⚡ Não perca: notícia importante no ar! ⚡
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Amazon está alertando que um hacker de língua russa usou vários serviços generativos de IA como parte de uma campanha que violou mais de 600 firewalls FortiGate em 55 países em cinco semanas.
Um novo relatório de CJ Moses, CISO da Amazon Integrated Security, afirma que a campanha de hackers ocorreu entre 11 de janeiro e 18 de fevereiro de 2026 e não dependeu de nenhuma exploração para violar os firewalls da Fortinet.
Em vez disso, o agente da ameaça teve como alvo interfaces de gerenciamento expostas e credenciais fracas que não tinham proteção MFA e, em seguida, usou IA para ajudar a automatizar o acesso a outros dispositivos na rede violada.
Moses diz que os firewalls comprometidos foram observados no Sul da Ásia, América Latina, Caribe, África Ocidental, Norte da Europa e Sudeste Asiático, entre outras regiões.
Uma campanha de hackers alimentada por IA
A Amazon diz que tomou conhecimento da campanha depois de encontrar um servidor que hospedava ferramentas maliciosas usadas para atingir os firewalls Fortinet FortiGate.
Como parte da campanha, o agente da ameaça teve como alvo as interfaces de gerenciamento do FortiGate expostas à Internet, verificando serviços em execução nas portas 443, 8443, 10443 e 4443. A segmentação teria sido supostamente oportunista, e não contra qualquer setor específico.
Em vez de explorar o dia zero, como comumente vemos visando dispositivos FortiGate, o ator usou ataques de força bruta com senhas comuns para obter acesso aos dispositivos.
Após a violação, o agente da ameaça extraiu as configurações do dispositivo, que incluem:
Credenciais de usuário SSL-VPN com senhas recuperáveis
Credenciais administrativas
Políticas de firewall e arquitetura de rede interna
Configurações de VPN IPsec
Topologia de rede e informações de roteamento
Esses arquivos de configuração foram então analisados e descriptografados usando o que parecem ser ferramentas Python e Go assistidas por IA.
“Após o acesso VPN às redes das vítimas, o agente da ameaça implanta uma ferramenta de reconhecimento personalizada, com diferentes versões escritas em Go e Python”, explicou a Amazon.
"A análise do código-fonte revela indicadores claros de desenvolvimento assistido por IA: comentários redundantes que apenas reafirmam nomes de funções, arquitetura simplista com investimento desproporcional em formatação sobre funcionalidade, análise JSON ingênua por meio de correspondência de strings em vez de desserialização adequada e correções de compatibilidade para idiomas integrados com stubs de documentação vazios."
“Embora funcional para o caso de uso específico do agente da ameaça, a ferramenta carece de robustez e falha em casos extremos – características típicas de código gerado por IA usado sem refinamento significativo.”
Essas ferramentas foram usadas para automatizar o reconhecimento das redes violadas, analisando tabelas de roteamento, classificando as redes por tamanho, executando verificações de portas usando o gogo scanner de código aberto, identificando hosts SMB e controladores de domínio e usando Nuclei para procurar serviços HTTP.
Os pesquisadores dizem que, embora as ferramentas fossem funcionais, elas geralmente falhavam em ambientes mais protegidos.
A documentação operacional escrita em russo detalhava como usar o Meterpreter e o mimikatz para conduzir ataques DCSync contra controladores de domínio do Windows e extrair hashes de senha NTLM do banco de dados do Active Directory.
A campanha também teve como alvo específico os servidores Veeam Backup & Replication usando scripts PowerShell personalizados, compilou ferramentas de extração de credenciais e tentou explorar vulnerabilidades da Veeam.
Em um dos servidores encontrados pela Amazon (212[.]11.64.250), o agente da ameaça hospedou um script do PowerShell chamado “DecryptVeeamPasswords.ps1” que foi usado para direcionar o aplicativo de backup.
Como explica a Amazon, os agentes de ameaças geralmente têm como alvo a infraestrutura de backup antes de implantar o ransomware para evitar a restauração de arquivos criptografados dos backups.
As "notas operacionais" dos atores da ameaça também continham diversas referências à tentativa de explorar várias vulnerabilidades, incluindo CVE-2019-7192 (QNAP RCE), CVE-2023-27532 (divulgação de informações da Veeam) e CVE-2024-40711 (Veeam RCE).
O relatório diz que o invasor falhou repetidamente ao tentar violar sistemas corrigidos ou bloqueados, mas em vez de continuar tentando obter acesso, passou para alvos mais fáceis.
Embora a Amazon acredite que o ator da ameaça tenha um conjunto de habilidades de baixo a médio, esse conjunto de habilidades foi bastante ampliado com o uso da IA.
Os pesquisadores dizem que o ator da ameaça utilizou pelo menos dois grandes provedores de modelos de linguagem durante a campanha para:
Gere metodologias de ataque passo a passo
Desenvolva scripts personalizados em diversas linguagens de programação
Crie estruturas de reconhecimento
Planeje estratégias de movimento lateral
Rascunho da documentação operacional
Em um caso, o ator supostamente apresentou uma topologia de rede interna completa da vítima, incluindo endereços IP, nomes de host, credenciais e serviços conhecidos, a um serviço de IA e pediu ajuda para se espalhar ainda mais pela rede.
Amazon diz que a campanha é demoníaca
Um novo relatório de CJ Moses, CISO da Amazon Integrated Security, afirma que a campanha de hackers ocorreu entre 11 de janeiro e 18 de fevereiro de 2026 e não dependeu de nenhuma exploração para violar os firewalls da Fortinet.
Em vez disso, o agente da ameaça teve como alvo interfaces de gerenciamento expostas e credenciais fracas que não tinham proteção MFA e, em seguida, usou IA para ajudar a automatizar o acesso a outros dispositivos na rede violada.
Moses diz que os firewalls comprometidos foram observados no Sul da Ásia, América Latina, Caribe, África Ocidental, Norte da Europa e Sudeste Asiático, entre outras regiões.
Uma campanha de hackers alimentada por IA
A Amazon diz que tomou conhecimento da campanha depois de encontrar um servidor que hospedava ferramentas maliciosas usadas para atingir os firewalls Fortinet FortiGate.
Como parte da campanha, o agente da ameaça teve como alvo as interfaces de gerenciamento do FortiGate expostas à Internet, verificando serviços em execução nas portas 443, 8443, 10443 e 4443. A segmentação teria sido supostamente oportunista, e não contra qualquer setor específico.
Em vez de explorar o dia zero, como comumente vemos visando dispositivos FortiGate, o ator usou ataques de força bruta com senhas comuns para obter acesso aos dispositivos.
Após a violação, o agente da ameaça extraiu as configurações do dispositivo, que incluem:
Credenciais de usuário SSL-VPN com senhas recuperáveis
Credenciais administrativas
Políticas de firewall e arquitetura de rede interna
Configurações de VPN IPsec
Topologia de rede e informações de roteamento
Esses arquivos de configuração foram então analisados e descriptografados usando o que parecem ser ferramentas Python e Go assistidas por IA.
“Após o acesso VPN às redes das vítimas, o agente da ameaça implanta uma ferramenta de reconhecimento personalizada, com diferentes versões escritas em Go e Python”, explicou a Amazon.
"A análise do código-fonte revela indicadores claros de desenvolvimento assistido por IA: comentários redundantes que apenas reafirmam nomes de funções, arquitetura simplista com investimento desproporcional em formatação sobre funcionalidade, análise JSON ingênua por meio de correspondência de strings em vez de desserialização adequada e correções de compatibilidade para idiomas integrados com stubs de documentação vazios."
“Embora funcional para o caso de uso específico do agente da ameaça, a ferramenta carece de robustez e falha em casos extremos – características típicas de código gerado por IA usado sem refinamento significativo.”
Essas ferramentas foram usadas para automatizar o reconhecimento das redes violadas, analisando tabelas de roteamento, classificando as redes por tamanho, executando verificações de portas usando o gogo scanner de código aberto, identificando hosts SMB e controladores de domínio e usando Nuclei para procurar serviços HTTP.
Os pesquisadores dizem que, embora as ferramentas fossem funcionais, elas geralmente falhavam em ambientes mais protegidos.
A documentação operacional escrita em russo detalhava como usar o Meterpreter e o mimikatz para conduzir ataques DCSync contra controladores de domínio do Windows e extrair hashes de senha NTLM do banco de dados do Active Directory.
A campanha também teve como alvo específico os servidores Veeam Backup & Replication usando scripts PowerShell personalizados, compilou ferramentas de extração de credenciais e tentou explorar vulnerabilidades da Veeam.
Em um dos servidores encontrados pela Amazon (212[.]11.64.250), o agente da ameaça hospedou um script do PowerShell chamado “DecryptVeeamPasswords.ps1” que foi usado para direcionar o aplicativo de backup.
Como explica a Amazon, os agentes de ameaças geralmente têm como alvo a infraestrutura de backup antes de implantar o ransomware para evitar a restauração de arquivos criptografados dos backups.
As "notas operacionais" dos atores da ameaça também continham diversas referências à tentativa de explorar várias vulnerabilidades, incluindo CVE-2019-7192 (QNAP RCE), CVE-2023-27532 (divulgação de informações da Veeam) e CVE-2024-40711 (Veeam RCE).
O relatório diz que o invasor falhou repetidamente ao tentar violar sistemas corrigidos ou bloqueados, mas em vez de continuar tentando obter acesso, passou para alvos mais fáceis.
Embora a Amazon acredite que o ator da ameaça tenha um conjunto de habilidades de baixo a médio, esse conjunto de habilidades foi bastante ampliado com o uso da IA.
Os pesquisadores dizem que o ator da ameaça utilizou pelo menos dois grandes provedores de modelos de linguagem durante a campanha para:
Gere metodologias de ataque passo a passo
Desenvolva scripts personalizados em diversas linguagens de programação
Crie estruturas de reconhecimento
Planeje estratégias de movimento lateral
Rascunho da documentação operacional
Em um caso, o ator supostamente apresentou uma topologia de rede interna completa da vítima, incluindo endereços IP, nomes de host, credenciais e serviços conhecidos, a um serviço de IA e pediu ajuda para se espalhar ainda mais pela rede.
Amazon diz que a campanha é demoníaca
#samirnews #samir #news #boletimtec #amazon: #hacker #assistido #por #ia #violou #600 #firewalls #fortinet #em #5 #semanas
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário