search

codaqui / boletim-diario-seguranca

Receba notificações todos os dias as 10 da manhã, siga esse repositório.
7 stars 0 forks source link

Boletim Diário: 29/02/2024 #359

Closed github-actions[bot] closed 7 months ago

github-actions[bot] commented 7 months ago

:point_down:

github-actions[bot] commented 7 months ago

Boletim de Segurança

:arrow_right: CISA emite alerta de segurança sobre nova ameaça cibernética. A Agência de Segurança de Infraestrutura e Cibersegurança dos Estados Unidos (CISA) emitiu recentemente um aviso de cibersegurança, identificado como AA23-353A, alertando organizações em todo o país sobre uma ameaça cibernética emergente. Este aviso fornece atualizações sobre os Indicadores de Comprometimento do Ransomware BlackCat/ALPHV divulgados em 19 de abril de 2022, e sobre este aviso divulgado em 19 de dezembro de 2023. Desde meados de dezembro de 2023, dos quase 70 vítimas divulgadas, o setor de saúde tem sido o mais comumente vitimado. Isso provavelmente é uma resposta ao incentivo do administrador do ALPHV Blackcat para que seus afiliados visem hospitais após ações operacionais contra o grupo e sua infraestrutura no início de dezembro de 2023. O FBI, a CISA e o HHS encorajam organizações de infraestrutura crítica a implementar as recomendações na seção de Mitigações deste CSA para reduzir a probabilidade e o impacto de incidentes de ransomware e extorsão de dados ALPHV Blackcat. Os afiliados do ALPHV Blackcat usam técnicas avançadas de engenharia social e pesquisa de código aberto sobre uma empresa para obter acesso inicial. Os atores se passam por equipe de TI da empresa e/ou pessoal de helpdesk e usam chamadas telefônicas ou mensagens SMS para obter credenciais de funcionários para acessar a rede alvo.

:arrow_right: Ataques cibernéticos vinculados ao Irã miram setores de defesa e aviação. Um ator de ameaça com vínculos com o Irã, conhecido como UNC1549, foi atribuído a um novo conjunto de ataques direcionados às indústrias aeroespacial, de aviação e defesa no Oriente Médio, incluindo Israel e os Emirados Árabes Unidos. Outros alvos da atividade de espionagem cibernética provavelmente incluem Turquia, Índia e Albânia, segundo uma nova análise da Mandiant, empresa do Google. Segundo os pesquisadores, esta atividade suspeita do UNC1549 está ativa desde pelo menos junho de 2022 e continua em andamento até fevereiro de 2024. Embora regional em natureza e focada principalmente no Oriente Médio, o direcionamento inclui entidades operando mundialmente. Os ataques envolvem o uso da infraestrutura de nuvem da Microsoft Azure para comando e controle (C2) e engenharia social envolvendo iscas relacionadas a empregos para entregar dois backdoors denominados MINIBIKE e MINIBUS. Os backdoors personalizados, ao estabelecerem acesso C2, atuam como um canal para coleta de inteligência e para acesso adicional à rede alvo. Outra ferramenta implantada nesta fase é um software de tunelamento chamado LIGHTRAIL que se comunica usando a nuvem Azure. A inteligência coletada sobre essas entidades é relevante para os interesses estratégicos iranianos e pode ser aproveitada para espionagem, bem como operações cinéticas.

:arrow_right: APT28 explora roteadores em campanha de espionagem cibernética. O botnet, denominado MooBot, teria sido utilizado por um ator de ameaça vinculado à Rússia, conhecido como APT28, para facilitar operações cibernéticas ocultas e implantar malware personalizado para exploração subsequente. APT28, afiliado à Diretoria Principal do Estado-Maior Geral da Rússia (GRU), é conhecido por estar ativo desde pelo menos 2007. Os atores do APT28 “usaram EdgeRouters comprometidos globalmente para colher credenciais, coletar resumos NTLMv2, fazer proxy de tráfego de rede e hospedar páginas de destino de spear-phishing e ferramentas personalizadas”, disseram as autoridades. Os ataques do MooBot envolvem o direcionamento de roteadores com credenciais padrão ou fracas para implantar trojans OpenSSH, com o APT28 adquirindo esse acesso para entregar scripts bash e outros binários ELF para coletar credenciais, fazer proxy de tráfego de rede, hospedar páginas de phishing e outras ferramentas. Isso inclui scripts Python para fazer upload de credenciais de contas pertencentes a usuários de webmail especificamente visados, coletadas por meio de campanhas de spear-phishing cross-site scripting e browser-in-the-browser (BitB). “Com acesso root a Ubiquiti EdgeRouters comprometidos, os atores do APT28 têm acesso irrestrito a sistemas operacionais baseados em Linux para instalar ferramentas e para obfuscar sua identidade enquanto conduzem campanhas maliciosas”, observaram os pesquisadores.

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/