github-actions[bot]
commented
9 months ago Boletim de Segurança
:arrow_right: Ransomware LockBit paralisa operação de um dos maiores bancos do mundo. O Industrial and Commercial Bank of China (ICBC), um dos maiores bancos do mundo, está lidando com um ataque de ransomware. O Financial Times foi o primeiro a noticiar que o ICBC, banco estatal chinês e o maior do país com receitas de $214.7 bilhões em 2022, foi atingido por um ransomware na último dia (09). A Securities Industry and Financial Markets Association, um grupo comercial que representa firmas de valores mobiliários, bancos e empresas de gestão de ativos, supostamente enviou uma mensagem aos seus membros sobre o incidente após certas negociações no mercado de títulos do Tesouro dos EUA não conseguirem ser concluídas. Fontes informaram ao Financial Times que o grupo de ransomware LockBit estava por trás do ataque. O grupo realizou vários grandes ataques a governos, empresas e organizações ao longo de 2023, superando qualquer outro grupo de ransomware atualmente em operação. O banco informou a vários clientes que um problema de cibersegurança exigiria que eles redirecionassem algumas negociações. Vários pesquisadores de cibersegurança disseram que relatos do ataque circulavam há dias. Os clientes foram notificados através de operadores de ações que não conseguiam realizar negociações ou concluir as anteriores através do ICBC.
:arrow_right: Invasores aproveitam falha no Confluence para instalar backdoor Effluence. Pesquisadores de cibersegurança descobriram um backdoor furtivo chamado Effluence, que é implantado após a exploração bem-sucedida de uma falha de segurança recentemente divulgada no Atlassian Confluence Data Center e Server. O malware atua como um backdoor persistente e não é remediado pela aplicação de patches no Confluence. O backdoor oferece capacidade para movimentação lateral para outros recursos de rede, além da exfiltração de dados do Confluence. Importante destacar que os atacantes podem acessar o backdoor remotamente sem autenticação no Confluence. A cadeia de ataque documentada envolveu a exploração do CVE-2023-22515 (pontuação CVSS: 10.0), uma falha crítica no Atlassian que pode ser abusada para criar contas de administrador não autorizadas e acessar servidores Confluence. A Atlassian divulgou também uma segunda falha conhecida como CVE-2023-22518 (pontuação CVSS: 10.0) que um atacante também pode aproveitar para configurar uma conta de administrador ilegítima, resultando em uma perda completa de confidencialidade, integridade e disponibilidade. O que torna o ataque mais recente notável é que o adversário ganhou acesso inicial via CVE-2023-22515 e incorporou um novo web shell que concede acesso remoto persistente a todas as páginas da web no servidor, incluindo a página de login não autenticada, sem a necessidade de uma conta de usuário válida.
:arrow_right: Nova frente de ataques cibernéticos do Irã no Oriente Médio. Um grupo com ligações ao Irã mirou os setores de transporte, logística e tecnologia no Oriente Médio, incluindo Israel, em outubro de 2023, em meio a um aumento na atividade cibernética iraniana desde o início da guerra entre Israel e Hamas. Os ataques foram atribuídos pela CrowdStrike a um ator de ameaça que a empresa monitora sob o nome de “Imperial Kitten”. A atividade do adversário, ativa desde pelo menos 2017, provavelmente atende aos requisitos de inteligência estratégica iraniana associados às operações do IRGC”, disse a CrowdStrike em um relatório técnico. Sua atividade é caracterizada pelo uso de engenharia social, particularmente conteúdo temático de recrutamento de emprego, para entregar implantes personalizados baseados em .NET. As cadeias de ataque aproveitam sites comprometidos, principalmente relacionados a Israel, para perfilar visitantes usando JavaScript personalizado e exfiltrar as informações para domínios controlados pelos atacantes. As campanhas de phishing envolvem o uso de documentos do Microsoft Excel com macros para ativar a cadeia de infecção e soltar um shell reverso baseado em Python que se conecta a um endereço IP codificado para receber mais comandos.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: