github-actions[bot]
commented
1 year ago Boletim de Segurança
:arrow_right: Anonymous Sudan assume responsabilidade por ataques DDoS ao ChatGPT. A OpenAI, desenvolvedora do ChatGPT, admitiu que as interrupções intermitentes em sua principal oferta de IA generativa nos últimos dias foram causadas por ataques de negação de serviço distribuído (DDoS). De acordo com a página de status do desenvolvedor, o ChatGPT e sua API vêm sofrendo “interrupções periódicas” desde o último dia 8 de novembro. “Estamos lidando com interrupções periódicas devido a um padrão de tráfego anormal, reflexo de um ataque DDoS. Continuamos trabalhando para mitigar isso”, disse a OpenAI. O grupo hacktivista Anonymous Sudan assumiu a responsabilidade pelos ataques através do Telegram. Além de seu objetivo declarado de atacar “qualquer empresa americana”, o grupo afirmou ter escolhido a OpenAI por seu apoio a Israel. O país tem recebido ampla condenação recentemente por seu bombardeio de civis palestinos. A declaração citou “a cooperação da OpenAI com o estado de ocupação de Israel e o CEO da OpenAI dizendo que está disposto a investir mais em Israel, e suas várias reuniões com autoridades israelenses como Netanyahu”. O Anonymous Sudan acrescentou que “o ChatGPT tem um viés geral em favor de Israel e contra a Palestina”. O grupo reivindicou a responsabilidade por ataques DDoS contra empresas suecas no início do ano, em uma ação que afirmou ser uma retaliação por um incidente de queima do Alcorão perto da embaixada da Turquia em Estocolmo. No entanto, especialistas sugeriram que o grupo hacktivista é na verdade um grupo apoiado pelo estado russo com a missão de amplificar o sentimento antiocidental. Ele também foi vinculado ao prolífico grupo russo de ‘hacktivistas’ Killnet. A OpenAI continua sendo uma das empresas de tecnologia mais comentadas, tornando-a um alvo típico para hackers.
:arrow_right: Ataques cibernéticos iranianos utilizam framework muddyC2Go contra Israel. Atores estatais iranianos foram observados utilizando um framework de comando e controle (C2) anteriormente não documentado chamado MuddyC2Go, como parte de ataques direcionados a Israel. “O componente web do framework é escrito na linguagem de programação Go”, disse Simon Kenin, pesquisador de segurança da Deep Instinct, em um relatório técnico publicado na quarta-feira. A ferramenta foi atribuída ao MuddyWater, um grupo de hackers patrocinado pelo estado iraniano, afiliado ao Ministério de Inteligência e Segurança (MOIS) do Irã. A empresa de cibersegurança afirmou que o framework C2 pode ter sido utilizado pelo ator de ameaça desde o início de 2020, com ataques recentes utilizando-o no lugar do PhonyC2, outra plataforma C2 personalizada do MuddyWater que veio à tona em junho de 2023 e teve seu código-fonte vazado. As sequências de ataque típicas observadas ao longo dos anos envolveram o envio de e-mails de spear-phishing contendo arquivos com malware ou links falsos que levam à implantação de ferramentas legítimas de administração remota. A instalação do software de administração remota abre caminho para a entrega de cargas úteis adicionais, incluindo o PhonyC2. O MuddyWater usa arquivos protegidos por senha para evitar soluções de segurança de e-mail e distribuindo um executável em vez de uma ferramenta de administração remota. O servidor MuddyC2Go, por sua vez, envia um script PowerShell, que é executado a cada 10 segundos e aguarda mais comandos do operador. Embora a extensão completa dos recursos do MuddyC2Go seja desconhecida, suspeita-se que seja um framework responsável por gerar cargas úteis de PowerShell para realizar atividades de pós-exploração.
:arrow_right: Malvertising avançado emprega táticas de camuflagem. Uma nova campanha de malvertising foi descoberta utilizando sites falsos que se passam por um portal legítimo de notícias do Windows para propagar um instalador malicioso de uma ferramenta popular de perfilamento de sistema chamada CPU-Z. “Este incidente faz parte de uma campanha maior de malvertising que também visa outras utilidades como Notepad++, Citrix e VNC Viewer. Embora as campanhas de malvertising sejam conhecidas por configurar sites réplica anunciando softwares amplamente utilizados, a atividade mais recente se destaca por imitar o site WindowsReport[.]com. O objetivo é enganar usuários desavisados que buscam por CPU-Z em motores de busca como o Google, servindo anúncios maliciosos que, ao serem clicados, redirecionam para o portal falso (workspace-app[.]online). Ao mesmo tempo, usuários que não são as vítimas pretendidas da campanha recebem um blog inofensivo com diferentes artigos, uma técnica conhecida como camuflagem. O instalador MSI assinado hospedado no site fraudulento contém um script malicioso do PowerShell, um carregador conhecido como FakeBat (também conhecido como EugenLoader), que serve como um canal para implantar o RedLine Stealer no host comprometido. Isso está longe de ser a primeira vez que anúncios enganosos do Google Ads para softwares populares se revelaram como um vetor de distribuição de malware.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: