🌟 Atualização imperdível para quem gosta de estar bem informado!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ator de ameaças persistentes avançadas ligado à China, rastreado como UAT-9244, tem como alvo provedores de serviços de telecomunicações na América do Sul desde 2024, comprometendo Windows, Linux e dispositivos de borda de rede.
De acordo com os pesquisadores do Cisco Talos, o adversário está intimamente associado aos grupos de hackers FamousSparrow e Tropic Trooper, mas é rastreado como um cluster de atividades separado.
Essa avaliação tem alta confiança e se baseia em ferramentas, táticas, técnicas e procedimentos (TTPs) semelhantes e na vitimologia observada em ataques atribuídos aos atores da ameaça.
Os pesquisadores observam que, embora o UAT-9244 compartilhe o mesmo perfil de alvo do Salt Typhoon, eles não conseguiram estabelecer uma conexão sólida entre os dois grupos de atividades.
Novo malware direcionado a redes de telecomunicações
Os pesquisadores descobriram que a campanha usou três famílias de malware anteriormente não documentadas: TernDoor, um backdoor do Windows; PeerTime, um backdoor Linux que usa BitTorrent; and BruteEntry, a brute-force scanner that builds proxy infrastructure (ORBs).
TernDoor é implantado por meio de carregamento lateral de DLL, usando o executável legítimo wsprint.exe para carregar código malicioso de BugSplatRc64.dll, que descriptografa e executa a carga final na memória (injetada em msiexec.exe).
O malware contém um driver incorporado do Windows, WSPrint.sys, que é usado para encerrar, suspender e retomar processos.
A persistência é obtida por meio de tarefas agendadas e modificações no Registro do Windows, que também são usadas para ocultar a tarefa agendada.
Além disso, o TernDoor pode executar comandos via shell remoto, executar processos arbitrários, ler/gravar arquivos, coletar informações do sistema e auto-desinstalar-se.
PeerTime é um backdoor ELF Linux que tem como alvo múltiplas arquiteturas (ARM, AARCH, PPC, MIPS), sugerindo que foi projetado para comprometer uma ampla gama de sistemas embarcados e dispositivos de rede usados em ambientes de telecomunicações.
Fluxo de instalação do PeerTimeFonte: Cisco Talos
Cisco Talos documentou duas versões para PeerTime. Uma variante é escrita em C/C++ e a outra é baseada em Rust. Os pesquisadores também notaram strings de depuração em chinês simplificado no instrumento ou binário, um indicador de sua origem.
Sua carga útil é descriptografada e carregada na memória, e seu processo é renomeado para parecer legítimo.
PeerTime, um backdoor ponto a ponto (P2P) baseado em ELF, usa o protocolo BitTorrent para comunicações de comando e controle (C2), baixa e executa cargas de pares e usa BusyBox para gravar os arquivos no host.
Finalmente, há o BruteEntry, que consiste em um instrumento ou binário baseado em Go e um componente de força bruta. Sua função é transformar dispositivos comprometidos em nós de varredura, conhecidos como Operational Relay Boxes (ORBs).
Cadeia de infecção BruteEntryFonte: Cisco Talos
O invasor usa as máquinas que executam o BruteEntry para procurar novos alvos e acesso de força bruta ao SSH, Postgres e Tomcat. Os resultados da tentativa de login são enviados de volta ao C2 com o status da tarefa e notas.
Em um relatório técnico hoje, os pesquisadores do Cisco Talos fornecem detalhes sobre os recursos dos três tipos de malware, como eles são implantados e alcançam persistência.
Os pesquisadores do Cisco Talos listaram indicadores de comprometimento (IoCs) associados à atividade observada do UAT-9244, que os defensores podem usar para detectar e bloquear esses ataques antecipadamente.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
De acordo com os pesquisadores do Cisco Talos, o adversário está intimamente associado aos grupos de hackers FamousSparrow e Tropic Trooper, mas é rastreado como um cluster de atividades separado.
Essa avaliação tem alta confiança e se baseia em ferramentas, táticas, técnicas e procedimentos (TTPs) semelhantes e na vitimologia observada em ataques atribuídos aos atores da ameaça.
Os pesquisadores observam que, embora o UAT-9244 compartilhe o mesmo perfil de alvo do Salt Typhoon, eles não conseguiram estabelecer uma conexão sólida entre os dois grupos de atividades.
Novo malware direcionado a redes de telecomunicações
Os pesquisadores descobriram que a campanha usou três famílias de malware anteriormente não documentadas: TernDoor, um backdoor do Windows; PeerTime, um backdoor Linux que usa BitTorrent; and BruteEntry, a brute-force scanner that builds proxy infrastructure (ORBs).
TernDoor é implantado por meio de carregamento lateral de DLL, usando o executável legítimo wsprint.exe para carregar código malicioso de BugSplatRc64.dll, que descriptografa e executa a carga final na memória (injetada em msiexec.exe).
O malware contém um driver incorporado do Windows, WSPrint.sys, que é usado para encerrar, suspender e retomar processos.
A persistência é obtida por meio de tarefas agendadas e modificações no Registro do Windows, que também são usadas para ocultar a tarefa agendada.
Além disso, o TernDoor pode executar comandos via shell remoto, executar processos arbitrários, ler/gravar arquivos, coletar informações do sistema e auto-desinstalar-se.
PeerTime é um backdoor ELF Linux que tem como alvo múltiplas arquiteturas (ARM, AARCH, PPC, MIPS), sugerindo que foi projetado para comprometer uma ampla gama de sistemas embarcados e dispositivos de rede usados em ambientes de telecomunicações.
Fluxo de instalação do PeerTimeFonte: Cisco Talos
Cisco Talos documentou duas versões para PeerTime. Uma variante é escrita em C/C++ e a outra é baseada em Rust. Os pesquisadores também notaram strings de depuração em chinês simplificado no instrumento ou binário, um indicador de sua origem.
Sua carga útil é descriptografada e carregada na memória, e seu processo é renomeado para parecer legítimo.
PeerTime, um backdoor ponto a ponto (P2P) baseado em ELF, usa o protocolo BitTorrent para comunicações de comando e controle (C2), baixa e executa cargas de pares e usa BusyBox para gravar os arquivos no host.
Finalmente, há o BruteEntry, que consiste em um instrumento ou binário baseado em Go e um componente de força bruta. Sua função é transformar dispositivos comprometidos em nós de varredura, conhecidos como Operational Relay Boxes (ORBs).
Cadeia de infecção BruteEntryFonte: Cisco Talos
O invasor usa as máquinas que executam o BruteEntry para procurar novos alvos e acesso de força bruta ao SSH, Postgres e Tomcat. Os resultados da tentativa de login são enviados de volta ao C2 com o status da tarefa e notas.
Em um relatório técnico hoje, os pesquisadores do Cisco Talos fornecem detalhes sobre os recursos dos três tipos de malware, como eles são implantados e alcançam persistência.
Os pesquisadores do Cisco Talos listaram indicadores de comprometimento (IoCs) associados à atividade observada do UAT-9244, que os defensores podem usar para detectar e bloquear esses ataques antecipadamente.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
#samirnews #samir #news #boletimtec #hackers #estatais #chineses #atacam #empresas #de #telecomunicações #com #novo #kit #de #ferramentas #de #malware
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário