Esta publicação tem como objetivo divulgar o documento desenvolvido pela equipe de Threat Intelligence da Service IT Security que foi desenvolvido e fundamentado utilizando as documentações oficiais do NIST (National Institute Of Standards and Technology), MITRE e CVE.org, que são conhecidas mundialmente na área de cibersegurança, como modelo e padronização de melhores práticas de segurança, pesquisa de metodologias de ataques e defesa cibernética, e pesquisa e catalogação de novas vulnerabilidades em sistemas operacionais e aplicações.
Vulnerabilidades e Ameaças Descobertas:
1. TAG-150: Nova ameaça cibernética despacha múltiplos malwares
Descrição: Grupo TAG-150 desenvolve e distribui malwares como CastleLoader, CastleBot e CastleRAT, com alta taxa de infecção.
Exploração: Utiliza phishing e repositórios falsos no GitHub para executar comandos PowerShell e implantar RATs com comunicação C2 criptografada.
Impacto: Comprometimento total dos sistemas infectados, com acesso remoto e roubo de dados sensíveis.
Mitigação: Bloquear e-mails suspeitos, validar links e arquivos, monitorar tráfego de rede e aplicar soluções EDR.
2. CVE-2025-38352: Vulnerabilidade crítica no Kernel Linux
Descrição: Falha TOCTOU no kernel Linux permite alteração maliciosa de recursos antes do uso efetivo.
Exploração: A condição de corrida entre verificação e uso permite elevação de privilégios e corrupção de dados.
Impacto: Afeta a confidencialidade, integridade e disponibilidade de sistemas baseados em Linux.
Mitigação: Aplicar atualizações dos fornecedores (Red Hat, Ubuntu, SUSE), seguir recomendações da CISA e descontinuar sistemas não corrigidos.
3. Técnica EDR Bypass em sistemas Windows
Descrição: Nova técnica permite leitura de arquivos sensíveis no disco rígido contornando soluções EDR.
Exploração: Usa drivers legítimos ou vulneráveis para leitura de setores físicos do disco, evitando detecção por nome de arquivo.
Impacto: Roubo furtivo de credenciais e dados críticos com alta evasão de ferramentas de segurança.
Mitigação: Criptografar discos, restringir privilégios, monitorar acesso bruto ao disco e bloquear drivers suspeitos.
4. Phishing via plataformas de IA contra Microsoft 365
Descrição: Cibercriminosos usam plataformas de IA confiáveis como o Simplified AI para redirecionar vítimas e roubar credenciais.
Exploração: Campanhas por e-mail com PDFs protegidos levam a páginas falsas de login do Microsoft 365 hospedadas em plataformas liberadas internamente.
Impacto: Comprometimento de contas corporativas por abuso da confiança em plataformas de IA.
Mitigação: Aplicar MFA, treinar usuários, monitorar uso de IA e inspecionar tráfego de forma contínua.
5. Malware NotDoor ataca usuários do Outlook
Descrição: APT28 criou o NotDoor, um malware em VBA que espiona e executa comandos a partir do Outlook.
Exploração: Monitora e-mails recebidos por palavras-chave e ativa cargas maliciosas, usando técnicas de persistência como side-loading.
Impacto: Roubo de dados e controle total dos sistemas afetados com evasão por e-mail e registro.
Mitigação: Desativar macros, monitorar Outlook, inspecionar atividades baseadas em gatilhos e bloquear C2s conhecidos.
Para obter mais detalhes e verificar a versão completa do documento desta publicação, acesse-o clicando aqui.
