github-actions[bot]
commented
1 year ago Boletim de Segurança
:arrow_right: Lazarus Group explora dispositivos Zimbra não corrigidos. O grupo norte-coreano Lazarus APT foi associado a uma nova campanha de coleta de informações chamada ‘No Pineapple’. Ele abusou de falhas de segurança conhecidas em dispositivos Zimbra não corrigidos para infectar sistemas visando organizações de pesquisa dos setores público e privado nos setores de saúde e energia. Os alvos eram organizações de pesquisa em saúde na Índia, um departamento de engenharia química de uma universidade de pesquisa, um fabricante de tecnologia usada nos setores de energia, pesquisa, defesa e saúde; e um cliente não identificado. Além disso, acredita-se que cerca de 100 GB de dados sejam exportados pelo grupo de hackers junto com o comprometimento de um cliente não identificado. A invasão digital ocorreu no terceiro trimestre de 2022. Em um dos ataques, Lazarus obteve acesso a um servidor de correio Zimbra defeituoso, abusando de falhas RCE rastreadas como CVE-2022-27925 e CVE-2022-37042. Além disso, uma falha de escalação de privilégio local foi abusada no servidor Zimbra ( CVE-2021-4034 ), permitindo que o grupo de ameaças coletasse dados confidenciais da caixa de correio. O grupo Lazarus é conhecido por atualizar regularmente seu arsenal de ataque com novas ferramentas e táticas; desta vez inclui a exploração de servidores Zimbra. Para proteção contra essas ameaças, a primeira linha de defesa é definitivamente ter um sistema robusto de gerenciamento de patches instalado.
:arrow_right: Trojan bancário tem como alvo usuários de dispositivos Android. De acordo com os pesquisadores, os agentes de ameaças estão usando malware chamado TgToxic empacotado como aplicativos falsos e anunciam esses aplicativos usando links de phishing/smishing. Durante os primeiros dias da campanha, os criminosos fizeram postagens fraudulentas no Facebook, com um link de phishing incorporado para atingir usuários taiwaneses por meio de engenharia social. No final de agosto e outubro de 2022, eles usaram sites de phishing de criptomoedas para atingir vítimas em potencial em Taiwan e na Indonésia. De novembro de 2022 a janeiro de 2023, eles usaram links smishing para atingir usuários da Tailândia e sites de phishing criptográfico para atingir usuários indonésios. Os cibercriminosos usam as credenciais adquiridas para fazer pequenas transações usando o aplicativo oficial sem precisar da aprovação ou reconhecimento do usuário. Além disso, o malware é capaz de roubar informações pessoais dos usuários via SMS e instalar aplicativos. O malware TgToxic não é muito sofisticado, no entanto, ainda está evoluindo rapidamente e os agentes de ameaças estão adicionando novas funções.
:arrow_right: Gangue de ransomware LockBit reivindica ataque cibernético do Royal Mail. A operação de ransomware LockBit reivindicou o ataque cibernético ao principal serviço de entrega de correspondência do Reino Unido, Royal Mail, que forçou a empresa a interromper seus serviços de remessa internacional devido a “severa interrupção do serviço”. Isso ocorre depois que LockBitSupport, o representante público da gangue de ransomware, disse que o grupo de crimes cibernéticos LockBit não atacou o Royal Mail. O Royal Mail detectou o ataque pela primeira vez em 10 de janeiro e contratou especialistas forenses externos para ajudar na investigação. “O incidente foi detectado ontem, o correio do Reino Unido/doméstico permanece inalterado”, disse um porta-voz do Royal Mail em 11 de janeiro. A empresa também relatou o incidente às agências de segurança do Reino Unido e está investigando o incidente junto com a Agência Nacional de Crimes e o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC). No entanto, o Royal Mail ainda não reconheceu que está lidando com um ataque de ransomware que provavelmente pode levar a uma violação de dados, já que os operadores de ransomware são conhecidos por roubar dados e vazá-los online se suas exigências de resgate não forem atendidas.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: