⚡ Não perca: notícia importante no ar! ⚡
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os hackers estão explorando cada vez mais vulnerabilidades recentemente divulgadas em software de terceiros para obter acesso inicial a ambientes de nuvem, com a janela para ataques diminuindo de semanas para apenas alguns dias.
Ao mesmo tempo, o uso de credenciais fracas ou configurações incorretas caiu significativamente no segundo semestre de 2025, observa o Google em um relatório que destaca as tendências de ameaças aos usuários da nuvem.
De acordo com o relatório, os responsáveis pela resposta a incidentes determinaram que as explorações de bugs foram o principal vetor de acesso em 44,5% das invasões investigadas, enquanto as credenciais foram responsáveis por 27% das violações.
Método de acesso inicialFonte: Google
O tipo de vulnerabilidade mais frequentemente explorado em ataques é a execução remota de código (RCE), com destaque para React2Shell (CVE-2025-55182) e a falha XWiki rastreada como CVE-2025-24893, aproveitada em ataques de botnet RondoDox.
O Google acredita que essa mudança de foco provavelmente se deveu ao aumento das medidas de segurança para contas e credenciais.
“Avaliamos que essa mudança no comportamento dos atores de ameaças se deve potencialmente à estratégia segura por padrão do Google e às proteções de credenciais aprimoradas, fechando com sucesso caminhos tradicionais e mais facilmente exploráveis, aumentando a barreira de entrada para os atores de ameaças”, afirma o Google.
A janela de exploração caiu de semanas para alguns dias, pois o Google observou criptomineradores implantados dentro de 48 horas após a divulgação da vulnerabilidade, indicando que os hackers estão altamente prontos para transformar novas falhas em armas e incorporá-las em seus fluxos de ataque.
Tanto atores patrocinados pelo Estado quanto hackers com motivação financeira aproveitaram principalmente identidades comprometidas, por meio de phishing e vishing, personificando a equipe de suporte técnico de TI, para obter acesso à plataforma de nuvem de uma organização alvo.
Na maioria dos ataques investigados, o objetivo do ator era a exfiltração silenciosa de grandes volumes de dados, sem extorsão imediata e persistência a longo prazo.
Objetivos aparentes de ataque à nuvemFonte: Google
O Google destaca algumas campanhas de espionagem de atores ligados ao Irã e à China, que mantiveram acesso ao ambiente das vítimas por bem mais de um ano e meio.
Por mais de dois anos, o agente de ameaças ligado ao Irã, UNC1549, teve acesso a um ambiente alvo usando credenciais VPN roubadas e o malware MiniBike. Isso permitiu que os hackers roubassem da vítima quase um terabyte de dados proprietários.
Em outro exemplo, o ator UNC5221, patrocinado pela China, usou o malware BrickStorm para manter o acesso aos servidores VMware vCenter da vítima por pelo menos 18 meses e roubar o código-fonte.
Hackers norte-coreanos roubando milhões
O Google atribui 3% das intrusões analisadas no segundo semestre de 2025 a trabalhadores de TI norte-coreanos (UNC5267) que usaram identidades fraudulentas para obter um emprego e gerar receitas para o governo.
Outro ator de ameaça norte-coreano rastreado como UNC4899 comprometeu ambientes de nuvem especificamente para roubar ativos digitais. Em um caso, UNC4899 roubou milhões de dólares americanos em criptomoedas depois de enganar um desenvolvedor para que baixasse um arquivo malicioso sob o pretexto de uma colaboração em um projeto de código aberto.
O desenvolvedor então usou o serviço Airdrop para transferir o arquivo do computador pessoal para a estação de trabalho corporativa e abri-lo em um ambiente de desenvolvimento integrado (IDE) assistido por IA.
Dentro do arquivo havia um código Python malicioso que implantava um binário se passando por uma ferramenta de linha de comando do Kubernetes.
“O binário foi direcionado para domínios controlados por UNC4899 e serviu como backdoor que deu aos agentes da ameaça acesso à estação de trabalho da vítima, garantindo-lhes efetivamente uma posição segura na rede corporativa” – Google
Nas etapas seguintes, o UNC4899 migrou para o ambiente de nuvem e realizou atividades de reconhecimento, que incluíram a exploração de pods específicos no cluster Kubernetes, estabeleceu persistência e "obteve um token para uma conta de serviço CI/CD de alto privilégio".
Isso permitiu que eles migrassem lateralmente para sistemas mais sensíveis, como um pod responsável por aplicar políticas de rede que lhes permitissem sair do contêiner e plantar um backdoor.
Após reconhecimento adicional, UNC4899 migrou para um sistema que lidava com informações do cliente (identidades, segurança da conta, dados de carteira de criptomoeda) e hospedava credenciais de banco de dados armazenadas de forma insegura.
Esses dados foram suficientes para que o agente da ameaça comprometesse as contas dos usuários e roubasse vários milhões de dólares em criptomoedas.
Abuso do OpenID Connect
Em um ataque que utilizou um nome de pacote npm comprometido chamado QuietVault, o invasor roubou o token GitHub de um desenvolvedor e o usou para criar uma nova conta de administrador no ambiente de nuvem, abusando da confiança do GitHub para AWS OpenID Connect (OIDC).
Em apenas três dias a partir do compromisso inicial, a QuietVault obteve as chaves da API GitHub e NPM do desenvolvedor, aproveitando os prompts de IA com comunicação local de IA.
Ao mesmo tempo, o uso de credenciais fracas ou configurações incorretas caiu significativamente no segundo semestre de 2025, observa o Google em um relatório que destaca as tendências de ameaças aos usuários da nuvem.
De acordo com o relatório, os responsáveis pela resposta a incidentes determinaram que as explorações de bugs foram o principal vetor de acesso em 44,5% das invasões investigadas, enquanto as credenciais foram responsáveis por 27% das violações.
Método de acesso inicialFonte: Google
O tipo de vulnerabilidade mais frequentemente explorado em ataques é a execução remota de código (RCE), com destaque para React2Shell (CVE-2025-55182) e a falha XWiki rastreada como CVE-2025-24893, aproveitada em ataques de botnet RondoDox.
O Google acredita que essa mudança de foco provavelmente se deveu ao aumento das medidas de segurança para contas e credenciais.
“Avaliamos que essa mudança no comportamento dos atores de ameaças se deve potencialmente à estratégia segura por padrão do Google e às proteções de credenciais aprimoradas, fechando com sucesso caminhos tradicionais e mais facilmente exploráveis, aumentando a barreira de entrada para os atores de ameaças”, afirma o Google.
A janela de exploração caiu de semanas para alguns dias, pois o Google observou criptomineradores implantados dentro de 48 horas após a divulgação da vulnerabilidade, indicando que os hackers estão altamente prontos para transformar novas falhas em armas e incorporá-las em seus fluxos de ataque.
Tanto atores patrocinados pelo Estado quanto hackers com motivação financeira aproveitaram principalmente identidades comprometidas, por meio de phishing e vishing, personificando a equipe de suporte técnico de TI, para obter acesso à plataforma de nuvem de uma organização alvo.
Na maioria dos ataques investigados, o objetivo do ator era a exfiltração silenciosa de grandes volumes de dados, sem extorsão imediata e persistência a longo prazo.
Objetivos aparentes de ataque à nuvemFonte: Google
O Google destaca algumas campanhas de espionagem de atores ligados ao Irã e à China, que mantiveram acesso ao ambiente das vítimas por bem mais de um ano e meio.
Por mais de dois anos, o agente de ameaças ligado ao Irã, UNC1549, teve acesso a um ambiente alvo usando credenciais VPN roubadas e o malware MiniBike. Isso permitiu que os hackers roubassem da vítima quase um terabyte de dados proprietários.
Em outro exemplo, o ator UNC5221, patrocinado pela China, usou o malware BrickStorm para manter o acesso aos servidores VMware vCenter da vítima por pelo menos 18 meses e roubar o código-fonte.
Hackers norte-coreanos roubando milhões
O Google atribui 3% das intrusões analisadas no segundo semestre de 2025 a trabalhadores de TI norte-coreanos (UNC5267) que usaram identidades fraudulentas para obter um emprego e gerar receitas para o governo.
Outro ator de ameaça norte-coreano rastreado como UNC4899 comprometeu ambientes de nuvem especificamente para roubar ativos digitais. Em um caso, UNC4899 roubou milhões de dólares americanos em criptomoedas depois de enganar um desenvolvedor para que baixasse um arquivo malicioso sob o pretexto de uma colaboração em um projeto de código aberto.
O desenvolvedor então usou o serviço Airdrop para transferir o arquivo do computador pessoal para a estação de trabalho corporativa e abri-lo em um ambiente de desenvolvimento integrado (IDE) assistido por IA.
Dentro do arquivo havia um código Python malicioso que implantava um binário se passando por uma ferramenta de linha de comando do Kubernetes.
“O binário foi direcionado para domínios controlados por UNC4899 e serviu como backdoor que deu aos agentes da ameaça acesso à estação de trabalho da vítima, garantindo-lhes efetivamente uma posição segura na rede corporativa” – Google
Nas etapas seguintes, o UNC4899 migrou para o ambiente de nuvem e realizou atividades de reconhecimento, que incluíram a exploração de pods específicos no cluster Kubernetes, estabeleceu persistência e "obteve um token para uma conta de serviço CI/CD de alto privilégio".
Isso permitiu que eles migrassem lateralmente para sistemas mais sensíveis, como um pod responsável por aplicar políticas de rede que lhes permitissem sair do contêiner e plantar um backdoor.
Após reconhecimento adicional, UNC4899 migrou para um sistema que lidava com informações do cliente (identidades, segurança da conta, dados de carteira de criptomoeda) e hospedava credenciais de banco de dados armazenadas de forma insegura.
Esses dados foram suficientes para que o agente da ameaça comprometesse as contas dos usuários e roubasse vários milhões de dólares em criptomoedas.
Abuso do OpenID Connect
Em um ataque que utilizou um nome de pacote npm comprometido chamado QuietVault, o invasor roubou o token GitHub de um desenvolvedor e o usou para criar uma nova conta de administrador no ambiente de nuvem, abusando da confiança do GitHub para AWS OpenID Connect (OIDC).
Em apenas três dias a partir do compromisso inicial, a QuietVault obteve as chaves da API GitHub e NPM do desenvolvedor, aproveitando os prompts de IA com comunicação local de IA.
#samirnews #samir #news #boletimtec #google: #ataques #na #nuvem #exploram #mais #falhas #do #que #credenciais #fracas
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário