github-actions[bot]
commented
5 months ago Boletim de Segurança
:arrow_right: Vulnerabilidade No Apache Log4j2 Ainda Ameaça Setor Financeiro Global. Pesquisadores de cibersegurança alertaram que a vulnerabilidade CVE-2021-44832 na biblioteca Apache Log4j2 continua a ser um problema sério para múltiplas indústrias, ameaçando especialmente o setor financeiro global. Esta vulnerabilidade permite que um atacante remoto execute código malicioso em sistemas afetados, recebendo uma pontuação CVSS de 6.6 e impactando todas as versões do Log4j desde a 2.0-alpha7 até a 2.17.0, exceto as versões 2.3.2 e 2.12.4. O problema reside na possibilidade de um atacante com permissão para modificar o arquivo de configuração de log criar uma configuração maliciosa usando um JDBC Appender com uma fonte de dados referenciando um URI JNDI, permitindo a execução de código remoto. A vulnerabilidade foi descoberta pelo pesquisador, Yaniv Nizry, que relatou à Apache em 27 de dezembro de 2020. A Apache Software Foundation lançou a versão 2.17.1 do Log4j para corrigir a falha poucos dias depois, mas a ameaça persiste. Recentes violações nas empresas Sisense e Snowflake, ambas certificadas pela ISO/IEC 27001, destacam a vulnerabilidade crítica que ainda ameaça toda a indústria financeira. Apesar de aderirem a rigorosos padrões de segurança, as falhas em sua infraestrutura expuseram dados financeiros sensíveis a acessos não autorizados, potencialmente levando a consequências catastróficas. Estas empresas são confiadas por grandes grupos financeiros internacionais para operações críticas, incluindo análise de dados e armazenamento em nuvem. O setor financeiro é altamente interconectado, e uma vulnerabilidade em um sistema pode levar a um efeito dominó, comprometendo outros sistemas e serviços. O potencial para uma interrupção generalizada torna essa falha particularmente perigosa.
:arrow_right: Europol Identifica 8 Cibercriminosos Ligados a Ataques De Botnets. A Europol e a polícia alemã revelaram a identidade de oito cibercriminosos ligados a diversos malware droppers e loaders, desarticulados como parte da Operação Endgame. Esta operação levou à apreensão de 100 servidores utilizados em múltiplas operações de malware, incluindo IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader e SystemBC. A Operação Endgame, anunciada ontem pela Europol, resultou também na prisão de quatro indivíduos, um na Armênia e três na Ucrânia. O Escritório Federal de Polícia Criminal da Alemanha revelou a identidade dos oito cibercriminosos de origem russa, que desempenharam papéis centrais nas operações de malware Smokeloader e Trickbot. Entre os identificados está Oleg Vyacheslavovich Kucherov, também conhecido como “gabr”, tem 51 anos e é implicado como um membro chave do grupo “Trickbot”. Ele é acusado de infectar sistemas de computador, roubar dados e usar ransomware para extorquir vítimas. Outro identificado é Sergey Valerievich Polyak, de 34 anos, conhecido como “cypher”, que fazia parte do grupo “Trickbot”. Polyak é suspeito de buscar novas vítimas e planejar ataques cibernéticos direcionados. As autoridades não têm informações sobre a localização atual de nenhum dos oito cibercriminosos identificados. A operação destaca a colaboração internacional na luta contra o cibercrime e a importância de ações coordenadas para desmantelar redes criminosas que ameaçam a segurança digital global.
:arrow_right: Hackers Norte-coreanos Atacam Empresas e Instituições na Coreia do Sul. O grupo de ameaças cibernéticas Andariel, vinculado à Coreia do Norte, foi recentemente observado utilizando um novo malware baseado em Golang, chamado Dora RAT, em ataques direcionados a instituições educacionais, empresas de manufatura e construção na Coreia do Sul. O malware inclui keyloggers, ferramentas de roubo de informações e de proxy, além de um backdoor. “Provavelmente, o ator da ameaça usou essas variantes de malware para controlar e roubar dados dos sistemas infectados”, afirmou um relatório publicado na semana passada. Os ataques são caracterizados pelo uso de um servidor Apache Tomcat vulnerável para distribuir o malware. Andariel, também conhecido pelos nomes Nicket Hyatt, Onyx Sleet e Silent Chollima, é um grupo de ameaças persistentes avançadas (APT) que opera em prol dos interesses estratégicos da Coreia do Norte desde pelo menos 2008. Como um subgrupo dentro do Grupo Lazarus, esse adversário tem um histórico de utilização de ataques de spear-phishing, watering hole e vulnerabilidades conhecidas em softwares para obter acesso inicial e distribuir malware nas redes alvo. Outra ferramenta utilizada nos ataques é um backdoor previamente não documentado, chamado Dora RAT, descrito como uma “simples variante de malware” com suporte para shell reverso e capacidades de download/upload de arquivos.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: