github-actions[bot]
commented
2 weeks ago Boletim de Segurança
:arrow_right: Vazamento Massivo em Configurações Git Compromete 10.000 Repositórios. Pesquisadores de segurança cibernética identificaram uma campanha massiva, apelidada de EMERALDWHALE, que explora configurações expostas de repositórios Git para roubar credenciais, clonar repositórios privados e até mesmo extrair dados de acesso a serviços de nuvem diretamente do código-fonte. Estima-se que mais de 10.000 repositórios privados tenham sido comprometidos e armazenados em um bucket da Amazon S3, pertencente a uma vítima anterior. O bucket, contendo cerca de 15.000 credenciais roubadas, já foi desativado pela Amazon. A operação criminosa, embora não altamente sofisticada, utiliza uma gama de ferramentas privadas para localizar e roubar dados de configuração do Git, arquivos Laravel .env e dados web. A campanha, que não foi atribuída a nenhum grupo de ameaça específico, busca servidores com arquivos de configuração Git expostos, usando uma ampla faixa de endereços IP para localizar hosts e extrair credenciais. Além dos arquivos Git, o EMERALDWHALE também mirou arquivos de ambiente Laravel .env, que contêm uma riqueza de credenciais para serviços de nuvem e bancos de dados. “O mercado clandestino de credenciais está em plena expansão, especialmente para serviços em nuvem,” disse Miguel Hernández, pesquisador da Sysdig. Este ataque reforça que a gestão de segredos por si só não é suficiente para garantir a segurança de um ambiente.
:arrow_right: Falha Crítica no Microsoft SharePoint Expõe Redes a Controle Total por Atacantes. Um relatório recente da equipe de Resposta a Incidentes da Rapid7 revelou um comprometimento grave de um servidor Microsoft SharePoint, permitindo que atacantes obtivessem controle total do domínio e afetassem sistemas críticos por meio de uma combinação sofisticada de técnicas. A vulnerabilidade, identificada como CVE-2024-38094, destacou a urgência em detectar e responder rapidamente a falhas em servidores SharePoint on-premises. A investigação teve início quando a Rapid7 detectou atividades suspeitas associadas a uma conta de serviço do Microsoft Exchange com privilégios de administrador de domínio. A equipe identificou que a vulnerabilidade CVE-2024-38094 permitiu a execução de código remoto, dando aos atacantes o acesso inicial necessário para se moverem lateralmente na rede de forma indetectável por duas semanas. Dentro do sistema, os invasores usaram a conta comprometida para instalar o Horoung Antivirus (AV), um produto chinês que interferiu nos sistemas de segurança ativos e causou a falha das soluções de segurança em execução, o que garantiu aos atacantes liberdade para realizar atividades maliciosas. Essa tática, conhecida como Impairing Defenses (T1562), permitiu que o invasor desabilitasse os produtos de segurança, facilitando o uso de ferramentas como o Impacket para movimentos laterais. A partir do servidor SharePoint comprometido, os invasores implantaram o Mimikatz para extrair credenciais e desativaram registros de sistema, dificultando a detecção. Para manter o acesso, instalaram uma webshell chamada ghostfile93.aspx, que gerou várias requisições HTTP POST de um IP externo, garantindo persistência e permitindo a execução de comandos remotos. A exploração da CVE-2024-38094 serve como um alerta para empresas que utilizam servidores SharePoint em suas infraestruturas, destacando a necessidade de vigilância e atualização imediata dos sistemas para evitar comprometimentos semelhantes.
:arrow_right: FBI e Israel Identificam Grupo Iraniano em Operações Contra Diversos Países. Os governos dos Estados Unidos e de Israel emitiram um alerta conjunto sobre as novas táticas adotadas pelo grupo iraniano patrocinado pelo Estado, Cotton Sandstorm. Também conhecido como Marnanbridge e Haywire Kitten, o grupo tem expandido suas operações de ataques, passando de campanhas de “hack and leak” focadas em Israel para um conjunto mais amplo de ataques direcionados a vários países, incluindo EUA, França, Suécia e Israel. O relatório destaca que o grupo tem utilizado ferramentas de inteligência artificial generativa para aprimorar suas técnicas de ataque, o que representa um risco crescente. Entre as atividades observadas estão investigações sobre sites e mídias americanas relacionados às eleições, sugerindo que o grupo está se preparando para operações de influência direcionadas, especialmente com a aproximação do Dia das Eleições Presidenciais dos EUA. Além disso, o Cotton Sandstorm realizou operações cibernéticas direcionadas aos Jogos Olímpicos de Paris 2024, comprometendo uma empresa de exibição comercial na França, e iniciou um projeto para coletar dados de câmeras IP. Desde abril de 2024, o grupo usa a identidade online “Cyber Court” para promover supostos grupos hacktivistas que realizam atividades maliciosas contra diversos países em protesto ao conflito Israel-Hamas. O FBI também informou que, desde meados de 2024, o grupo está operando sob a fachada da empresa Aria Sepehr Ayandehsazan (ASA), utilizando-a para fins de recursos humanos e financeiros. O Relatório de Defesa Digital 2024 da Microsoft classificou o Cotton Sandstorm como parte do Corpo da Guarda Revolucionária Islâmica (IRGC), que realiza operações cibernéticas ofensivas em nome de Teerã.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: