou na categoria híbrida de malware “Stealer-as-a-Ransomware”. O referido malware possui o foco em organizações de setores públicos de energia, petróleo, gás e telecomunicações de países como Brasil e Filipinas...

ISH

Operadores do Ransomware Crysis com outros Ransomwares

Um ator de ameaça que atua na operação de Ransomware Crysis foi observado por pesquisadores de segurança utilizando ativamente o ransomware Venus em suas operações. Ambos os atores e ataques identificados foram utilizados acesso de serviços remotos (RDP) para execução...

ISH

Vulnerabilidades Citrix de nível crítico

A empresa Citrix publicou aviso sobre a descoberta e divulgação de 3 vulnerabilidades em produtos, sendo catalogadas como CVE-2023-3519, CVE-2023-3466 e CVE-2023-3467. A vulnerabilidade CVE-2023-3519 poderá ocasionar a execução de código remoto não autenticado, com a gravidade crítica (9,8)...

ISH

Extensões de navegadores maliciosas são identificadas

Recentemente foi identificado a existência de extensões na Chrome Web Store que apresentaram comportamento maliciosos. Uma das extensões analisadas pelo pesquisador apontou o download de mais de 87 milhões. As extensões foram carregadas e deixadas disponíveis entre os anos de 2021 e 2022, sendo identificado a existência de um grande período para que usuários possam se infectar...

ISH

Nova campanha do trojan ANATSA

Um trojan bancário desenvolvido para dispositivos Android conhecido como Anatsa foi identificado utilizando campanhas de droppers através da Google Play Store, sendo identificado a instalação de mais de 30.000 usuários. A empresa ThreatFabric divulgou um relatório detalhado sobre a análise dos artefatos...

ISH

CISA publica alerta sobre vulnerabilidades ICS

A CISA publicou alerta sobre uma vulnerabilidade para os produtos “Hitachi Energy FOXMAN-UM e UNEM” do fornecedor Hitachi Energy. A referida vulnerabilidade poderá permitir que atores maliciosos acessem informações confidenciais dos referidos produtos...

ISH

Variante da Botnet MIRAI explorando produtos IoT

Uma nova variante da botnet conhecida como Mirai está explorando vulnerabilidades em dispositivos da Internet das Coisas (IOT) visando infectar e tornar mais um dispositivo da botnet. As vulnerabilidades exploradas são dos produtos da: D-link, Arris, Zyxel, TP-Link, Tenda, Netgear, MediaTek e outros...

ISH

Ator de ameaça STORM-0978 explorando vulnerabilidades

A Microsoft identificou uma campanha de phishing direcionada pelo agente de ameaça rastreado e identificado como Storm-0978 visando entidades governamentais e de defesa na Europa e na América do Norte. A referida campanha estaria explorando uma vulnerabilidade catalogada como CVE-2023-36884, a qual se trata de uma vulnerabilidade que causa execução remota de código explorada...

ISH

Atualizações para CVE-2023-33308 - Fortinet

A FORTINET publicou atualizações para a vulnerabilidade catalogada como CVE-2023-33308, a qual poderia permitir que atores maliciosos executassem códigos remotos através de estouro de pilha nos produtos FortiOS e FortiProxy. A vulnerabilidade possui a pontuação de 9,8, considerada crítica. No seu comunicado, a empresa recomendou que seja realizada a atualização dos produtos...

ISH

Novos grupos de Ransomware em Maio e Junho

A equipe de inteligência de ameaças da ISH identificou o surgimento de pelo menos até a 2ª quinzena de junho, 13 (treze) novos grupos de ransomwares que realizam a dupla extorsão em suas vítimas. Após a exfiltração dos dados, realizam a criptografia e encaminham a vítima para negociação...

ISH

Stealer Meduza identificado como serviço MaaS

Um ator de ameaça publicou em um fórum clandestino Russo a venda de um malware-as-a-service do tipo Stealer, identificado como Meduza. O referido malware segundo análise teria código fonte e funções similares ao malware Aurora Stealer...

ISH

Apple publica atualizações para 0day

A Apple publicou atualizações de segurança para corrigir falhas de zero day exploradas ativamente em produtos. As atualizações foram realizadas para sistemas iOS, macOS e watchOS, na qual cobriram defeitos de segurança no kernel e no WebKit, os quais foram explorados por atores...

ISH

Novo grupo de Ransomware Identificado, RA Group

Um novo grupo de ransomware conhecido como RA Group, o qual estaria operando desde meados de abril de 2023 foi identificado. O ransomware possui similaridades com o código-fonte vazado do Ransomware Babuk em 2021...

ISH

Campanha de ciberespionagem utilizando RDStealer

Uma campanha de ciberespionagem foi identificada como “RedClouds” utilizando um malware personalizado e catalogado como RDStealer, o qual visa roubar dados automaticamente de unidades compartilhadas por meio de conexões de Área de Trabalho Remota (RDP)...

ISH

Vulnerabilidade em Firewalls FortiGate crítica

Uma vulnerabilidade crítica catalogada como CVE-2023-27997 de pontuação CVSS:9,8 conhecida como XORtigate afeta os dispositivos Fortinet FortiOS e FortiProxy SSL-VPN, podendo permitir que um invasor remoto execute códigos ou comandos arbitrários por meio de solicitações criadas para exploração...

ISH

Kit de ferramentas maliciosas sofisticadas identificadas para macOS

Um kit de ferramentas maliciosas foram identificadas por pesquisadores as quais são integradas a um kit de ferramentas sofisticadas direcionadas para o sistema macOS da Apple. Os arquivos possuíam recursos de backdoor, aparentando ser de um kit de ferramentas de malwares para ataques complexos...

ISH

Nova vulnerabilidade FortiNAC da Fortinet

A Fortinet publicou uma atualização para resolver uma vulnerabilidade de segurança crítica que afetou a solução de controle de acesso à rede FortiNAC que poderia levar a execução de código arbitrário. A vulnerabilidade foi catalogada como CVE-2023-33299 e possui uma gravidade de 9,8 (crítica) e foi descrito como um caso de desserialização de objeto não confiável...

ISH

Vulnerabilidade no plug-in do WordPress

Uma vulnerabilidade divulgada recentemente expõe a falha de segurança crítica no plug-in de login e registro social do miniOrange para WordPress, na qual, poderá permitir que um cibercriminoso realize o login de forma ilícita. A vulnerabilidade possui a pontua 9,8 e foi catalogada como CVE-2023-2982...

ISH

Spyware Android GravityRAT identificado

Um malware do tipo spyware foi identificado para dispositivos Android e apelidado como GravityRAT. O malware era distribuído por meio de aplicativos de mensagens BingeChat e Chatico. O RAT (Remote Access Trojan) é conhecido como sendo utilizado por atores maliciosos desde o ano de 2015 e foi utilizado em ataques direcionados contra a Índia...

ISH

Nova campanha do ChromeLoader conhecida como Shampoo.

Uma campanha maliciosa foi descoberta por pesquisadores de segurança de um malware criada através de uma extensão de navegador Google Chrome. A extensão foi apelidada de ChromeLoader e a campanha maliciosa foi atribuída com o nome Shampoo...

ISH

Vulnerabilidade crítica do VMware Aria sendo explorada.

A empresa VMware informou recentemente que uma vulnerabilidade crítica que poderia acarretar a injeção de comandos recém corrigida no produto Aria Operations for Networks, a qual se trata de uma ferramenta de monitoramento de rede estaria sendo explorada ativamente por atores maliciosos. A vulnerabilidade foi catalogada como CVE-2023-20887...

