Esta publicação tem como objetivo divulgar o documento desenvolvido pela equipe de Threat Intelligence da Service IT Security que foi desenvolvido e fundamentado utilizando as documentações oficiais do NIST (National Institute Of Standards and Technology), MITRE e CVE.org, que são conhecidas mundialmente na área de cibersegurança, como modelo e padronização de melhores práticas de segurança, pesquisa de metodologias de ataques e defesa cibernética, e pesquisa e catalogação de novas vulnerabilidades em sistemas operacionais e aplicações.
Vulnerabilidades e Ameaças Descobertas:
1. Uso de VMs do ISPsystem para entrega discreta de ransomware
Descrição: Grupos de ransomware abusam de VMs provisionadas pelo VMmanager da ISPsystem para hospedar C2s e distribuir payloads maliciosos em larga escala.
Exploração: Templates padrão reutilizam hostnames e identificadores (ex.: WIN-xxxx), permitindo que VMs maliciosas se misturem a instâncias legítimas, dificultando detecção e takedown.
Impacto: Maior disseminação de ransomware, aumento do tempo de resposta a incidentes e fortalecimento da resiliência da infraestrutura criminosa.
Mitigação: Personalizar templates (Sysprep), gerar identificadores únicos, monitorar hostnames padrão, reforçar EDR/NDR e segmentar rede.
2. Malware Android se passa por notificações de multas E-Challan (RTO)
Descrição: Campanha Android na Índia usa falsas notificações governamentais para roubo de dados e fraude financeira.
Exploração: Links via SMS/WhatsApp levam ao sideload de APK modular com VPN customizada, anti-análise e abuso de permissões sensíveis.
Impacto: Interceptação de OTPs, notificações bancárias, roubo de identidade e possível controle total do dispositivo.
Mitigação: Bloquear sideload via MDM, usar MTD, evitar links não solicitados, recusar permissões excessivas e adotar MFA não baseado em SMS.
3. Execução remota de código crítica no n8n via workflows maliciosos
Descrição: Falha crítica no n8n permite RCE por meio de expressões dinâmicas em workflows em ambientes self-hosted.
Exploração: Usuário autenticado injeta payloads nas expressões; ao executar o workflow, comandos são executados com privilégios do serviço.
Impacto: Comprometimento total do host, exfiltração de segredos, movimentação lateral e acesso à rede interna.
Mitigação: Atualizar para v1.123.17 ou v2.5.2+, reduzir privilégios, isolar instâncias, hardening de contêineres e monitorar processos filhos.
4. Cisco Meeting Management: upload malicioso leva a acesso root
Descrição: Vulnerabilidade (CVE-2026-20098) permite upload de arquivos maliciosos processados como root no Cisco Meeting Management.
Exploração: Usuário autenticado (role video operator) envia arquivos via Certificate Management, resultando em execução arbitrária.
Impacto: Controle total do servidor, persistência, exfiltração de dados e interrupção de serviços.
Mitigação: Atualizar para 3.12.1 MR+, restringir acesso à interface, reduzir privilégios, auditar uploads e aplicar MFA.
5. Lotus Blossom compromete Notepad++ e distribui o backdoor Chrysalis
Descrição: Campanha de espionagem do APT Lotus Blossom comprometeu a cadeia de atualização do Notepad++ para distribuir o backdoor Chrysalis.
Exploração: Instalador NSIS malicioso usa DLL sideloading, loaders avançados (Warbird) e C2 camuflado como APIs de IA.
Impacto: Espionagem prolongada, exfiltração de dados sensíveis, controle remoto e evasão de EDR.
Mitigação: Validar integridade de software, aplicar allowlisting, bloquear DLLs não assinadas, monitorar IOCs e isolar hosts comprometidos.
Para obter mais detalhes e verificar a versão completa do documento desta publicação, acesse-o clicando aqui.
