segurança
Boletins de Segurança - Heimdall Security Research
O Heimdall, grupo de Threat Intelligence da ISH, apresenta os boletins sobre agentes de ameaças, Malwares utilizados por grupos maliciosos, Indicadores de Comprometimento, Técnicas, Táticas e Procedimentos (TTPs) e Análises de Artefatos e Mitigações, visando a prevenção de ataques e a evolução da maturidade da segurança cibernética.
ISH
CVE-2024-32038, Vulnerabilidade RCE crítica no mecanismo de análise do Wazuh
Recentemente foi descoberta a falha CVE-2024-32038, uma vulnerabilidade crítica de execução remota de código (RCE) que afeta o Wazuh Manager, versões de 3.8.0 até 4.7.1. Essa falha ocorre no componente wazuh-analysisd, responsável por analisar dados coletados e gerar alertas de segurança.
ISH
Vulnerabilidade Crítica em linguagem R Permite Execução Arbitrária de Código
Pesquisadores de segurança identificaram uma vulnerabilidade CVE-2024-27322 na linguagem de programação R, que possibilita a execução de código arbitrário durante a desserialização de conteúdo não seguro. Arquivos RDS (R Data Serialization) ou pacotes R, comuns entre desenvolvedores.
ISH
Ataque cibernético provoca fechamento de lojas da rede London Drugs
Recentemente a rede de farmácias canadense London Drugs suspendeu temporariamente as operações de suas lojas de varejo em resposta a um incidente de segurança cibernética, conforme descreveu a organização em nota sobre a situação ocorrida.
ISH
Grupo Lazarus observado implantando novo Rat Kaolin em seus ataques
O Lazarus Group realizou ataques seletivos na Ásia, utilizando o Kaolin RAT, um trojan de acesso remoto recém-desenvolvido. A estratégia incluiu o uso de iscas de emprego falsas, uma técnica comum do grupo. O ataque explorou a vulnerabilidade CVE-2024-21338 no driver appid.sys do Windows.
ISH
Falha crítica no plug-in WP-Automatic do WordPress, sendo explorada em ataques
A vulnerabilidade crítica CVE-2024-27956 no plugin WP Automatic para WordPress está sendo explorada por agentes mal-intencionados para criar contas administrativas e instalar backdoors, garantindo acesso prolongado ao site afetado.
ISH
Campanha ArcaneDoor explorando vulnerabilidades Zero Days da Cisco
A Cisco alertou sobre um grupo malicioso que, desde novembro de 2023, tem explorado falhas nos firewalls ASA e FTD para comprometer redes governamentais globais. Os invasores, conhecidos como UAT4356 e STORM-1849, iniciaram ataques aos dispositivos com a campanha ArcaneDoor.
ISH
CVE-2024-4040, Vulnerabilidade critica no CrushFTP sendo explorada em ataques
Recentemente a Cybersecurity and Infrastructure Security Agency (CISA), adicionou em seu catalogo de vulnerabilidades conhecidas (KEV), a falha critica CVE-2024-4040 no CrushFTP, a qual vem sendo explorada em ataques cibernéticos.
ISH
Nova campanha do CoralRider distribui infostealers em ataque direcionado
A Cisco descobriu uma campanha maliciosa que dissemina três tipos de infostealers: Cryptbot, LummaC2 e Rhadamanthys. A estratégia inclui um parâmetro de linha de comando do PowerShell, oculto em um arquivo LNK, que permite a evasão de antivírus e o download do malware no alvo.
ISH
Grupo ToddyCat utilizam túneis e ferramentas de extração para espionagem governamental
A Securelist informou que um grupo de ameaça persistente avançada (APT), conhecido como ToddyCat, tem como alvo organizações governamentais, principalmente na região da Ásia-Pacífico, com o objetivo de extrair informações sensíveis ilegalmente.
ISH
Microsoft alerta que hackers do APT28 exploram a falha do Windows relatada pela NSA
A Microsoft publicou os resultados de uma investigação do grupo de ameaça russo conhecido como Forest Blizzard (STRONTIUM), informando que este grupo tem utilizado uma ferramenta personalizada, chamada GooseEgg, para explorar a vulnerabilidade CVE-2022-38028.
ISH
Falha critica em Plugin do WordPress afetando mais de 400 mil sites
Recentemente o CERT do Japão publicou um alerta em seu portal de notas de vulnerabilidade (JVN) alertando sobre a existência de uma falha de gravidade crítica (CVE-2024-28890, CVSS v3: 9.8) no plugin Forminator do WordPress, utilizado em centenas de milhares de sites.
ISH
Cisco lança correção para vulnerabilidade de command injection no Cisco IMC
A Cisco divulgou correções para uma vulnerabilidade CVE-2024-20295 de alta relevância no controlador de gerenciamento integrado (IMC), que, devido à existência de um código de exploração público, poderia possibilitar que atacantes obtivessem privilégios de root.
ISH
Ator de ameaça vendendo exploração do VMware ESXi Shell em forum hacker
Foi observado em fórum hacker, um ator de ameaça realizando a venda de uma possível exploração direcionada ao VMware ESXi Shell Service. O ESXi Shell, é um componente essencial para gerenciar hosts VMware ESXi, fornecendo uma interface de linha de comando para interação direta com o host.
ISH
CVE-2024-21111, PoC de exploração para falha grave no VirtualBox disponível
A CVE-2024-21111, uma vulnerabilidade grave no Oracle VirtualBox, afetando versões anteriores à 7.0.16. Ela permite que atacantes com acesso básico a um sistema Windows executando o VirtualBox aumentem seus privilégios. Um exploit de prova de conceito (PoC) foi divulgado.
ISH
Botnets continuam aproveitando falha em roteadores TP-Link para Disseminação Global
A vulnerabilidade CVE-2023-1389, presente na interface de gerenciamento web dos roteadores TP-Link Archer AX21, tem sido explorada por diversas botnets para a propagação em larga escala. Essa falha permite a execução de código remoto por atacantes não autenticados.
ISH
Grupo APT44 observado utilizando backdoor Kapeka em ataques direcionados
Pesquisadores identificaram um backdoor, apelidado de "Kapeka", que vem sendo utilizado em ofensivas contra alvos no Leste Europeu desde meados de 2022. Este malware é caracterizado por sua versatilidade e conjunto completo de funcionalidades.
ISH
MITRE foi alvo de ataque de zero day em dispositivos Ivanti Connect Secure
A MITRE Corporation informou que foi comprometida por um ataque patrocinado pelo estado, que se aproveitou de duas vulnerabilidades CVE-2023-46805 e CVE-2024-21887, nos dispositivos Ivanti Connect Secure desde janeiro de 2024 que resultou na violação do seu sistema NERVE.