ISH

Novo grupo de Ransomware identificado, Rhysida

Um novo grupo de ransomware foi identificado em maio de 2023 utilizando o nome de Rhysida, o qual após realizar a criptografia dos arquivos apresenta a nota de resgate indicando a vítima para acesso via rede Tor. O ransomware foi escrito na linguagem de programação C++ e compilada utilizando o MinGW...

ISH

Configuração incorreta do OAuth pode gerar incidentes

A configuração incorreta da infraestrutura de identidade e autenticação por meio do OAuth poderia ser explorada para garantir a escalação de privilégios em determinadas contas do Azure Active Directory (AD) por meio de configuração e troca de atributos...

ISH

Ransomware NoEscape identificado (RAAS)

Recentemente um novo programa de Ransomware-as-a-Service apelidado como “NoEscape” foi identificado sendo oferecido em um fórum de cibercrime no final de maio de 2023 e possuía o foco em rerutar novos afiliados para seu programa...

ISH

Patches de Atualizações para MOVEit publicados

A responsável pelo software Progress Software publicou uma nova rodada de patches para seus produtos MOVEit após pesquisadores identificarem uma vulnerabilidade zero day. A vulnerabilidade afetada o software MOVEit Transfer e Cloud Managed File Transfer (MFT), rastreada como CVE-2023-34362...

ISH

Afiliado de Ransomware da LockBit entrevistado

Um afiliado recém identificado pelo FBI, conhecido como Mikhail Pavlovich, um cidadão Russo que teria atuado com as operações de ransomware LockBit, Babuk e Hive apresentou detalhes de algumas tendências que podem ser observas a grupos de ransomware...

ISH

Grupo de ransomware com foco em serviços SaaS

Um grupo de ator malicioso denominado 0mega, realizou o ataque a um serviço de Sharepoint de uma organização na qual realizou a exfiltração dos dados, upload de nota de resgate e exclusão dos arquivos da organização, forçando que esta realizasse o pagamento. O ator malicioso conseguiu realizar movimento lateral e criação de contas administradoras...

ISH

CISA publica dois novos avisos de ICS

A CISA publicou dois novos avisos sobre Sistemas de Controles Industriais (ICS) acerca de problemas de segurança, vulnerabilidades e exploits relacionados. O aviso se limitou aos produtos ICSA-23-157-01 (Delta Electronics CNCSoft-B DOPSoft) e ICSA-23-157-01 (Mitsubishi Electric MELSEC série IQ-R/Série IQ-F)...

ISH

Ataque massivo de DDoS contra Outlook

No início de junho um grupo de agentes de ameaças conhecidos como Anonymous Sudan, alegou a autoria de um ataque massivo de DDoS contra os serviços da Microsoft, mais precisamente contra o serviço de Outlook (e-mails). A interrupção teria ocasionado o impedimento de diversos usuários em acessar o aplicativo móvel e também versão web...

ISH

Ransomware Cyclops utilizando Stealer para ataques

Outro grupo de ransomware surgiu na esfera de ataques cibernéticos, desta vez o denominado Cyclops Ransomware. Este grupo possui a operação no formato de RaaS (Ransomware-as-a-Service) e apresenta suporte para o afiliado, disponibilizando ainda um malware do tipo Stealer para realizar o roubo de informações...

ISH

Riscos e Recomendações para serviços RDP

A equipe de Inteligência da ISH, elaborou boletim sobre o protocolo de área de trabalho remota (RDP) alertando sobre o risco de estar disponível publicamente para que atores de ameaças possam realizar a exploração da porta. A exposição poderá ocasionar o acesso não autorizado, roubo de informações confidenciais, ransomware e ataques destrutivos, fraudes e atividades criminosas e comprometimento de rede e outros tipos de problemas...

ISH

Kit de phishing anunciado para domínios ZIP

Uma nova campanha utilizando um kit de phishing “File Archives In the Browser” foi identificada abusando de domínios ZIP, a qual apresenta para o usuário janelas falsas do Winrar ou do Windows File Explorer no navegador para convencer os usuários a executar o arquivo malicioso...

ISH

Campanha maliciosa contra Iphones Russos

Recentemente uma publicação no blog da empresa Kaspersky afirmou que um ataque cibernético extremamente completo teria sido direcionado a profissionais da empresa que utilizam dispositivos móveis da Apple. O ataque teria ocorrido por meio de malware do tipo spyware, atuando de forma discreta. Além da Kaspersky, a Federação Russa teria se manifestado afirmando que o governo do EUA teriam realizados ataques em conjunto com a Apple...

ISH

Patch Tuesday Microsoft - Junho

A Microsoft publicou em junho um patch de atualizações na segunda terça-feira (14) para corrigir 78 falhas de segurança, incluindo nestas falhas a possibilidade de execução remota de códigos...

ISH

Nova campanha maliciosa identificada, a Horabot

Uma campanha maliciosa utilizando o malware botnet Horabot foi identificada atuando na América Latina desde novembro de 2020. O referido malware é distribuído por meio de um trojan bancário e por uma ferramenta de spam, na qual poderá permitir que os atores maliciosos assumam o controle das contas de e-mail do Gmail, Outlook, Hotmail ou Yahoo da vítima e outras atividades maliciosas...

ISH

Nova ferramenta comercializada para evasão de seguranças

Uma ferramenta passou a ser comercializada em um fórum clandestino na dark web por um ator de ameaça. A ferramenta prometia realizar a finalização de serviços de seguranças, como Antivírus, EDRs e XDRs de diversas marcas e fornecedores. A ferramenta foi anunciada como “Terminator”...

ISH

BUG no WhatsApp prejudica a sua utilização

Um bug no aplicativo do WhatsApp permitia que qualquer pessoa na lista de contato enviassem uma mensagem em formato de link, na qual ao clicar o processo do whatsapp no dispositivo móvel Android encerrava-se. O aplicativo só retornava ao seu funcionamento correto após a exclusão da mensagem através do WhatsApp Web...

ISH

Novo malware para OT-ICS

Identificado recentemente um novo malware criado especialmente para produtos OT-ICS. O malware é conhecido como COSMICENERGY, e possui em interagir com dispositivos IEC-60870-5-104(IEC-104), os quais atuam como unidades terminais remotas (RTUs) que podem causar a interrupção de fornecimento de energia elétrica...

ISH

Análise da CVE-2023-27997 - FORTIOS

A fornecedora do produto FortiOS, Foritnet publicou ontem um comunicado referente a análise da CVE-2023-27997 que afeta os produtos de SSL-VPN na pré-autenticação, verificando-se que até o momento não houveram indícios de explorações, mas que a referida CVE será atribuída ao arsenal de atores maliciosos para explorações e acessos iniciais...

ISH

Serviços de Malware-as-a-Services

A equipe de inteligência da ISH, Heimdall apresentou neste boletim as principais plataformas e serviços de malware-as-a-service (MaaS) que realizam a venda de serviços de malware do tipo stealer. O referido malware possui o foco principal em realizar o roubo de informações e exfiltrações de arquivos, atuando ainda de forma anterior a um ataque ransomwares, realizando a exfiltração dos dados para canais C2...

ISH

Novo malware stealer identificado, ObserverStealer

A equipe de inteligência da ISH, Heimdall identificou a operação de um novo malware-as-a-service conhecido como ObserverStealer. O referido malware é comercializado em fóruns clandestinos e possui um valor abaixo dos demais MaaS já identificados e apresenta a função de realizar o roubo de informações e arquivos de uma vítima...

ISH

Vulnerabilidade no Fortigate SSL-VPN

Identificada uma vulnerabilidade rastreada pela CVE-2023-27997 para os produtos Fortigate em dispositivos FortiOS SSL VPN, o qual poderá ocasionar a execução remota de código mesmo que o MFA esteja habilitado. A aplicação de patch de atualização já está disponível para a referida vulnerabilidade...

ISH

Vulnerabilidades no Zimbra Collaboration Suite

Identificada uma vulnerabilidade de gravidade alta nas instancias do Zimbra Collaboration Suite, sendo identificada através da CVE-2022-27974, o que permite que um ator malicioso injete comandos maliciosos. O ator de ameaça poderá realizar o roubo de credenciais da conta de e-mail do ZCS ...

ISH

Alerta para falhas em dispositivos Samsung

A CISA publicou um alerta para uma vulnerabilidade de segurança que afeta os dispositivos da Samsung com Android nas versões 11, 12 e 13, as quais contêm uma inserção de informações confidenciais na vulnerabilidade do arquivo de log, o que permite um bypass pelo ator malicioso ...

ISH

Novo ransomwares identificado, 8base

Uma nova operação de ransomwares foi identificada, cujo nome adotado foi 8base Ransomware. Este grupo possui site de data leak e realizou o compartilhamento de dados de outras empresas atacadas, incluindo empresas brasileiras...

ISH

Aplicativo Android malicioso com mais de 50.000 instalações

Um aplicativo que se encontrava disponível na PlayStore para download foi confirmado como sendo malicioso e apresentava comportamentos de um trojan de acesso remoto (RAT). O aplicativo se encontrava com o nome iRecorder e foi baixado por mais de 50.000 usuários...

ISH

Patches de 38 vulnerabilidades da Microsoft

Em maio a Microsoft publicou um patch de atualização que realiza a correção de 38 vulnerabilidades de seus produtos, bem como anuncia quais são as vulnerabilidades que possuem riscos de serem exploradas ativamente por atores maliciosos...

ISH

Nova operação de Ransomware identificada, MalasLocker

Uma operação de ransomwares que utilizam vulnerabilidades de servidores Zumbra para realizar a exfiltração de dados de e-mails, bem como realizar a exfiltração dos dados da organização para posteriormente realizar a extorsão, conhecidos como MalasLocker...

ISH

Vulnerabilidade para os produtos MOVEit sendo explorada

Identifica que a vulnerabilidade MOVEit, atribuída ao número de CVE-2023-34362 na qual agentes maliciosos poderão realizar ataques de SQL Injection sobre a aplicação, podendo ocasionar a criação de backdoors e acesso a dados restritos...

ISH

Recomendações para portas abertas em Firewall

A equipe de inteligência da ISH, Heimdall alerta para organizações que mantém portas abertas em firewalls, as quais estarão sujeitas a ataques cibernéticos, bem como outras consequências como: acessos não autorizados, exploração de vulnerabilidades, propagações de malwares, ataques DoS e outros...

ISH

Malware XWORM explorando vulnerabilidades

Identificada uma nova campanha de phishing que utiliza uma cadeia de ataque exclusiva para distribuir o malware XWorm nos sistemas alvos. O malware é um malware commodity, o qual é anunciado a venda em fóruns clandestinos e utiliza a exploração da vulnerabilidade Follina...

ISH

Novo Ransomware Darkrace identificado

A equipe de pesquisa de inteligência, Heimdall identificou uma nova variante de ransomwares conhecida como Darkrace, o qual possui site de vazamento de dados. O referido ransomwares realiza a criptografia de determinados arquivos, bem como realiza a exclusão do log de eventos e encerra determinados processos...

ISH

Extensões maliciosas do VSCode são utilizadas para roubo de dados

Recentemente foram realizadas a análise de algumas extensões que podem ser instaladas no software VSCode, dentre as quais foram encontradas extensões que possuem comportamentos maliciosos, como roubo de dados, roubo de metadados sobre configurações do VSCode e a possibilidade de injeção de códigos...
Botoes de Pagina

Boletins de Seguranca – Pag 3