Esta publicação tem como objetivo divulgar o documento desenvolvido pela equipe de Threat Intelligence da Service IT Security que foi desenvolvido e fundamentado utilizando as documentações oficiais do NIST (National Institute Of Standards and Technology), MITRE e CVE.org, que são conhecidas mundialmente na área de cibersegurança, como modelo e padronização de melhores práticas de segurança, pesquisa de metodologias de ataques e defesa cibernética, e pesquisa e catalogação de novas vulnerabilidades em sistemas operacionais e aplicações.
Vulnerabilidades e Ameaças Descobertas:
Descrição: Campanha massiva tenta adivinhar credenciais em portais GlobalProtect e escaneia APIs SonicWall.
Exploração: Tentativas de login e varreduras originadas de mais de 7.000 IPs para identificar credenciais válidas.
Impacto: Possibilidade de acesso indevido à VPN corporativa e comprometimento do ambiente.
Mitigação: Ativar MFA, bloquear IPs maliciosos e monitorar falhas de autenticação.
2. Phishing no Microsoft Teams usa notificações falsas para roubar dados
Descrição: Notificações falsas do Teams levam usuários a ligar para números fraudulentos.
Exploração: Criminosos adicionam usuários a grupos falsos e enviam notificações legítimas do Teams com números falsos.
Impacto: Vítimas fornecem dados confidenciais ao falso suporte.
Mitigação: Validar grupos, reforçar filtros de e-mail e treinar usuários contra engenharia social.
Descrição: Falha XXE no Tika permite execução de código e roubo de informações por meio de PDFs malformados.
Exploração: PDFs com XFA malicioso acionam injeção XXE em versões vulneráveis do Tika.
Impacto: Execução de código remoto e acesso indevido a sistemas processadores de documentos.
Mitigação: Atualizar para Tika 3.2.2+, restringir PDFs externos e monitorar atividade suspeita.
4. CastleRAT: Nova ameaça RAT para Windows com técnicas sofisticadas
Descrição: RAT em Python e C permite controle remoto, captura de dados e comunicação criptografada.
Exploração: Coleta dados do sistema, captura teclas e usa RC4 para comunicação com servidor C2.
Impacto: Controle total da máquina e roubo de dados sensíveis, inclusive via clipboard.
Mitigação: Monitorar PowerShell, tráfego RC4 e atualizar sistemas e antivírus.
5. AWS SageMaker: Vulnerabilidade permite escalada de privilégios
Descrição: Permissões excessivas permitem injeção de código em userData e lifecycle.
Exploração: Atacante altera atributos de instâncias para executar payloads na inicialização.
Impacto: Controle total da instância e acesso a dados sensíveis.
Mitigação: Restringir permissões EC2/SageMaker, monitorar CloudTrail e aplicar fluxos de aprovação.
6. Vulnerabilidades críticas de permissão no Splunk Enterprise e Universal Forwarder
Descrição: Falhas permitem que usuários locais não privilegiados alterem diretórios sensíveis.
Exploração: Permissões inadequadas em diretórios permitem modificação de arquivos e elevação de privilégio.
Impacto: Escalonamento de privilégios até administrador.
Mitigação: Atualizar Splunk e corrigir permissões com icacls quando necessário.
7. Malware Linux combina DDoS e mineração clandestina
Descrição: V3G4 integra botnet tipo Mirai com minerador furtivo de Monero.
Exploração: Baixa payload por CPU, se disfarça como processo legítimo e comunica via TCP/DNS.
Impacto: Ataques DDoS e uso clandestino de recursos para mineração.
Mitigação: Monitorar rede, atualizar sistemas e proteger SSH e dispositivos IoT.
8. BRICKSTORM: Ameaça avançada contra VMware ESXi e Windows
Descrição: Backdoor em Go usa DoH e WebSocket para controle persistente em ambientes virtualizados.
Exploração: Movimentação lateral até AD/ADFS, instalação de backdoor e exfiltração de chaves e dados.
Impacto: Comprometimento completo de infraestrutura crítica e persistência prolongada.
Mitigação: Atualizar vSphere, bloquear DoH não autorizado e reforçar monitoramento e análise forense.
Para obter mais detalhes e verificar a versão completa do documento desta publicação, acesse-o clicando aqui.
