segurança
Boletins de Segurança - Heimdall Security Research
O Heimdall, grupo de Threat Intelligence da ISH, apresenta os boletins sobre agentes de ameaças, Malwares utilizados por grupos maliciosos, Indicadores de Comprometimento, Técnicas, Táticas e Procedimentos (TTPs) e Análises de Artefatos e Mitigações, visando a prevenção de ataques e a evolução da maturidade da segurança cibernética.
ISH
Falha crítica no Cellopoint Secure Email Gateway permitindo execução remota de código
Foi identificada uma falha crítica, CVE-2024-6744, no Cellopoint Secure Email Gateway. Esta vulnerabilidade, que recebeu uma pontuação CVSS de 9,8, representa uma ameaça significativa para as organizações que utilizam este sistema de segurança de e-mail.
ISH
Ator malicioso vendendo exploit de Command Injection OpenSSH versão 9.6
Foi observado em fórum “hacker” um ator malicioso realizando a venda de uma possível exploração de Command Injection no OpenSSH na versão 9.6, conforme o anuncio, o código pode ser utilizado remotamente (RCE), e afirma que esse exploit foi testado e comprovado.
ISH
Falha em atualização da Crowdstrike causa paralisação global em serviços
A empresa de segurança de endpoint Crowdstrike lançou uma atualização que está causando “telas azuis da morte” (BSOD)
generalizadas em sistemas Windows. A mesma comunicou que só está disponível após fazer o login na plataforma de suporte, onde há uma breve declaração pública.
ISH
Ataque do Ransomware Akira à indústria do setor aéreo da América Latina
Um ataque envolvendo o ransomware Akira foi identificado, visando uma companhia aérea na América Latina. O agente da ameaça ganhou acesso à rede da empresa através do protocolo Secure Shell (SSH) e conseguiu extrair dados sensíveis antes de lançar o ransomware Akira no dia seguinte.
ISH
Coyote visando instituições financeiras na América Latina, com foco no Brasil
O Trojan bancário chamado Coyote, desenvolvido em .NET, tem como principal alvo instituições financeiras brasileiras, especialmente bancos. Ele normalmente se espalha através de e-mails de phishing, sites comprometidos ou downloads maliciosos disfarçados de software legítimo.
ISH
Grupo de ransomware aproveitando vulnerabilidade no software de Backup Veeam
Recentemente pesquisadores, identificaram um novo grupo de ransomware explorando a vulnerabilidade CVE-2023-27532 no software de backup Veeam. Este grupo malicioso utiliza táticas sofisticadas para atingir sistemas desprotegidos e realizar atividades prejudiciais.
ISH
APT41 aprimora arsenal de malware com adições do DodgeBox e MoonWalk
O grupo APT41, associado à China e conhecido por suas ameaças persistentes avançadas (APT), está supostamente empregando uma versão aprimorada do malware StealthVector. Esta versão atualizada é usada para implantar um backdoor inédito, denominado MoonWalk.
ISH
Novo ransomware Eldorado ameaçando VMs Windows e VMware ESXi
Pesquisadores de segurança identificaram uma nova ameaça emergente no cenário de cibersegurança, o ransomware como serviço (RaaS) denominado "Eldorado", realizando explorações em sistemas Windows e VMware ESXi para ganhos financeiros maliciosamente.
ISH
Zergeca, nova botnet escrita em GO com multifuncionalidades identificada
Uma nova botnet escrita na linguagem de programação GO, chamada Zergeca, a mesma é capaz de conduzir ataques distribuídos de negação de serviço (DDoS), realizar métodos de ataque e possui funcionalidades adicionais como proxy, escaneamento, autoatualização entre outros.
ISH
Palo Alto lança atualização para falha crítica na ferramenta de migração Expedition
Recentemente a Palo Alto Networks, lançou atualizações de segurança para remediar cinco vulnerabilidades presentes em seus produtos, incluindo uma falha crítica que pode resultar em bypass de autenticação. Identificada como CVE-2024-5910 com pontuação CVSS: 9,3.
ISH
Aumento de ataques do trojan Mekotio contra sistemas financeiros na América Latina
Um aumento nos ataques envolvendo o trojan bancário Mekotio, um malware sofisticado que está em atividade, tendo como principal alvo países da América Latina. Seu objetivo é roubar informações confidenciais, especialmente credenciais bancárias.
ISH
Descoberta nova falha de segurança no OpenSSH ameaça execução de código remoto
Foi descoberta uma nova vulnerabilidade no OpenSSH, rastreada como CVE-2024-6409, distinta da CVE-2024-6387 (também conhecida como RegreSSHion) e se relaciona a um caso de execução de código no processo filho privsep devido a uma condição de corrida no tratamento de sinal.
ISH
Vulnerabilidade MSHTML sendo explorada para disseminar o spyware MerkSpy
A FortiGuard detectou um ataque aproveitando a falha CVE-2021-40444 no Microsoft Office. Essa brecha possibilita que atacantes executem código malicioso utilizando documentos especialmente manipulados. Isto resultou na implantação do spyware chamado “MerkSpy”.
ISH
Botnet P2PInfect em Rust se transforma com payloads de mineração e ransomware
Foi observado por pesquisadores de segurança que a botnet peer-to-peer (P2P) conhecida como P2PInfect está atacando servidores Redis mal configurados, utilizando ransomware e mineradores de criptomoedas. Essa evolução indica uma mudança significativa de ameaça.
ISH
Vulnerabilidade RCE da regreSSHion no OpenSSH concede acesso root em servidores Linux
Pesquisadores da Qualys descobriram uma nova vulnerabilidade CVE-2024-6387 não autenticada de execução remota de código (RCE) no OpenSSH, denominada regreSSHion, permitindo a obtenção de privilégios de root em sistemas Linux que utilizam glibc.
ISH
FakeBat Loader, propagando-se em através de ataques Drive-By Download e Malvertising
Nos últimos tempos, os cibercriminosos têm intensificado o uso da técnica de drive-by download, comumente empregada por diversos grupos de intrusão para distribuir loaders e disseminar malware durante a navegação na web dos usuários para realização de atividades maliciosas.
ISH
Microsoft descobre falhas críticas no Rockwell Automation PanelView Plus
A Microsoft identificou duas vulnerabilidades de segurança significativas no Rockwell Automation PanelView Plus. Essas falhas podem ser exploradas por invasores remotos não autenticados para executar código arbitrário e desencadear uma condição de negação de serviço (DoS).
ISH
Gangue 8220 explora falhas do Oracle WebLogic Server para mineração de criptomoedas
O grupo malicioso 8220 Gang tem conduzido uma operação de mineração de criptomoedas, explorando falhas conhecidas de segurança no Oracle WebLogic Server com as CVE-2017-3506, CVE-2017-10271 e CVE-2023-21839, conforme revelado por pesquisadores de segurança.
ISH
Ataque de Skimmer de Cartão de Crédito ‘Caesar Cipher’ mira em WordPress, Magento e OpenCart
Um novo skimmer de cartão de crédito, conhecido como Caesar Cipher Skimmer, tem como alvo várias plataformas de gerenciamento de conteúdo (CMS), incluindo WordPress, Magento e OpenCart, representando uma ameaça significativa para a segurança online.
ISH
Falha de Injeção SQL crítica detectada no Fortra FileCatalyst Workflow
Recentemente foi descoberta a vulnerabilidade CVE-2024-5276 categorizada com severidade crítica de segurança no Fortra FileCatalyst Workflow, permitindo que um atacante manipule o banco de dados do aplicativo e realize atividades maliciosas nos locais afetados.
ISH
Hackers chineses utilizam ransomware em ataques direcionado
Grupos de ciberespionagem conhecidos como ChamelGang e Friends têm empregado ransomware como estratégia para tornar a atribuição de ataques mais complexa, desviar a atenção dos defensores e obter ganhos financeiros como um objetivo secundário ao roubo de informações.
ISH
Violação no aplicativo Authy da Twilio compromete milhões de números de telefone
Recentemente a empresa de comunicações em nuvem Twilio revelou que agentes de ameaças desconhecidos exploraram um endpoint não autenticado no Authy para acessar dados vinculados às contas do Authy, incluindo números de celular dos usuários.
ISH
Ataque com backdoor a supply chain de Plugins do WordPress.org
Foi alertado que vários plug-ins para WordPress hospedados no WordPress.org foram comprometidos e injetados com scripts PHP maliciosos. Um agente de ameaça comprometeu o código-fonte de vários plug-ins e injetou código para atividades maliciosas.
ISH
Vulnerabilidade CVE-2024-5655 crítica do GitLab permite que invasores executem pipelines
A GitLab informou recentemente sobre a vulnerabilidade CVE-2024-5655 crítica, que está afetando algumas versões dos produtos GitLab Community e Enterprise Edition, podendo ser exploradas por atores maliciosos para executar pipelines como qualquer usuário.
ISH
Ataques global de ransomware por hackers vinculados à China e Coreia do Norte
Foi descoberto recentemente que agentes de ameaças, supostamente ligados à China e à Coreia do Norte, foram identificados em ataques de ransomware e criptografia de dados que visavam setores governamentais e de infraestrutura crítica globalmente de 2021 a 2023.
ISH
Rede corporativa do TeamViewer violada supostamente por grupo APT
A TeamViewer anunciou que sua rede corporativa foi comprometida por um grupo APT, possivelmente o APT29 (Midnight Blizzard). A violação foi detectada em 26 de junho de 2024, mas não há evidências de que os dados dos clientes ou o ambiente do produto tenham sido afetados.
ISH
Apple corrige vulnerabilidade de Bluetooth dos AirPods que pode permitir espionagem
A Apple lançou uma atualização de firmware para o AirPods que poderia permitir que um invasor mal intencionado obtivesse acesso aos fones de ouvido de maneira não autorizada nos dispositivos afetados. Maiores informções podem ser consultadas neste relatório de segurança.
ISH
Ataque GrimResource, exploração de redes via arquivos MSC e falha XSS no Windows
Pesquisadores de segurança da Elastic identificaram uma técnica de infecção inédita denominada GrimResource, que explora arquivos MSC. Esta abordagem permite aos atacantes executar códigos arbitrários através do mmc.exe após a abertura de um arquivo MSC especificamente modificado.
ISH
Nova falha critica do MOVEit, já sendo observadas tentativas de explorações
Mantenedores do MOVEit alertaram e lançaram patch de correção para a falha CVE-2024-5806 um desvio de autenticação no Progress MOVEit Transfer (módulo SFTP) levando ao bypass de autenticação. A falha já está enfrentando tentativas de exploração logo após divulgação.
ISH
Nova ameaça Boolka, implantando o trojan BMANAGER através de ataques SQLi
Pesquisadores de segurança descobriram recentemente um novo ator de ameaça, conhecido como Boolka, que foi identificado comprometendo sites através de scripts maliciosos. O objetivo principal deste ator é a entrega de um trojan modular, denominado BMANAGER.
ISH
Rafel RAT explorando dispositivos Android antigos em ataques de ransomware
Pesquisadores da Check Point relataram a detecção de mais de 120 campanhas usando o malware Rafel RAT, um malware de código aberto que é amplamente implantado por vários cibercriminosos para atacar dispositivos Android desatualizados para ganhos financeiros.
ISH
Exploração de vulnerabilidade do MS Office Equation Editor pelo ator Kimsuky
Recentemente o AhnLab Security, revelou informações sobre o grupo de ameaças Kimsuky, que há pouco tempo explorou a vulnerabilidade CVE-2017-11882 presente no equation editor do MS Office. Utilizando essa falha, o grupo conseguiu distribuir um keylogger.
ISH
Phishing ONNX tem como alvo contas do Microsoft 365 em empresas financeiras
A ONNX Store, uma plataforma de phishing como serviço (PhaaS), está direcionando suas ações para contas do Microsoft 365. O público-alvo são os funcionários de empresas financeiras, a estratégia envolve o uso QR codes em anexos de PDF, aumentando a eficácia dos ataques.
ISH
Fickle Stealer distribuído por meio de múltiplas cadeias de ataque
Pesquisadores do FortiGuard Labs identificaram um novo stealer de dados, denominado Fickle Stealer. Este stealer, programado na linguagem de programação Rust, se destaca por seu código complexo e pela maneira como é distribuído, a qual é descrita neste relatório de segurança.
ISH
VMware lança patches para falhas críticas no Cloud Foundation e vCenter Server
A VMware alertou sobre vulnerabilidades críticas no vCenter Server. Estas falhas incluem execução remota de código e escalonamento de privilégios locais. O vCenter Server é uma plataforma de gerenciamento para VMware vSphere, que faz o controle de VMs e hosts ESXi.
ISH
ASUS alerta sobre falha grave de autenticação remota em sete modelos de roteadores
A ASUS implementou uma atualização de firmware para corrigir uma falha de segurança crítica CVE-2024-3080 que estava presente em sete modelos de seus roteadores, permitindo que invasores remotos acessassem os dispositivos afetados.
ISH
Malware explorando APIs Docker vulneráveis para minerar criptomoedas
Pesquisadores de segurança identificaram uma nova campanha de malware que tem como alvo específico os endpoints da API Docker que estão expostos publicamente. O objetivo principal do malware é entregar mineradores de criptomoedas e outras cargas úteis.
ISH
Grupo de ransomware Black Basta associado a ataques zero day no Windows
A Symantec identificou recentemente que a vulnerabilidade (CVE-2024-26169) classificada como alta, está sendo explorada pelo grupo de cibercriminosos Cardinal, também conhecido como Storm-1811 e UNC4394, e pelos operadores da gangue Black Basta.
ISH
Uso indevido do protocolo de pesquisa do windows para distribuir scripts maliciosos
Pesquisadores do Trustwave identificaram uma campanha de malware sofisticada que explora a funcionalidade de pesquisa do Windows, integrada ao código HTML, para disseminar malware. Demonstrando um entendimento avançado das falhas do sistema e de comportamento dos usuários.
ISH
Novo malware multiplataforma 'Noodle RAT' tem como alvo sistemas Windows e Linux
A TrendMicro descobriu um novo malware multiplataforma, conhecido como Noodle RAT. Este malware, que não havia sido documentado anteriormente, tem sido utilizado por agentes de ameaças chineses para atividades de espionagem e crimes cibernéticos ao longo de vários anos.
ISH
Descoberta variante macOS do LightSpy com capacidades de monitoramento sofisticadas
Pesquisadores de segurança revelaram que o spyware LightSpy, recentemente identificado com alvo a usuários do Apple iOS, é na verdade uma variante de um implante macOS não documentado anteriormente e que estão associados à estrutura de malware multiplataforma.
ISH
Setor educacional dos EUA é atacado por novo ransomware Fog através de VPNs
Pesquisadores da Arctic Wolf Labs identificaram uma nova variante de ransomware, denominada Fog. Esta atividade maliciosa foi notada em diversas situações de resposta a incidentes, todos apresentando características similares em suas explorações maliciosas.
ISH
Malware ValleyRAT, retorna com estratégias sofisticadas de extração de dados
Recentemente pesquisadores de segurança cibernética identificaram uma versão atualizada do malware ValleyRAT. Esta nova versão está sendo disseminada como parte de uma campanha inédita, representando uma ameaça potencial para a segurança digital.
ISH
Malware COOKBOX entregue através de falha do WinRAR explorada pelo FlyingYeti
A Cloudforce One divulgou recentemente um relatório de segurança de ameaças sobre a campanha de phishing associada ao ator malicioso FlyingYeti ligado à Rússia, utilizado de uma falha no WinRar, que tinha como alvo de suas operações a Ucrânia, porém, podendo visar outros países.
ISH
Malware DarkGate substitui AutoIt por AutoHotkey em ataques recentes
A operação de malware como serviço (MaaS) conhecida como DarkGate, envolvida em ataques cibernéticos, adotou uma nova estratégia. Os atores da ameaça substituíram os scripts AutoIt pelo mecanismo AutoHotkey para executar as etapas finais de seus ataques.
ISH
Ransomware TargetCompany para Linux focando no VMware ESXi
Pesquisadores da Trend Micro identificaram uma nova variante do ransomware TargetCompany para Linux, projetada especificamente para atacar ambientes VMware ESXi. Esta variante utiliza um script de shell personalizado para distribuir e executar suas cargas úteis.
ISH
Hackers russos utilizam o HeadLace e sites de coleta de credenciais
O grupo APT28, também conhecido por uma variedade de outros nomes, incluindo BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy e TA422, continua a representar uma ameaça significativa para a segurança cibernética na Europa.
ISH
Cidade de Cleveland encerra operações após ciberataque a sistemas de TI
Recentemente a Cidade de Cleveland, uma cidade dos Estados Unidos, no estado do Ohio, comunicou na plataforma X antigo Twitter que a prefeitura e Erieview estariam fechadas, 10 e 11 de junho, exceto para funcionários essenciais, enquanto era investigado um incidente cibernético.
ISH
Hackers Andariel observado implantando novo malware chamado Dora RAT
O grupo de ameaças cibernéticas conhecido como Andariel, associado à Coreia do Norte, foi identificado utilizando um novo backdoor, o Dora RAT, desenvolvido em Golang. Este malware tem sido empregado em ataques direcionados a instituições educacionais, empresas de manufatura e construção.
ISH
Microsoft Identifica Grupo Norte-Coreano por trás do Novo Ransomware FakePenny
A Microsoft identificou um novo grupo de ameaça, chamado Moonstone Sleet (anteriormente conhecido como Storm-1789). Este grupo combina diversas técnicas utilizadas por outros grupos de ameaça norte-coreanos com métodos exclusivos para alcançar seus objetivos.
ISH
Alerta sobre Botnet CatDDoS em ataque DDoS, aproveitando vulnerabilidades
Especialistas da XLab detectaram que atores maliciosos associados ao botnet CatDDoS têm se aproveitado de vulnerabilidades conhecidas em diversos programas. No decorrer dos últimos três meses, essas brechas foram exploradas para invadir e recrutar dispositivos vulneráveis.
ISH
LilacSquid mirando nos setores de Tecnologia da Informação, Energia e Farmacêutico
O ator de ameaças conhecido como LilacSquid especializado em espionagem, tem sido vinculado a uma série de ataques direcionados desde 2021, abrangendo vários setores nos Estados Unidos, Europa e Ásia, fazendo parte de uma campanha de roubo de dados em larga escala.
ISH
TP-Link soluciona falha crítica que permitia controle remoto no roteador de jogos C5400X
Recentemente a TP-Link corrigiu uma falha de segurança critica com pontuação máxima no CVSS, CVE-2024-5035, no roteador de jogos TP-Link Archer C5400X, a qual foi apontada por pesquisadores de segurança podendo levar à execução remota de código em dispositivos suscetíveis.
ISH
Falha crítica no Veeam Backup Enterprise Manager possibilita a evasão de autenticação
Foi identificada recentemente uma vulnerabilidade CVE-2024-29849 de segurança classificada como crítica no Veeam Backup Enterprise Manager que pode permitir a um invasor contornar os mecanismos de autenticação para realização de atividades maliciosas.
ISH
Violação da Snowflake por Ator de Ameaça conhecido como Shinyhunters
Um ator de ameaça conhecido como Shinyhunters e SpidermanData teria anunciado em um fórum clandestino a venda de aproximadamente 560 milhões de contas de usuários, bem como 1.3 TB de dados de Cartões Bancários, a publicação também foi publicada por outro perfil em um fórum.
ISH
Grupo FIN7 usando anúncios maliciosos do Google para disseminar cargas MSIX
A eSentire, detectou uma série de atividades envolvendo o grupo malicioso FIN7. Essa entidade criminosa, estava utilizando táticas fraudulentas em diversos sites, fingindo ser marcas conhecidas como AnyDesk, WinSCP, BlackRock, Asana, Concur, The Wall Street Journal, Workable e Google Meet.
ISH
Malware Loader Latrodectus ganha destaque em campanhas de phishing
Recentemente foi observado por pesquisadores de segurança cibernética da Elastic, um aumento nas campanhas maliciosas de phishing entregando o malware Latrodectus, um malware do tipo Loader que se acredita ser o sucessor do malware IcedID.
ISH
Vulnerabilidade crítica no GitHub Enterprise Server com pontuação máxima
O GitHub implementou uma correção de segurança para a falha CVE-2024-4985 categorizada como crítica (com pontuação máxima de 10.0 no CVSS). Essa falha impactava as versões do GitHub Enterprise Server (GHES) que utilizavam o sistema de autenticação SAML para logon único (SSO).
ISH
Grupo Kinsing intensifica operações de criptojacking, explorando novas falhas
Pesquisadores da Aqua Security informaram que o grupo Kinsing, especializado em cryptojacking, tem mostrado uma habilidade notável para se adaptar e evoluir. Eles têm sido uma ameaça constante, incorporando novas vulnerabilidades divulgadas ao seu conjunto de ferramentas de ataques.
ISH
Falha de segurança no Wi-Fi facilita interceptação de dados através de ataques de downgrade
Pesquisadores identificaram uma vulnerabilidade CVE-2023-52424 categorizada como crítica, onde permite que atacantes induzam as vítimas a se conectar a uma versão mais vulnerável da rede sem fio, possibilitando a espionagem do tráfego de dados.
ISH
Cisa alerta para três vulnerabilidades sendo exploradas em ataques
Recentemente a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou três vulnerabilidades de segurança ao seu catálogo de "Vulnerabilidades Exploradas Conhecidas" (KEV), duas afetando o Google Chrome e uma afetando roteadores D-Link.
ISH
Campanha LockBit Black associada a botnet Phorpiex disparando milhões de e-mails
O centro de pesquisa da NJCCIC identificou o surgimento de uma campanha maliciosa denominada LockBit Black disparando milhões de e-mails maliciosos. Esta nova onda de ataques usando o LockBit Black representa uma ameaça cibernética emergente.
ISH
VMware atualiza software após vulnerabilidades Zero-Days reveladas
A VMware atualizou seus hipervisores Workstation e Fusion, corrigindo quatro falhas, das quais três foram zero-day exploradas no evento Pwn2Own Vancouver em 2024. A vulnerabilidade mais crítica, identificada como CVE-2024-22267, um erro no vbluetooth.
ISH
Vulnerabilidades críticas no Cacti facilitam a execução de códigos maliciosos
Os responsáveis pela plataforma de monitoramento de redes e gestão de incidentes Cacti, corrigiram recentemente doze vulnerabilidades de segurança. Entre elas, destacam-se duas falhas críticas que, se exploradas, poderiam permitir a execução de códigos arbitrários por parte de invasores.
ISH
Ataque avançado LLMjacking com o uso de inteligência artificial explora credenciais de nuvem
Pesquisadores da Sysdig descobriram um ataque intitulado como "LLMjacking", que está utilizando credenciais de nuvem roubadas para controlar grandes modelos de linguagem (LLMs) na nuvem. Esse ataque causa perdas financeiras e ameaça a segurança dos dados.
ISH
Grupo SocGholish atacando empresas com atualizações fraudulentas de navegadores
Em abril de 2024, a equipe da eSentire, detectou o comportamento do grupo SocGholish em uma cadeia de ações maliciosas que remontavam a uma infecção originada por uma suposta atualização de navegador. O intuito do códgo era passar despercebido.
ISH
Ator de ameaça vendendo Exploit RCE Zero day do Outlook em fórum hacker
Foi observado recentemente um ator de ameaças conhecido por Cvsp, vendendo uma possível exploração RCE zero day do Microsoft Outlook, conforme o anuncio, essa exploração foi testada em sistemas de versões x86 e x64 e funciona com taxa de 100% de sucesso da exploração.
ISH
Entrega de código Go malicioso através de esteganografia em pacotes PyPI
Pesquisadores da Phylum informaram sobre um pacote duvidoso no PyPI denominado requests-darwin-lite. Uma versão modificada do conhecido requests, com distinções cruciais, incluindo um binário Go mal-intencionado escondido em um arquivo PNG ampliado do logotipo do requests.
ISH
Microsoft disponibiliza correções de segurança no Patch Tuesday de Maio de 2024
Na terça feira saiu o Patch Tuesday de maio de 2024 da Microsoft, o qual incluiu atualizações de segurança para um total de 61 falhas e 03 zero days que estavam sendo explorados ativamente por atores maliciosos em ataques cibernéticos contra organizações
ISH
Novo grupo de Ransomware atacando a América do Sul identificado, Arcus Media
Recentemente o time de inteligência Heimdall da ISH, identificou um novo grupo de ransomware chamado Arcus Media, atacando organizações da América do Sul, até o momento, em sua maioria os ataques têm tido como alvo principal organizações do Brasil.
ISH
Falhas recentes no BIG-IP Next Central Manager possibilitam o controle total de dispositivos
Duas vulnerabilidades sérias no BIG-IP Next Central Manager foram corrigidas pela F5, as quais podem ser usadas para obter controle total e criar contas secretas não autorizadas em qualquer dispositivo gerenciado. CVE-2024-26026 e CVE-2024-21793 na API do BIG-IP Next Central Manager.
ISH
Vulnerabilidade TunnelVision captura de dados em redes VPN através de técnicas de DHCP
Especialistas revelaram um método conhecido como TunnelVision, vulnerabilidade CVE-2024-3661 alta, em redes privadas virtuais (VPN). Essa falha permite que invasores, ao compartilharem a mesma rede local que a vítima, possam monitorar e interceptar dados.
ISH
Atualização da Apple corrige vulnerabilidade CVE-2024-27834 Zero-Day no webkit do safari
Recentemente a Apple implementou correções de segurança para a vulnerabilidade CVE-2024-27834 de segurança para o Safari, remediando uma falha crítica exposta no evento Pwn2Own Vancouver rastreada por pesquisadores no evento.
ISH
Hackers iranianos utilizando identidades falsas de jornalistas em ataques cibernéticos
O grupo APT42, está utilizando métodos sofisticados de engenharia social para invasão de redes, abrangendo também plataformas de nuvem. Seu foco está em organizações não governamentais, além de entidades de mídia, universidades, serviços de advocacia e outros.
ISH
Google lança correção de segurança para vulnerabilidade Zero-Day no navegador Chrome
A Google implementou atualizações de segurança relacionada a vulnerabilidade CVE-2024-4671 zero-day classificada como crítica que tem como alvo o navegador Chrome. Esta falha específica estava sendo ativamente explorada, conforme reportado pela empresa.
ISH
Mirai Botnet aproveitando de falhas do Ivanti Connect para disseminar malware
A Juniper Networks identificou que as falhas CVE-2023-46805, relacionada ao desvio de autenticação e CVE-2024-21887, associada à injeção de comando específicas no Ivanti Pulse Secure, que permitem tanto bypass de autenticação quanto execução remota de código, foram aproveitadas pela botnet Mirai.
ISH
Falha crítica do Tinyproxy expõe mais de 50.000 hosts expostos online
A Cisco divulgou agora em maio detalhes sobre a vulnerabilidade identificada como CVE-2023-49606. Esta falha, encontrada nas versões 1.11.1 e 1.10.0 do Tinyproxy, permite que atores maliciosos executem um use-after-free de memória, resultando em comportamentos inesperados do software.
ISH
Dados médicos dos pacientes da DocGo roubados em ataque virtual
A DocGo, um provedor de serviços de saúde, divulgou em seu relatório 8-K a ocorrência de um incidente de segurança cibernética envolvendo alguns de seus sistemas. Após investigação, a empresa confirmou que o invasor obteve acesso e adquiriu dados, incluindo informações de saúde protegidas.
ISH
Agências advertem que hackers norte coreanos estão explorando políticas fracas de DMARC
Agências de inteligência dos EUA, divulgaram um comunicado sobre o grupo hacker APT43, vinculado à Coreia do Norte, que está utilizando deficiências nas políticas de DMARC para camuflar ataques de spearphishing, esses ataques são uma forma de phishing altamente direcionada.
ISH
Aruba lança atualizações de segurança para solucionar falhas críticas no ArubaOS
A HPE Aruba Networking, divulgou recentemente atualizações de segurança que visam corrigir as vulnerabilidades CVE-2024-26304, CVE-2024-26305, CVE-2024-33511, CVE-2024-33512 classificadas como críticas presentes no ArubaOS, se exploradas, permitem a execução remota de código.
ISH
Botnet Goldoon observada explorando falha antiga em dispositivos D-Link
A FortiGuard detectou em abril uma botnet recém-desenvolvida explorando uma falha antiga da D-Link, identificada como CVE-2015-2051. Essa falha específica possibilita a execução de comandos remotos arbitrários através do recurso GetDeviceSettings presente na interface HNAP.
ISH
Ascension Healthcare desativa sistemas após ser alvo de ataque cibernético
A Ascension Healthcare, um dos maiores sistemas de saúde dos EUA, operando cerca de 140 hospitais em 19 estados e em Washington, empregando cerca de 134 mil pessoas, interrompeu certos sistemas para investigar o que chamou de "evento de segurança cibernética".
ISH
CVE-2024-32038, Vulnerabilidade RCE crítica no mecanismo de análise do Wazuh
Recentemente foi descoberta a falha CVE-2024-32038, uma vulnerabilidade crítica de execução remota de código (RCE) que afeta o Wazuh Manager, versões de 3.8.0 até 4.7.1. Essa falha ocorre no componente wazuh-analysisd, responsável por analisar dados coletados e gerar alertas de segurança.
ISH
Vulnerabilidade Crítica em linguagem R Permite Execução Arbitrária de Código
Pesquisadores de segurança identificaram uma vulnerabilidade CVE-2024-27322 na linguagem de programação R, que possibilita a execução de código arbitrário durante a desserialização de conteúdo não seguro. Arquivos RDS (R Data Serialization) ou pacotes R, comuns entre desenvolvedores.
ISH
Repositórios Docker Hub detectados disseminando malware e páginas de phishing
Pesquisadores da JFrog e Docker realizaram um trabalho em conjunto para mitigar e resolver problemas decorrentes da recente exposição de repositórios no Docker Hub que foram utilizados para disseminar malware e esquemas de phishing dentro da plataforma Docker Hub.
ISH
Ataque cibernético provoca fechamento de lojas da rede London Drugs
Recentemente a rede de farmácias canadense London Drugs suspendeu temporariamente as operações de suas lojas de varejo em resposta a um incidente de segurança cibernética, conforme descreveu a organização em nota sobre a situação ocorrida.
ISH
Grupo Lazarus observado implantando novo Rat Kaolin em seus ataques
O Lazarus Group realizou ataques seletivos na Ásia, utilizando o Kaolin RAT, um trojan de acesso remoto recém-desenvolvido. A estratégia incluiu o uso de iscas de emprego falsas, uma técnica comum do grupo. O ataque explorou a vulnerabilidade CVE-2024-21338 no driver appid.sys do Windows.
ISH
Falha crítica no plug-in WP-Automatic do WordPress, sendo explorada em ataques
A vulnerabilidade crítica CVE-2024-27956 no plugin WP Automatic para WordPress está sendo explorada por agentes mal-intencionados para criar contas administrativas e instalar backdoors, garantindo acesso prolongado ao site afetado.
ISH
Campanha ArcaneDoor explorando vulnerabilidades Zero Days da Cisco
A Cisco alertou sobre um grupo malicioso que, desde novembro de 2023, tem explorado falhas nos firewalls ASA e FTD para comprometer redes governamentais globais. Os invasores, conhecidos como UAT4356 e STORM-1849, iniciaram ataques aos dispositivos com a campanha ArcaneDoor.
ISH
CVE-2024-4040, Vulnerabilidade critica no CrushFTP sendo explorada em ataques
Recentemente a Cybersecurity and Infrastructure Security Agency (CISA), adicionou em seu catalogo de vulnerabilidades conhecidas (KEV), a falha critica CVE-2024-4040 no CrushFTP, a qual vem sendo explorada em ataques cibernéticos.
ISH
Nova campanha do CoralRider distribui infostealers em ataque direcionado
A Cisco descobriu uma campanha maliciosa que dissemina três tipos de infostealers: Cryptbot, LummaC2 e Rhadamanthys. A estratégia inclui um parâmetro de linha de comando do PowerShell, oculto em um arquivo LNK, que permite a evasão de antivírus e o download do malware no alvo.
ISH
Grupo ToddyCat utilizam túneis e ferramentas de extração para espionagem governamental
A Securelist informou que um grupo de ameaça persistente avançada (APT), conhecido como ToddyCat, tem como alvo organizações governamentais, principalmente na região da Ásia-Pacífico, com o objetivo de extrair informações sensíveis ilegalmente.
ISH
Microsoft alerta que hackers do APT28 exploram a falha do Windows relatada pela NSA
A Microsoft publicou os resultados de uma investigação do grupo de ameaça russo conhecido como Forest Blizzard (STRONTIUM), informando que este grupo tem utilizado uma ferramenta personalizada, chamada GooseEgg, para explorar a vulnerabilidade CVE-2022-38028.
ISH
Falha critica em Plugin do WordPress afetando mais de 400 mil sites
Recentemente o CERT do Japão publicou um alerta em seu portal de notas de vulnerabilidade (JVN) alertando sobre a existência de uma falha de gravidade crítica (CVE-2024-28890, CVSS v3: 9.8) no plugin Forminator do WordPress, utilizado em centenas de milhares de sites.
ISH
Cisco lança correção para vulnerabilidade de command injection no Cisco IMC
A Cisco divulgou correções para uma vulnerabilidade CVE-2024-20295 de alta relevância no controlador de gerenciamento integrado (IMC), que, devido à existência de um código de exploração público, poderia possibilitar que atacantes obtivessem privilégios de root.
ISH
Ator de ameaça vendendo exploração do VMware ESXi Shell em forum hacker
Foi observado em fórum hacker, um ator de ameaça realizando a venda de uma possível exploração direcionada ao VMware ESXi Shell Service. O ESXi Shell, é um componente essencial para gerenciar hosts VMware ESXi, fornecendo uma interface de linha de comando para interação direta com o host.
ISH
CVE-2024-21111, PoC de exploração para falha grave no VirtualBox disponível
A CVE-2024-21111, uma vulnerabilidade grave no Oracle VirtualBox, afetando versões anteriores à 7.0.16. Ela permite que atacantes com acesso básico a um sistema Windows executando o VirtualBox aumentem seus privilégios. Um exploit de prova de conceito (PoC) foi divulgado.
ISH
Botnets continuam aproveitando falha em roteadores TP-Link para Disseminação Global
A vulnerabilidade CVE-2023-1389, presente na interface de gerenciamento web dos roteadores TP-Link Archer AX21, tem sido explorada por diversas botnets para a propagação em larga escala. Essa falha permite a execução de código remoto por atacantes não autenticados.
ISH
Grupo APT44 observado utilizando backdoor Kapeka em ataques direcionados
Pesquisadores identificaram um backdoor, apelidado de "Kapeka", que vem sendo utilizado em ofensivas contra alvos no Leste Europeu desde meados de 2022. Este malware é caracterizado por sua versatilidade e conjunto completo de funcionalidades.
ISH
MITRE foi alvo de ataque de zero day em dispositivos Ivanti Connect Secure
A MITRE Corporation informou que foi comprometida por um ataque patrocinado pelo estado, que se aproveitou de duas vulnerabilidades CVE-2023-46805 e CVE-2024-21887, nos dispositivos Ivanti Connect Secure desde janeiro de 2024 que resultou na violação do seu sistema NERVE.