github-actions[bot]
commented
1 month ago Boletim de Segurança
:arrow_right: Novo ransomware CosmicBeetle afeta múltiplos setores globais. O grupo de cibercriminosos conhecido como CosmicBeetle lançou uma nova variante de ransomware chamada ScRansom, que tem como alvo pequenas e médias empresas em várias regiões, incluindo Europa, Ásia, África e América do Sul. Essa nova cepa substituiu o ransomware anterior do grupo, o Scarab, e continua a ser aprimorada, conforme detalhado em uma análise recente do pesquisador Jakub Souček. Além disso, o grupo parece estar atuando como afiliado do RansomHub, um conhecido grupo de ransomware. As vítimas dos ataques de ScRansom abrangem diversos setores, incluindo manufatura, farmacêutico, jurídico, educação, saúde, tecnologia, hospitalidade, serviços financeiros e governos regionais. O CosmicBeetle, é famoso por utilizar ferramentas maliciosas como o Spacecolon, anteriormente usadas para distribuir o ransomware Scarab em organizações ao redor do mundo. Embora a origem do grupo ainda seja incerta, acredita-se que o CosmicBeetle tenha usado uma combinação de ataques de força bruta e exploração de vulnerabilidades conhecidas, como as falhas CVE-2017-0144, CVE-2020-1472 e CVE-2023-27532, para se infiltrar nos sistemas-alvo. Uma vez dentro do ambiente da vítima, o grupo usa ferramentas como Reaper, Darkside e RealBlindingEDR para desativar processos de segurança antes de implantar o ransomware ScRansom. Especialistas em segurança têm observado uma tendência contínua de grupos de ransomware experimentando diferentes métodos para desativar soluções de EDR, seja por meio de drivers vulneráveis ou do uso de certificados comprometidos. A contínua experimentação reflete o esforço das gangues de ransomware para melhorar suas técnicas de evasão e garantir que suas operações permaneçam eficazes, mesmo diante de avanços na detecção de ameaças.
:arrow_right: Hackers chineses exploram Visual Studio Code em ataques cibernéticos. O grupo hacker Mustang Panda, ligado ao governo chinês, está utilizando o software Visual Studio Code em ataques cibernéticos direcionados a entidades governamentais no Sudeste Asiático. A descoberta foi feita pela equipe de pesquisa da Palo Alto Networks Unit 42, que observou a exploração da funcionalidade de shell reverso embutida no Visual Studio Code para obter acesso a redes-alvo. Essa técnica é relativamente nova e foi demonstrada pela primeira vez em setembro de 2023. Mustang Panda, também conhecido por diversos nomes como Bronze President e RedDelta, está ativo desde 2012 e é conhecido por conduzir campanhas de espionagem cibernética em diversos países, com foco em governos e instituições religiosas. Suas operações se concentram especialmente em países localizados na região do Mar do Sul da China. A recente campanha é vista como uma continuação de ataques anteriores contra um governo não identificado do Sudeste Asiático em setembro de 2023. A técnica envolve o uso do Visual Studio Code para estabelecer uma conexão reversa com a máquina infectada, permitindo que os invasores executem comandos ou criem arquivos remotamente. Ao utilizar uma versão portátil do Visual Studio Code, o invasor pode gerar um link de conexão por meio do comando “code.exe tunnel”, que redireciona para um ambiente web do Visual Studio Code, facilitando o controle do sistema comprometido. Essa tática de exploração do Visual Studio Code foi anteriormente observada pela empresa de segurança cibernética mnemonic, que identificou seu uso em conjunto com uma vulnerabilidade de dia zero, agora corrigida, nos produtos de segurança de rede da Check Point. A Mustang Panda utilizou esse método para distribuir malware, realizar reconhecimento e exfiltrar dados sensíveis das redes comprometidas. Além da exploração do Visual Studio Code, os pesquisadores também identificaram o uso do malware ShadowPad, um backdoor modular amplamente utilizado por grupos de espionagem chineses. A presença de duas cadeias de intrusão simultâneas, em alguns casos nos mesmos sistemas, sugere que pode haver mais de um grupo operando na mesma rede, ou até mesmo uma possível colaboração entre diferentes atores de ameaças.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: