⚡ Não perca: notÃcia importante no ar! ⚡
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um grupo de hackers ligado à China está a explorar o dia zero do Windows em ataques contra diplomatas europeus na Hungria, Bélgica e outros paÃses europeus.
De acordo com o Arctic Wolf Labs, a cadeia de ataque começa com e-mails de spearphishing que levam à entrega de arquivos LNK maliciosos com temas relacionados a workshops de compras de defesa da OTAN, reuniões de facilitação de fronteiras da Comissão Europeia e vários outros eventos diplomáticos.
Esses arquivos maliciosos são projetados para explorar uma vulnerabilidade de alta gravidade do Windows LNK (rastreada como CVE-2025-9491) para implantar o malware Trojan de acesso remoto (RAT) PlugX e ganhar persistência em sistemas comprometidos, permitindo monitorar comunicações diplomáticas e roubar dados confidenciais.
A campanha de ciberespionagem foi atribuÃda a um grupo de ameaças apoiado pelo Estado chinês, conhecido como UNC6384 (Mustang Panda), conhecido por conduzir operações de espionagem alinhadas com os interesses estratégicos chineses e ter como alvo entidades diplomáticas em todo o Sudeste Asiático.
A análise do malware e da infraestrutura usada nesta campanha por pesquisadores do Arctic Wolf Labs e do StrikeReady também revelou que esses ataques ampliaram seu escopo nas últimas semanas. Embora inicialmente centrados em entidades diplomáticas húngaras e belgas, agora também visam outras organizações europeias, incluindo agências governamentais sérvias e entidades diplomáticas de Itália e dos PaÃses Baixos.
“O Arctic Wolf Labs avalia com grande confiança que esta campanha pode ser atribuÃda ao UNC6384, um ator de ameaças de espionagem cibernética afiliado à China”, disseram os pesquisadores. “Esta atribuição é baseada em múltiplas linhas convergentes de evidências, incluindo ferramentas de malware, procedimentos táticos, alinhamento de alvos e sobreposições de infraestrutura com operações UNC6384 documentadas anteriormente”.
Fluxo de ataque (Arctic Wolf Labs)
Fortemente explorado em ataques
A vulnerabilidade de dia zero usada nesta campanha permite que invasores executem códigos arbitrários remotamente em sistemas Windows direcionados. No entanto, a interação do usuário é necessária para uma exploração bem-sucedida, pois envolve enganar possÃveis vÃtimas para que visitem uma página maliciosa ou abram um arquivo malicioso.
CVE-2025-9491 existe no tratamento de arquivos .LNK, o que permite que invasores explorem como o Windows exibe os arquivos de atalho para evitar a detecção e executar código em dispositivos vulneráveis sem o conhecimento do usuário. Os agentes de ameaças exploram essa falha ocultando argumentos de linha de comando maliciosos em arquivos de atalho .LNK para a estrutura COMMAND_LINE_ARGUMENTS usando espaços em branco preenchidos.
Em março de 2025, os analistas de ameaças da Trend Micro descobriram que o CVE-2025-9491 já estava sendo amplamente explorado por 11 grupos patrocinados pelo estado e gangues de crimes cibernéticos, incluindo Evil Corp, APT43 (também conhecido como Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel, Konni e outros.
Mapa dos paÃses alvo dos ataques CVE-2025-9491 (Trend Micro)
“Diversas cargas e carregadores de malware como Ursnif, Gh0st RAT e Trickbot foram rastreados nessas campanhas, com plataformas de malware como serviço (MaaS) complicando o cenário de ameaças”, disse a Trend Micro na época.
Embora a Microsoft tenha dito ao BleepingComputer em março que “consideraria resolver” essa falha de dia zero, mesmo que “não atenda aos padrões de manutenção imediata”, ela ainda não lançou atualizações de segurança para corrigir essa vulnerabilidade do Windows altamente explorada.
Como não existe um patch oficial CVE-2025-9491 para bloquear ataques em andamento, os defensores da rede são aconselhados a restringir ou bloquear o uso de arquivos .LNK do Windows e bloquear conexões da infraestrutura C2 identificada pelo Arctic Wolf Labs.
O Picus Blue Report 2025 está aqui: aumento de 2X na quebra de senhas
46% dos ambientes tiveram senhas quebradas, quase o dobro dos 25% do ano passado.
Obtenha agora o Picus Blue Report 2025 para uma visão abrangente de mais descobertas sobre tendências de prevenção, detecção e exfiltração de dados.
Obtenha o Relatório Azul 2025
De acordo com o Arctic Wolf Labs, a cadeia de ataque começa com e-mails de spearphishing que levam à entrega de arquivos LNK maliciosos com temas relacionados a workshops de compras de defesa da OTAN, reuniões de facilitação de fronteiras da Comissão Europeia e vários outros eventos diplomáticos.
Esses arquivos maliciosos são projetados para explorar uma vulnerabilidade de alta gravidade do Windows LNK (rastreada como CVE-2025-9491) para implantar o malware Trojan de acesso remoto (RAT) PlugX e ganhar persistência em sistemas comprometidos, permitindo monitorar comunicações diplomáticas e roubar dados confidenciais.
A campanha de ciberespionagem foi atribuÃda a um grupo de ameaças apoiado pelo Estado chinês, conhecido como UNC6384 (Mustang Panda), conhecido por conduzir operações de espionagem alinhadas com os interesses estratégicos chineses e ter como alvo entidades diplomáticas em todo o Sudeste Asiático.
A análise do malware e da infraestrutura usada nesta campanha por pesquisadores do Arctic Wolf Labs e do StrikeReady também revelou que esses ataques ampliaram seu escopo nas últimas semanas. Embora inicialmente centrados em entidades diplomáticas húngaras e belgas, agora também visam outras organizações europeias, incluindo agências governamentais sérvias e entidades diplomáticas de Itália e dos PaÃses Baixos.
“O Arctic Wolf Labs avalia com grande confiança que esta campanha pode ser atribuÃda ao UNC6384, um ator de ameaças de espionagem cibernética afiliado à China”, disseram os pesquisadores. “Esta atribuição é baseada em múltiplas linhas convergentes de evidências, incluindo ferramentas de malware, procedimentos táticos, alinhamento de alvos e sobreposições de infraestrutura com operações UNC6384 documentadas anteriormente”.
Fluxo de ataque (Arctic Wolf Labs)
Fortemente explorado em ataques
A vulnerabilidade de dia zero usada nesta campanha permite que invasores executem códigos arbitrários remotamente em sistemas Windows direcionados. No entanto, a interação do usuário é necessária para uma exploração bem-sucedida, pois envolve enganar possÃveis vÃtimas para que visitem uma página maliciosa ou abram um arquivo malicioso.
CVE-2025-9491 existe no tratamento de arquivos .LNK, o que permite que invasores explorem como o Windows exibe os arquivos de atalho para evitar a detecção e executar código em dispositivos vulneráveis sem o conhecimento do usuário. Os agentes de ameaças exploram essa falha ocultando argumentos de linha de comando maliciosos em arquivos de atalho .LNK para a estrutura COMMAND_LINE_ARGUMENTS usando espaços em branco preenchidos.
Em março de 2025, os analistas de ameaças da Trend Micro descobriram que o CVE-2025-9491 já estava sendo amplamente explorado por 11 grupos patrocinados pelo estado e gangues de crimes cibernéticos, incluindo Evil Corp, APT43 (também conhecido como Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel, Konni e outros.
Mapa dos paÃses alvo dos ataques CVE-2025-9491 (Trend Micro)
“Diversas cargas e carregadores de malware como Ursnif, Gh0st RAT e Trickbot foram rastreados nessas campanhas, com plataformas de malware como serviço (MaaS) complicando o cenário de ameaças”, disse a Trend Micro na época.
Embora a Microsoft tenha dito ao BleepingComputer em março que “consideraria resolver” essa falha de dia zero, mesmo que “não atenda aos padrões de manutenção imediata”, ela ainda não lançou atualizações de segurança para corrigir essa vulnerabilidade do Windows altamente explorada.
Como não existe um patch oficial CVE-2025-9491 para bloquear ataques em andamento, os defensores da rede são aconselhados a restringir ou bloquear o uso de arquivos .LNK do Windows e bloquear conexões da infraestrutura C2 identificada pelo Arctic Wolf Labs.
O Picus Blue Report 2025 está aqui: aumento de 2X na quebra de senhas
46% dos ambientes tiveram senhas quebradas, quase o dobro dos 25% do ano passado.
Obtenha agora o Picus Blue Report 2025 para uma visão abrangente de mais descobertas sobre tendências de prevenção, detecção e exfiltração de dados.
Obtenha o Relatório Azul 2025
#samirnews #samir #news #boletimtec #windows #zeroday #explorado #ativamente #para #espionar #diplomatas #europeus
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário