github-actions[bot]
commented
1 year ago Boletim de Segurança
:arrow_right: Variante do Malware Chaes ameaça serviços financeiros na América Latina. As indústrias bancária e de logística estão enfrentando uma variante reestruturada de um malware chamado Chaes. O Malware foi reescrito inteiramente em Python, o que resultou em taxas de detecção mais baixas pelos sistemas de defesa tradicionais, além de um redesenho abrangente e um protocolo de comunicação aprimorado. Chaes, que surgiu pela primeira vez em 2020, é conhecido por atacar clientes de comércio eletrônico na América Latina, especialmente no Brasil, para roubar informações financeiras sensíveis. Uma análise subsequente realizada por pesquisadores em 2022 descobriu que os atores de ameaças por trás da operação, que se autodenominam Lucifer, haviam violado mais de 800 sites WordPress para entregar o Chaes aos usuários de instituições como Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre e Mercado Pago. Vítimas em potencial que acessam um dos sites comprometidos são recebidas por uma mensagem pop-up solicitando o download de um instalador para Java Runtime ou uma solução antivírus, acionando o lançamento de um arquivo MSI malicioso que, por sua vez, inicia um módulo orquestrador primário chamado ChaesCore.
:arrow_right: Infiltrações e ataques revelam a estratégia do Grupo Andariel em 2023. O grupo de ameaças norte-coreano conhecido como Andariel foi observado utilizando um arsenal de ferramentas maliciosas em seus ataques cibernéticos contra corporações e organizações no sul do país. “Uma característica dos ataques identificados em 2023 é que existem várias cepas de malware desenvolvidas na linguagem Go”, afirmou o AhnLab Security Emergency Response Center (ASEC) em um estudo detalhado divulgado na semana passada. Andariel, também conhecido pelos nomes Nicket Hyatt ou Silent Chollima, é um subgrupo do Lazarus Group, ativo desde pelo menos 2008. Instituições financeiras, contratantes de defesa, agências governamentais, universidades, fornecedores de cibersegurança e empresas de energia estão entre os principais alvos do grupo patrocinado pelo estado para financiar atividades de espionagem e gerar receita ilegalmente para o país. As cadeias de ataque montadas pelo adversário utilizaram uma variedade de vetores de infecção inicial, como spear-phishing, watering holes e ataques à cadeia de suprimentos, como ponto de partida para lançar diferentes cargas maliciosas. Algumas das famílias de malware utilizadas pelo Andariel em seus ataques incluem Gh0st RAT, DTrack, YamaBot, NukeSped, Rifdoor, Phandoor, Andarat, Andaratm, TigerRAT e EarlyRAT.
:arrow_right: Atores de Ameaças Comprometem MinIO Através de Vulnerabilidades Críticas Um ator de ameaças desconhecido foi observado explorando falhas de segurança de alta gravidade no sistema de armazenamento de objetos MinIO para alcançar a execução não autorizada de código em servidores afetados. A empresa de resposta a incidentes e cibersegurança, Security Joes, afirmou que a intrusão utilizou uma cadeia de exploração publicamente disponível para comprometer a instância do MinIO. As vulnerabilidades em questão são CVE-2023-28432 (com uma pontuação CVSS de 7.5) e CVE-2023-28434 (com uma pontuação CVSS de 8.8). A primeira vulnerabilidade foi adicionada ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) em 21 de abril de 2023. Essas duas vulnerabilidades possuem o potencial de expor informações sensíveis presentes na instalação comprometida e facilitar a execução remota de código (RCE) no host onde o aplicativo MinIO está operacional. O que é evidente é que o ator da ameaça é proficiente em trabalhar com scripts bash e Python, além de aproveitar o acesso pela porta dos fundos para soltar cargas úteis adicionais de um servidor remoto para pós-exploração por meio de um script de downloader.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: