github-actions[bot]
commented
7 months ago Boletim de Segurança
:arrow_right: Okta revela mais detalhes sobre violação de dados em Outubro. A Okta, provedora de serviços de identidade, divulgou que detectou atividades adicionais de atores de ameaças relacionadas à violação de seu sistema de gerenciamento de casos de suporte em outubro de 2023. A empresa informou que o invasor baixou nomes e endereços de e-mail de todos os usuários do sistema de suporte ao cliente da Okta. Todos os clientes da Okta Workforce Identity Cloud (WIC) e Customer Identity Solution (CIS) foram afetados, exceto aqueles nos ambientes FedRamp High e DoD IL4, que usam um sistema de suporte separado não acessado pelo invasor. O sistema de gerenciamento de casos de suporte Auth0/CIC não foi impactado por este incidente. Além disso, acredita-se que o adversário tenha acessado relatórios contendo informações de contato de todos os usuários certificados pela Okta, alguns clientes da Okta Customer Identity Cloud (CIC) e informações não especificadas de funcionários da Okta. A empresa enfatizou que os dados não incluem credenciais de usuário ou dados pessoais sensíveis. A Okta notificou todos os clientes sobre os riscos potenciais de phishing e engenharia social. A empresa também implementou novos recursos de segurança em suas plataformas e forneceu recomendações específicas aos clientes para se defenderem contra ataques direcionados aos administradores da Okta. A identidade dos atores de ameaça por trás do ataque aos sistemas da Okta ainda é desconhecida, embora um notório grupo de cibercrime chamado Scattered Spider tenha visado a empresa recentemente, em agosto de 2023, para obter permissões elevadas de administrador por meio de ataques sofisticados de engenharia social.
:arrow_right: Botnet GoTitan explora falha crítica no Apache ActiveMQ. Uma falha de segurança crítica recentemente revelada no Apache ActiveMQ está sendo ativamente explorada por atores de ameaças para distribuir uma nova botnet baseada em Go, chamada GoTitan, e um programa .NET conhecido como PrCtrl Rat, capaz de comandar remotamente os hosts infectados. Os ataques envolvem a exploração de um bug de execução remota de código (CVE-2023-46604, pontuação CVSS: 10.0) que foi “armado” por várias equipes de hackers, incluindo o Grupo Lazarus, nas últimas semanas. Após uma violação bem-sucedida, observou-se que os atores de ameaças baixam cargas úteis de um servidor remoto, uma das quais é a GoTitan, uma botnet projetada para orquestrar ataques de negação de serviço distribuído (DDoS) por meio de protocolos como HTTP, UDP, TCP e TLS. “Apenas binários para arquiteturas x64 são fornecidos pelo atacante, e o malware realiza algumas verificações antes de ser executado”, disse Cara Lin, pesquisadora da Fortinet. “Ele também cria um arquivo chamado ‘c.log’ que registra o tempo de execução e o status do programa. Este arquivo parece ser um log de depuração para o desenvolvedor, o que sugere que a GoTitan ainda está em um estágio inicial de desenvolvimento.” A Fortinet também observou casos em que os servidores Apache ActiveMQ suscetíveis estão sendo alvo para implantar outra botnet DDoS chamada Ddostf, malware Kinsing para cryptojacking e um framework de comando e controle (C2) chamado Sliver.
:arrow_right: Mais de 200 Apps maliciosos visam setor bancário. Uma campanha de malware no Android, que visa bancos iranianos, expandiu suas capacidades e incorporou táticas adicionais de evasão para evitar detecção. Segundo os pesquisadores, mais de 200 aplicativos maliciosos foram associados a esta operação, com os atores de ameaça realizando também ataques de phishing contra as instituições financeiras visadas. A campanha foi inicialmente identificada em julho de 2023 pela Sophos, que detalhou um conjunto de 40 aplicativos de coleta de credenciais visando clientes do Bank Mellat, Bank Saderat, Resalat Bank e Central Bank of Iran. O principal objetivo desses aplicativos falsos é enganar as vítimas para conceder-lhes permissões extensivas e colher credenciais de login bancário e detalhes de cartões de crédito, abusando dos serviços de acessibilidade do Android. As descobertas mais recentes mostram a evolução contínua da ameaça, não apenas em termos de um conjunto mais amplo de bancos e aplicativos de carteira de criptomoedas visados, mas também incorporando recursos anteriormente não documentados que a tornam mais potente. Isso inclui o uso do serviço de acessibilidade para conceder permissões adicionais, interceptar mensagens SMS, impedir a desinstalação e clicar em elementos da interface do usuário. As campanhas de phishing são igualmente sofisticadas, imitando os sites reais para exfiltrar credenciais, números de contas, modelos de dispositivos e endereços IP para dois canais controlados pelos atores no Telegram.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: