🌟 Atualização imperdível para quem gosta de estar bem informado!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Esta semana não produziu uma grande manchete. Ele produziu muitos pequenos sinais – do tipo que molda silenciosamente como serão os próximos ataques.
Os pesquisadores rastrearam invasões que começam em locais comuns: fluxos de trabalho de desenvolvedores, ferramentas remotas, acesso à nuvem, caminhos de identidade e até mesmo ações rotineiras de usuários. Nada parecia dramático na superfície. Esse é o ponto. A entrada está se tornando menos visível enquanto o impacto aumenta posteriormente.
Várias descobertas também mostram como os invasores estão industrializando seu trabalho: infraestrutura compartilhada, manuais repetíveis, acesso alugado e ecossistemas de estilo afiliado. As operações não são mais campanhas isoladas. Eles funcionam mais como serviços.
Esta edição reúne esses fragmentos – atualizações curtas e precisas que mostram onde as técnicas estão amadurecendo, onde a exposição está se ampliando e quais padrões estão se formando por trás do ruído.
Expansão da espionagem de startups
Operação Nomad Leopard tem como alvo o Afeganistão
Num sinal de que o ator da ameaça foi além dos alvos governamentais, o ator da ameaça APT36, alinhado ao Paquistão, foi observado visando o ecossistema de startups da Índia, usando arquivos ISO e atalhos LNK maliciosos usando iscas sensíveis com tema de startup para fornecer RAT Crimson, permitindo vigilância abrangente, exfiltração de dados e reconhecimento do sistema. O vetor de acesso inicial é um e-mail de spearphishing contendo uma imagem ISO. Uma vez executado, o ISO contém um arquivo de atalho malicioso e uma pasta contendo três arquivos: um documento chamariz, um script em lote que atua como mecanismo de persistência e a carga útil final do Crimson RAT, disfarçada como um executável chamado Excel. “Apesar desta expansão, a campanha permanece estreitamente alinhada com o foco histórico da Transparent Tribe no governo indiano e na coleta de inteligência adjacente à defesa, com sobreposição sugerindo que indivíduos ligados a startups podem ser alvo de sua proximidade com o governo, aplicação da lei ou operações de segurança”, disse Acronis.
Infraestrutura compartilhada de crimes cibernéticos
ShadowSyndicate sobe de nível com novas táticas
O cluster de atividades de ameaças conhecido como ShadowSyndicate foi vinculado a dois marcadores SSH adicionais que conectam dezenas de servidores ao mesmo operador de crime cibernético. Esses hosts são então usados para uma ampla gama de atividades maliciosas por vários clusters de ameaças vinculados a Cl0p, BlackCat, Ryuk, Malsmoke e Black Basta. Uma descoberta notável é que o agente da ameaça tende a transferir servidores entre seus clusters SSH. ShadowSyndicate continua associado a kits de ferramentas, incluindo Cobalt Strike, Metasploit, Havoc, Mythic, Sliver, AsyncRAT, MeshAgent e Brute Ratel. “O agente da ameaça tende a reutilizar a infraestrutura anteriormente empregada, às vezes girando várias chaves SSH em seus servidores”, disse o Group-IB. “Se tal técnica for executada corretamente, a infraestrutura será transferida posteriormente, como em um cenário legítimo, quando um servidor vai para um novo usuário”.
Expansão de ransomware KEV
CISA marca 59 CVEs como explorados em ataques de ransomware
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) ajustou 59 avisos de vulnerabilidade explorados ativamente em 2025 para refletir seu uso por grupos de ransomware. Essa lista inclui 16 entradas para Microsoft, seis para Ivanti, cinco para Fortinet, três para Palo Alto Networks e três para Zimbra. “Quando mudar de ‘Desconhecido’ para ‘Conhecido’, reavalie, especialmente se você está despriorizando esse patch porque ‘ainda não está relacionado a ransomware’”, disse Glenn Thorpe, da GreyNoise.
Espionagem e prisões DDoS
Autoridades polacas detêm duas pessoas
As autoridades polacas detiveram um funcionário de 60 anos do Ministério da Defesa do país sob suspeita de espionagem para uma agência de inteligência estrangeira. O suspeito trabalhava no departamento de estratégia e planejamento do Ministério da Defesa Nacional, inclusive em projetos de modernização militar, disseram autoridades. Embora o nome do país não tenha sido revelado, autoridades estatais polacas disseram à imprensa local que o suspeito tinha trabalhado com serviços de inteligência russos e bielorrussos. Num desenvolvimento relacionado, o Gabinete Central de Combate ao Cibercrime (CBZC) da Polónia disse que um homem de 20 anos foi preso por supostamente conduzir ataques distribuídos de negação de serviço (DDoS) em sites de alto perfil, incluindo aqueles de importância estratégica. O indivíduo enfrenta seis acusações e uma possível pena de prisão de cinco anos.
Vetores RCE de codespaces
Vetores de ataque à cadeia de suprimentos em codespaces GitHub
Vários vetores de ataque foram divulgados em GitHub Codespaces que permitem a execução remota de código simplesmente abrindo um repositório malicioso ou pull request. Os vetores identificados incluem: (1) .vscode/settings.json com injeção PROMPT_COMMAND, (2) .devcontainer/devcontainer.json com injeção postCreateCommand e (3) .vscode/tasks.json com folderOpen
Os pesquisadores rastrearam invasões que começam em locais comuns: fluxos de trabalho de desenvolvedores, ferramentas remotas, acesso à nuvem, caminhos de identidade e até mesmo ações rotineiras de usuários. Nada parecia dramático na superfície. Esse é o ponto. A entrada está se tornando menos visível enquanto o impacto aumenta posteriormente.
Várias descobertas também mostram como os invasores estão industrializando seu trabalho: infraestrutura compartilhada, manuais repetíveis, acesso alugado e ecossistemas de estilo afiliado. As operações não são mais campanhas isoladas. Eles funcionam mais como serviços.
Esta edição reúne esses fragmentos – atualizações curtas e precisas que mostram onde as técnicas estão amadurecendo, onde a exposição está se ampliando e quais padrões estão se formando por trás do ruído.
Expansão da espionagem de startups
Operação Nomad Leopard tem como alvo o Afeganistão
Num sinal de que o ator da ameaça foi além dos alvos governamentais, o ator da ameaça APT36, alinhado ao Paquistão, foi observado visando o ecossistema de startups da Índia, usando arquivos ISO e atalhos LNK maliciosos usando iscas sensíveis com tema de startup para fornecer RAT Crimson, permitindo vigilância abrangente, exfiltração de dados e reconhecimento do sistema. O vetor de acesso inicial é um e-mail de spearphishing contendo uma imagem ISO. Uma vez executado, o ISO contém um arquivo de atalho malicioso e uma pasta contendo três arquivos: um documento chamariz, um script em lote que atua como mecanismo de persistência e a carga útil final do Crimson RAT, disfarçada como um executável chamado Excel. “Apesar desta expansão, a campanha permanece estreitamente alinhada com o foco histórico da Transparent Tribe no governo indiano e na coleta de inteligência adjacente à defesa, com sobreposição sugerindo que indivíduos ligados a startups podem ser alvo de sua proximidade com o governo, aplicação da lei ou operações de segurança”, disse Acronis.
Infraestrutura compartilhada de crimes cibernéticos
ShadowSyndicate sobe de nível com novas táticas
O cluster de atividades de ameaças conhecido como ShadowSyndicate foi vinculado a dois marcadores SSH adicionais que conectam dezenas de servidores ao mesmo operador de crime cibernético. Esses hosts são então usados para uma ampla gama de atividades maliciosas por vários clusters de ameaças vinculados a Cl0p, BlackCat, Ryuk, Malsmoke e Black Basta. Uma descoberta notável é que o agente da ameaça tende a transferir servidores entre seus clusters SSH. ShadowSyndicate continua associado a kits de ferramentas, incluindo Cobalt Strike, Metasploit, Havoc, Mythic, Sliver, AsyncRAT, MeshAgent e Brute Ratel. “O agente da ameaça tende a reutilizar a infraestrutura anteriormente empregada, às vezes girando várias chaves SSH em seus servidores”, disse o Group-IB. “Se tal técnica for executada corretamente, a infraestrutura será transferida posteriormente, como em um cenário legítimo, quando um servidor vai para um novo usuário”.
Expansão de ransomware KEV
CISA marca 59 CVEs como explorados em ataques de ransomware
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) ajustou 59 avisos de vulnerabilidade explorados ativamente em 2025 para refletir seu uso por grupos de ransomware. Essa lista inclui 16 entradas para Microsoft, seis para Ivanti, cinco para Fortinet, três para Palo Alto Networks e três para Zimbra. “Quando mudar de ‘Desconhecido’ para ‘Conhecido’, reavalie, especialmente se você está despriorizando esse patch porque ‘ainda não está relacionado a ransomware’”, disse Glenn Thorpe, da GreyNoise.
Espionagem e prisões DDoS
Autoridades polacas detêm duas pessoas
As autoridades polacas detiveram um funcionário de 60 anos do Ministério da Defesa do país sob suspeita de espionagem para uma agência de inteligência estrangeira. O suspeito trabalhava no departamento de estratégia e planejamento do Ministério da Defesa Nacional, inclusive em projetos de modernização militar, disseram autoridades. Embora o nome do país não tenha sido revelado, autoridades estatais polacas disseram à imprensa local que o suspeito tinha trabalhado com serviços de inteligência russos e bielorrussos. Num desenvolvimento relacionado, o Gabinete Central de Combate ao Cibercrime (CBZC) da Polónia disse que um homem de 20 anos foi preso por supostamente conduzir ataques distribuídos de negação de serviço (DDoS) em sites de alto perfil, incluindo aqueles de importância estratégica. O indivíduo enfrenta seis acusações e uma possível pena de prisão de cinco anos.
Vetores RCE de codespaces
Vetores de ataque à cadeia de suprimentos em codespaces GitHub
Vários vetores de ataque foram divulgados em GitHub Codespaces que permitem a execução remota de código simplesmente abrindo um repositório malicioso ou pull request. Os vetores identificados incluem: (1) .vscode/settings.json com injeção PROMPT_COMMAND, (2) .devcontainer/devcontainer.json com injeção postCreateCommand e (3) .vscode/tasks.json com folderOpen
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #boletim #threatsday: #codespaces #rce, #asyncrat #c2, #abuso #de #byovd, #intrusões #na #nuvem #de #ia #e #mais #de #15 #histórias
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário