⚡ Não perca: notícia importante no ar! ⚡
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ator de ameaça com motivação financeira e de língua russa foi observado aproveitando-se de serviços comerciais de inteligência artificial generativa (IA) para comprometer mais de 600 dispositivos FortiGate localizados em 55 países.
Isso está de acordo com novas descobertas da Amazon Threat Intelligence, que afirmou ter observado a atividade entre 11 de janeiro e 18 de fevereiro de 2026.
“Nenhuma exploração das vulnerabilidades do FortiGate foi observada – em vez disso, esta campanha teve sucesso ao explorar portas de gerenciamento expostas e credenciais fracas com autenticação de fator único, lacunas de segurança fundamentais que a IA ajudou um ator não sofisticado a explorar em escala”, disse CJ Moses, Diretor de Segurança da Informação (CISO) da Amazon Integrated Security, em um relatório.
A gigante da tecnologia descreveu o ator da ameaça como tendo capacidades técnicas limitadas, uma restrição que superou ao confiar em múltiplas ferramentas comerciais de IA generativa para implementar várias fases do ciclo de ataque, como desenvolvimento de ferramentas, planejamento de ataque e geração de comando.
Embora uma ferramenta de IA tenha servido como a espinha dorsal principal da operação, os invasores também confiaram em uma segunda ferramenta de IA como alternativa para ajudar na articulação dentro de uma rede comprometida específica. Os nomes das ferramentas de IA não foram divulgados.
O ator da ameaça é avaliado como sendo impulsionado por ganhos financeiros e não associado a qualquer ameaça persistente avançada (APT) com recursos patrocinados pelo Estado. Tal como recentemente destacado pela Google, as ferramentas generativas de IA estão a ser cada vez mais adotadas pelos agentes de ameaças para escalar e acelerar as suas operações, mesmo que não os equipem com novas utilizações da tecnologia.
Na verdade, o surgimento de ferramentas de IA ilustra como as capacidades que antes estavam fora do alcance de agentes de ameaças novatos ou com dificuldades técnicas estão a tornar-se cada vez mais viáveis, reduzindo ainda mais a barreira à entrada do crime cibernético e permitindo-lhes desenvolver metodologias de ataque.
“Eles são provavelmente um indivíduo ou um pequeno grupo com motivação financeira que, através do aumento da IA, alcançou uma escala operacional que anteriormente exigiria uma equipe significativamente maior e mais qualificada”, disse Moses.
A investigação da Amazon sobre a atividade do agente da ameaça revelou que eles comprometeram com sucesso os ambientes do Active Directory de várias organizações, extraíram bancos de dados de credenciais completos e até mesmo direcionaram a infraestrutura de backup, provavelmente antes da implantação do ransomware.
O que é interessante aqui é que, em vez de criar maneiras de persistir em ambientes protegidos ou que empregaram controles de segurança sofisticados, o autor da ameaça optou por abandonar completamente o alvo e passar para uma vítima relativamente mais branda. Isso indica o uso da IA como uma forma de preencher a lacuna de habilidades para escolhas fáceis.
A Amazon disse que identificou infraestrutura acessível ao público gerenciada pelos invasores que hospedava vários artefatos pertinentes à campanha. Isso incluiu planos de ataque gerados por IA, configurações de vítimas e código-fonte para ferramentas personalizadas. Todo o modus operandi é semelhante a uma “linha de montagem alimentada por IA para crimes cibernéticos”, acrescentou a empresa.
Basicamente, os ataques permitiram que o agente da ameaça violasse os dispositivos FortiGate, permitindo-lhe extrair configurações completas de dispositivos que, por sua vez, possibilitaram a coleta de credenciais, informações de topologia de rede e informações de configuração de dispositivos.
Isso envolveu a verificação sistemática das interfaces de gerenciamento do FortiGate expostas à Internet nas portas 443, 8443, 10443 e 4443, seguida por tentativas de autenticação usando credenciais comumente reutilizadas. A atividade foi independente do setor, indicando varredura automatizada em massa de dispositivos vulneráveis. As varreduras originaram-se do endereço IP 212.11.64[.]250.
Os dados roubados foram então usados para se aprofundar nas redes alvo e realizar atividades pós-exploração, incluindo reconhecimento para verificação de vulnerabilidades usando Núcleos, comprometimento do Active Directory, coleta de credenciais e esforços para acessar a infraestrutura de backup que se alinha com operações típicas de ransomware.
Os dados recolhidos pela Amazon mostram que a atividade de digitalização resultou num comprometimento a nível organizacional, fazendo com que vários dispositivos FortiGate pertencentes à mesma entidade fossem acedidos. Os clusters comprometidos foram detectados no Sul da Ásia, América Latina, Caraíbas, África Ocidental, Norte da Europa e Sudeste Asiático.
“Após o acesso VPN às redes das vítimas, o agente da ameaça implanta uma ferramenta de reconhecimento personalizada, com diferentes versões escritas em Go e Python”, disse a empresa.
