Boletins de Seguranca - ISH Tecnologia

segurança

Boletins de Segurança - Heimdall Security Research

O Heimdall, grupo de Threat Intelligence da ISH, apresenta os boletins sobre agentes de ameaças, Malwares utilizados por grupos maliciosos, Indicadores de Comprometimento, Técnicas, Táticas e Procedimentos (TTPs) e Análises de Artefatos e Mitigações, visando a prevenção de ataques e a evolução da maturidade da segurança cibernética.

ISH

Grupo Kinsing intensifica operações de criptojacking, explorando novas falhas

Pesquisadores da Aqua Security informaram que o grupo Kinsing, especializado em cryptojacking, tem mostrado uma habilidade notável para se adaptar e evoluir. Eles têm sido uma ameaça constante, incorporando novas vulnerabilidades divulgadas ao seu conjunto de ferramentas de ataques.

ISH

Campanha LockBit Black associada a botnet Phorpiex disparando milhões de e-mails

O centro de pesquisa da NJCCIC identificou o surgimento de uma campanha maliciosa denominada LockBit Black disparando milhões de e-mails maliciosos. Esta nova onda de ataques usando o LockBit Black representa uma ameaça cibernética emergente.

ISH

VMware atualiza software após vulnerabilidades Zero-Days reveladas

A VMware atualizou seus hipervisores Workstation e Fusion, corrigindo quatro falhas, das quais três foram zero-day exploradas no evento Pwn2Own Vancouver em 2024. A vulnerabilidade mais crítica, identificada como CVE-2024-22267, um erro no vbluetooth.

ISH

Vulnerabilidades críticas no Cacti facilitam a execução de códigos maliciosos

Os responsáveis pela plataforma de monitoramento de redes e gestão de incidentes Cacti, corrigiram recentemente doze vulnerabilidades de segurança. Entre elas, destacam-se duas falhas críticas que, se exploradas, poderiam permitir a execução de códigos arbitrários por parte de invasores.

ISH

Ataque avançado LLMjacking com o uso de inteligência artificial explora credenciais de nuvem

Pesquisadores da Sysdig descobriram um ataque intitulado como "LLMjacking", que está utilizando credenciais de nuvem roubadas para controlar grandes modelos de linguagem (LLMs) na nuvem. Esse ataque causa perdas financeiras e ameaça a segurança dos dados.

ISH

Grupo SocGholish atacando empresas com atualizações fraudulentas de navegadores

Em abril de 2024, a equipe da eSentire, detectou o comportamento do grupo SocGholish em uma cadeia de ações maliciosas que remontavam a uma infecção originada por uma suposta atualização de navegador. O intuito do códgo era passar despercebido.

ISH

Ator de ameaça vendendo Exploit RCE Zero day do Outlook em fórum hacker

Foi observado recentemente um ator de ameaças conhecido por Cvsp, vendendo uma possível exploração RCE zero day do Microsoft Outlook, conforme o anuncio, essa exploração foi testada em sistemas de versões x86 e x64 e funciona com taxa de 100% de sucesso da exploração.

ISH

Entrega de código Go malicioso através de esteganografia em pacotes PyPI

Pesquisadores da Phylum informaram sobre um pacote duvidoso no PyPI denominado requests-darwin-lite. Uma versão modificada do conhecido requests, com distinções cruciais, incluindo um binário Go mal-intencionado escondido em um arquivo PNG ampliado do logotipo do requests.

ISH

Microsoft disponibiliza correções de segurança no Patch Tuesday de Maio de 2024

Na terça feira saiu o Patch Tuesday de maio de 2024 da Microsoft, o qual incluiu atualizações de segurança para um total de 61 falhas e 03 zero days que estavam sendo explorados ativamente por atores maliciosos em ataques cibernéticos contra organizações

ISH

Novo grupo de Ransomware atacando a América do Sul identificado, Arcus Media

Recentemente o time de inteligência Heimdall da ISH, identificou um novo grupo de ransomware chamado Arcus Media, atacando organizações da América do Sul, até o momento, em sua maioria os ataques têm tido como alvo principal organizações do Brasil.

ISH

Falhas recentes no BIG-IP Next Central Manager possibilitam o controle total de dispositivos

Duas vulnerabilidades sérias no BIG-IP Next Central Manager foram corrigidas pela F5, as quais podem ser usadas para obter controle total e criar contas secretas não autorizadas em qualquer dispositivo gerenciado. CVE-2024-26026 e CVE-2024-21793 na API do BIG-IP Next Central Manager.

ISH

Vulnerabilidade TunnelVision captura de dados em redes VPN através de técnicas de DHCP

Especialistas revelaram um método conhecido como TunnelVision, vulnerabilidade CVE-2024-3661 alta, em redes privadas virtuais (VPN). Essa falha permite que invasores, ao compartilharem a mesma rede local que a vítima, possam monitorar e interceptar dados.

ISH

Atualização da Apple corrige vulnerabilidade CVE-2024-27834 Zero-Day no webkit do safari

Recentemente a Apple implementou correções de segurança para a vulnerabilidade CVE-2024-27834 de segurança para o Safari, remediando uma falha crítica exposta no evento Pwn2Own Vancouver rastreada por pesquisadores no evento.

ISH

Hackers iranianos utilizando identidades falsas de jornalistas em ataques cibernéticos

O grupo APT42, está utilizando métodos sofisticados de engenharia social para invasão de redes, abrangendo também plataformas de nuvem. Seu foco está em organizações não governamentais, além de entidades de mídia, universidades, serviços de advocacia e outros.

ISH

Google lança correção de segurança para vulnerabilidade Zero-Day no navegador Chrome

A Google implementou atualizações de segurança relacionada a vulnerabilidade CVE-2024-4671 zero-day classificada como crítica que tem como alvo o navegador Chrome. Esta falha específica estava sendo ativamente explorada, conforme reportado pela empresa.

ISH

Mirai Botnet aproveitando de falhas do Ivanti Connect para disseminar malware

A Juniper Networks identificou que as falhas CVE-2023-46805, relacionada ao desvio de autenticação e CVE-2024-21887, associada à injeção de comando específicas no Ivanti Pulse Secure, que permitem tanto bypass de autenticação quanto execução remota de código, foram aproveitadas pela botnet Mirai.

ISH

Falha crítica do Tinyproxy expõe mais de 50.000 hosts expostos online

A Cisco divulgou agora em maio detalhes sobre a vulnerabilidade identificada como CVE-2023-49606. Esta falha, encontrada nas versões 1.11.1 e 1.10.0 do Tinyproxy, permite que atores maliciosos executem um use-after-free de memória, resultando em comportamentos inesperados do software.

ISH

Dados médicos dos pacientes da DocGo roubados em ataque virtual

A DocGo, um provedor de serviços de saúde, divulgou em seu relatório 8-K a ocorrência de um incidente de segurança cibernética envolvendo alguns de seus sistemas. Após investigação, a empresa confirmou que o invasor obteve acesso e adquiriu dados, incluindo informações de saúde protegidas.

ISH

Agências advertem que hackers norte coreanos estão explorando políticas fracas de DMARC

Agências de inteligência dos EUA, divulgaram um comunicado sobre o grupo hacker APT43, vinculado à Coreia do Norte, que está utilizando deficiências nas políticas de DMARC para camuflar ataques de spearphishing, esses ataques são uma forma de phishing altamente direcionada.

ISH

Aruba lança atualizações de segurança para solucionar falhas críticas no ArubaOS

A HPE Aruba Networking, divulgou recentemente atualizações de segurança que visam corrigir as vulnerabilidades CVE-2024-26304, CVE-2024-26305, CVE-2024-33511, CVE-2024-33512 classificadas como críticas presentes no ArubaOS, se exploradas, permitem a execução remota de código.

ISH

Botnet Goldoon observada explorando falha antiga em dispositivos D-Link

A FortiGuard detectou em abril uma botnet recém-desenvolvida explorando uma falha antiga da D-Link, identificada como CVE-2015-2051. Essa falha específica possibilita a execução de comandos remotos arbitrários através do recurso GetDeviceSettings presente na interface HNAP.

ISH

Ascension Healthcare desativa sistemas após ser alvo de ataque cibernético

A Ascension Healthcare, um dos maiores sistemas de saúde dos EUA, operando cerca de 140 hospitais em 19 estados e em Washington, empregando cerca de 134 mil pessoas, interrompeu certos sistemas para investigar o que chamou de "evento de segurança cibernética".

ISH

CVE-2024-32038, Vulnerabilidade RCE crítica no mecanismo de análise do Wazuh

Recentemente foi descoberta a falha CVE-2024-32038, uma vulnerabilidade crítica de execução remota de código (RCE) que afeta o Wazuh Manager, versões de 3.8.0 até 4.7.1. Essa falha ocorre no componente wazuh-analysisd, responsável por analisar dados coletados e gerar alertas de segurança.

ISH

Vulnerabilidade Crítica em linguagem R Permite Execução Arbitrária de Código

Pesquisadores de segurança identificaram uma vulnerabilidade CVE-2024-27322 na linguagem de programação R, que possibilita a execução de código arbitrário durante a desserialização de conteúdo não seguro. Arquivos RDS (R Data Serialization) ou pacotes R, comuns entre desenvolvedores.

ISH

Repositórios Docker Hub detectados disseminando malware e páginas de phishing

Pesquisadores da JFrog e Docker realizaram um trabalho em conjunto para mitigar e resolver problemas decorrentes da recente exposição de repositórios no Docker Hub que foram utilizados para disseminar malware e esquemas de phishing dentro da plataforma Docker Hub.

ISH

Ataque cibernético provoca fechamento de lojas da rede London Drugs

Recentemente a rede de farmácias canadense London Drugs suspendeu temporariamente as operações de suas lojas de varejo em resposta a um incidente de segurança cibernética, conforme descreveu a organização em nota sobre a situação ocorrida.

ISH

Grupo Lazarus observado implantando novo Rat Kaolin em seus ataques

O Lazarus Group realizou ataques seletivos na Ásia, utilizando o Kaolin RAT, um trojan de acesso remoto recém-desenvolvido. A estratégia incluiu o uso de iscas de emprego falsas, uma técnica comum do grupo. O ataque explorou a vulnerabilidade CVE-2024-21338 no driver appid.sys do Windows.

ISH

Falha crítica no plug-in WP-Automatic do WordPress, sendo explorada em ataques

A vulnerabilidade crítica CVE-2024-27956 no plugin WP Automatic para WordPress está sendo explorada por agentes mal-intencionados para criar contas administrativas e instalar backdoors, garantindo acesso prolongado ao site afetado.

ISH

Campanha ArcaneDoor explorando vulnerabilidades Zero Days da Cisco

A Cisco alertou sobre um grupo malicioso que, desde novembro de 2023, tem explorado falhas nos firewalls ASA e FTD para comprometer redes governamentais globais. Os invasores, conhecidos como UAT4356 e STORM-1849, iniciaram ataques aos dispositivos com a campanha ArcaneDoor.

ISH

CVE-2024-4040, Vulnerabilidade critica no CrushFTP sendo explorada em ataques

Recentemente a Cybersecurity and Infrastructure Security Agency (CISA), adicionou em seu catalogo de vulnerabilidades conhecidas (KEV), a falha critica CVE-2024-4040 no CrushFTP, a qual vem sendo explorada em ataques cibernéticos.

ISH

Nova campanha do CoralRider distribui infostealers em ataque direcionado

A Cisco descobriu uma campanha maliciosa que dissemina três tipos de infostealers: Cryptbot, LummaC2 e Rhadamanthys. A estratégia inclui um parâmetro de linha de comando do PowerShell, oculto em um arquivo LNK, que permite a evasão de antivírus e o download do malware no alvo.

ISH

Grupo ToddyCat utilizam túneis e ferramentas de extração para espionagem governamental

A Securelist informou que um grupo de ameaça persistente avançada (APT), conhecido como ToddyCat, tem como alvo organizações governamentais, principalmente na região da Ásia-Pacífico, com o objetivo de extrair informações sensíveis ilegalmente.

ISH

Microsoft alerta que hackers do APT28 exploram a falha do Windows relatada pela NSA

A Microsoft publicou os resultados de uma investigação do grupo de ameaça russo conhecido como Forest Blizzard (STRONTIUM), informando que este grupo tem utilizado uma ferramenta personalizada, chamada GooseEgg, para explorar a vulnerabilidade CVE-2022-38028.

ISH

Falha critica em Plugin do WordPress afetando mais de 400 mil sites

Recentemente o CERT do Japão publicou um alerta em seu portal de notas de vulnerabilidade (JVN) alertando sobre a existência de uma falha de gravidade crítica (CVE-2024-28890, CVSS v3: 9.8) no plugin Forminator do WordPress, utilizado em centenas de milhares de sites.

ISH

Cisco lança correção para vulnerabilidade de command injection no Cisco IMC

A Cisco divulgou correções para uma vulnerabilidade CVE-2024-20295 de alta relevância no controlador de gerenciamento integrado (IMC), que, devido à existência de um código de exploração público, poderia possibilitar que atacantes obtivessem privilégios de root.

ISH

Ator de ameaça vendendo exploração do VMware ESXi Shell em forum hacker

Foi observado em fórum hacker, um ator de ameaça realizando a venda de uma possível exploração direcionada ao VMware ESXi Shell Service. O ESXi Shell, é um componente essencial para gerenciar hosts VMware ESXi, fornecendo uma interface de linha de comando para interação direta com o host.

ISH

CVE-2024-21111, PoC de exploração para falha grave no VirtualBox disponível

A CVE-2024-21111, uma vulnerabilidade grave no Oracle VirtualBox, afetando versões anteriores à 7.0.16. Ela permite que atacantes com acesso básico a um sistema Windows executando o VirtualBox aumentem seus privilégios. Um exploit de prova de conceito (PoC) foi divulgado.

ISH

Botnets continuam aproveitando falha em roteadores TP-Link para Disseminação Global

A vulnerabilidade CVE-2023-1389, presente na interface de gerenciamento web dos roteadores TP-Link Archer AX21, tem sido explorada por diversas botnets para a propagação em larga escala. Essa falha permite a execução de código remoto por atacantes não autenticados.

ISH

Grupo APT44 observado utilizando backdoor Kapeka em ataques direcionados

Pesquisadores identificaram um backdoor, apelidado de "Kapeka", que vem sendo utilizado em ofensivas contra alvos no Leste Europeu desde meados de 2022. Este malware é caracterizado por sua versatilidade e conjunto completo de funcionalidades.

ISH

MITRE foi alvo de ataque de zero day em dispositivos Ivanti Connect Secure

A MITRE Corporation informou que foi comprometida por um ataque patrocinado pelo estado, que se aproveitou de duas vulnerabilidades CVE-2023-46805 e CVE-2024-21887, nos dispositivos Ivanti Connect Secure desde janeiro de 2024 que resultou na violação do seu sistema NERVE.
Botoes de Pagina

Boletins de Seguranca