"A análise do código-fonte revela indicadores claros de desenvolvimento assistido por IA: comentários redundantes que apenas reafirmam nomes de funções, arquitetura simplista com investimento desproporcional em formatação em vez de funcionalidade, análise JSON ingênua por meio de correspondência de string ra
Isso está de acordo com novas descobertas da Amazon Threat Intelligence, que afirmou ter observado a atividade entre 11 de janeiro e 18 de fevereiro de 2026.
“Nenhuma exploração das vulnerabilidades do FortiGate foi observada – em vez disso, esta campanha teve sucesso ao explorar portas de gerenciamento expostas e credenciais fracas com autenticação de fator único, lacunas de segurança fundamentais que a IA ajudou um ator não sofisticado a explorar em escala”, disse CJ Moses, Diretor de Segurança da Informação (CISO) da Amazon Integrated Security, em um relatório.
A gigante da tecnologia descreveu o ator da ameaça como tendo capacidades técnicas limitadas, uma restrição que superou ao confiar em múltiplas ferramentas comerciais de IA generativa para implementar várias fases do ciclo de ataque, como desenvolvimento de ferramentas, planejamento de ataque e geração de comando.
Embora uma ferramenta de IA tenha servido como a espinha dorsal principal da operação, os invasores também confiaram em uma segunda ferramenta de IA como alternativa para ajudar na articulação dentro de uma rede comprometida específica. Os nomes das ferramentas de IA não foram divulgados.
O ator da ameaça é avaliado como sendo impulsionado por ganhos financeiros e não associado a qualquer ameaça persistente avançada (APT) com recursos patrocinados pelo Estado. Tal como recentemente destacado pela Google, as ferramentas generativas de IA estão a ser cada vez mais adotadas pelos agentes de ameaças para escalar e acelerar as suas operações, mesmo que não os equipem com novas utilizações da tecnologia.
Na verdade, o surgimento de ferramentas de IA ilustra como as capacidades que antes estavam fora do alcance de agentes de ameaças novatos ou com dificuldades técnicas estão a tornar-se cada vez mais viáveis, reduzindo ainda mais a barreira à entrada do crime cibernético e permitindo-lhes desenvolver metodologias de ataque.
“Eles são provavelmente um indivíduo ou um pequeno grupo com motivação financeira que, através do aumento da IA, alcançou uma escala operacional que anteriormente exigiria uma equipe significativamente maior e mais qualificada”, disse Moses.
A investigação da Amazon sobre a atividade do agente da ameaça revelou que eles comprometeram com sucesso os ambientes do Active Directory de várias organizações, extraíram bancos de dados de credenciais completos e até mesmo direcionaram a infraestrutura de backup, provavelmente antes da implantação do ransomware.
O que é interessante aqui é que, em vez de criar maneiras de persistir em ambientes protegidos ou que empregaram controles de segurança sofisticados, o autor da ameaça optou por abandonar completamente o alvo e passar para uma vítima relativamente mais branda. Isso indica o uso da IA como uma forma de preencher a lacuna de habilidades para escolhas fáceis.
A Amazon disse que identificou infraestrutura acessível ao público gerenciada pelos invasores que hospedava vários artefatos pertinentes à campanha. Isso incluiu planos de ataque gerados por IA, configurações de vítimas e código-fonte para ferramentas personalizadas. Todo o modus operandi é semelhante a uma “linha de montagem alimentada por IA para crimes cibernéticos”, acrescentou a empresa.
Basicamente, os ataques permitiram que o agente da ameaça violasse os dispositivos FortiGate, permitindo-lhe extrair configurações completas de dispositivos que, por sua vez, possibilitaram a coleta de credenciais, informações de topologia de rede e informações de configuração de dispositivos.
Isso envolveu a verificação sistemática das interfaces de gerenciamento do FortiGate expostas à Internet nas portas 443, 8443, 10443 e 4443, seguida por tentativas de autenticação usando credenciais comumente reutilizadas. A atividade foi independente do setor, indicando varredura automatizada em massa de dispositivos vulneráveis. As varreduras originaram-se do endereço IP 212.11.64[.]250.
Os dados roubados foram então usados para se aprofundar nas redes alvo e realizar atividades pós-exploração, incluindo reconhecimento para verificação de vulnerabilidades usando Núcleos, comprometimento do Active Directory, coleta de credenciais e esforços para acessar a infraestrutura de backup que se alinha com operações típicas de ransomware.
Os dados recolhidos pela Amazon mostram que a atividade de digitalização resultou num comprometimento a nível organizacional, fazendo com que vários dispositivos FortiGate pertencentes à mesma entidade fossem acedidos. Os clusters comprometidos foram detectados no Sul da Ásia, América Latina, Caraíbas, África Ocidental, Norte da Europa e Sudeste Asiático.
“Após o acesso VPN às redes das vítimas, o agente da ameaça implanta uma ferramenta de reconhecimento personalizada, com diferentes versões escritas em Go e Python”, disse a empresa.
"A análise do código-fonte revela indicadores claros de desenvolvimento assistido por IA: comentários redundantes que apenas reafirmam nomes de funções, arquitetura simplista com investimento desproporcional em formatação em vez de funcionalidade, análise JSON ingênua por meio de correspondência de string ra
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #ator #de #ameaças #assistido #por #ia #compromete #mais #de #600 #dispositivos #fortigate #em #55 #países
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário