⚡ Não perca: notÃcia importante no ar! ⚡
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O Amazon Threat Intelligence está alertando sobre uma campanha ativa de ransomware Interlock que está explorando uma falha crÃtica de segurança divulgada recentemente no software Cisco Secure Firewall Management Center (FMC).
A vulnerabilidade em questão é CVE-2026-20131 (pontuação CVSS: 10.0), um caso de desserialização insegura do fluxo de bytes Java fornecido pelo usuário, que pode permitir que um invasor remoto não autenticado ignore a autenticação e execute código Java arbitrário como root em um dispositivo afetado.
De acordo com dados coletados da rede global de sensores MadPot da gigante da tecnologia, a falha de segurança teria sido explorada como dia zero desde 26 de janeiro de 2026, mais de um mês antes de ser divulgada publicamente pela Cisco.
"Esta não foi apenas mais uma exploração de vulnerabilidade; o Interlock tinha um dia zero em suas mãos, dando-lhes uma semana de vantagem para comprometer as organizações antes que os defensores sequer soubessem o que fazer. Ao fazer essa descoberta, compartilhamos nossas descobertas com a Cisco para ajudar a apoiar sua investigação e proteger os clientes", disse CJ Moses, diretor de segurança da informação (CISO) da Amazon Integrated Security, em um relatório compartilhado com o The Hacker News.
A descoberta, disse a Amazon, foi possÃvel graças a um erro de segurança operacional por parte do agente da ameaça que expôs o kit de ferramentas operacionais do seu grupo de crimes cibernéticos através de um servidor de infraestrutura mal configurado, oferecendo insights sobre sua cadeia de ataque em vários estágios, trojans de acesso remoto personalizados, scripts de reconhecimento e técnicas de evasão.
A cadeia de ataque envolve o envio de solicitações HTTP elaboradas para um caminho especÃfico no software afetado com o objetivo de executar código Java arbitrário, após o qual o sistema comprometido emite uma solicitação HTTP PUT para um servidor externo para confirmar a exploração bem-sucedida. ConcluÃda esta etapa, os comandos são enviados para buscar um binário ELF de um servidor remoto, que hospeda outras ferramentas vinculadas ao Interlock.
A lista de ferramentas identificadas é a seguinte -
Um script de reconhecimento do PowerShell usado para enumeração sistemática do ambiente Windows, coletando detalhes sobre sistema operacional e hardware, serviços em execução, software instalado, configuração de armazenamento, inventário de máquinas virtuais Hyper-V, listagens de arquivos de usuários em diretórios Desktop, Documentos e Downloads, artefatos de navegador do Chrome, Edge, Firefox, Internet Explorer e navegador 360, conexões de rede ativas e eventos de autenticação RDP de logs de eventos do Windows.
Trojans de acesso remoto personalizados escritos em JavaScript e Java para comando e controle, acesso interativo ao shell, execução arbitrária de comandos, transferência bidirecional de arquivos e capacidade de proxy SOCKS5. Ele também oferece suporte a mecanismos de autoatualização e autoexclusão para substituir ou remover o artefato sem precisar reinfectar a máquina e desafiar a investigação forense.
Um script Bash para configurar servidores Linux como proxies reversos HTTP para ocultar as verdadeiras origens do invasor. O script fornece fail2ban, uma ferramenta de prevenção de invasões Linux de código aberto, e compila e gera uma instância HAProxy que escuta na porta 80 e encaminha todo o tráfego HTTP de entrada para um endereço IP de destino codificado. Além disso, o script de lavagem de infraestrutura executa uma rotina de eliminação de log como uma tarefa cron a cada cinco minutos para excluir e limpar agressivamente o conteúdo dos arquivos *.log e suprimir o histórico do shell, desativando a variável HISTFILE.
Um web shell residente na memória para inspecionar solicitações recebidas para parâmetros especialmente criados contendo cargas de comando criptografadas, que são então descriptografadas e executadas.
Um farol de rede leve para telefonar para infraestrutura controlada por invasores, com probabilidade de validar a execução bem-sucedida de código ou confirmar a acessibilidade da porta de rede após a exploração inicial.
ConnectWise ScreenConnect para acesso remoto persistente e para servir como um caminho alternativo caso outros pontos de apoio sejam detectados e removidos.
Volatility Framework, uma estrutura forense de memória de código aberto
Os links para o Interlock resultam de indicadores técnicos e operacionais “convergentes”, incluindo a nota de resgate incorporada e o portal de negociação TOR. As evidências mostram que o agente da ameaça provavelmente está operacional durante o fuso horário UTC+3.
À luz da exploração ativa da falha, os usuários são aconselhados a aplicar patches o mais rápido possÃvel, realizar avaliações de segurança para identificar possÃveis comprometimentos, revisar as implantações do ScreenConnect em busca de instalações não autorizadas e implementar estratégias de defesa profunda.
“A verdadeira história aqui não é apenas sobre uma vulnerabilidade ou um grupo de ransomware – é sobre o desafio fundamental que as explorações de dia zero representam para todos os modelos de segurança”, disse Moses. “Quando os invasores exploram vulnerabilidades antes que os patches existam, mesmo os programas de patches mais diligentes não conseguem protegê-lo nessa janela crÃtica.”
"É precisamente por isso que a defesa em profundidade é
A vulnerabilidade em questão é CVE-2026-20131 (pontuação CVSS: 10.0), um caso de desserialização insegura do fluxo de bytes Java fornecido pelo usuário, que pode permitir que um invasor remoto não autenticado ignore a autenticação e execute código Java arbitrário como root em um dispositivo afetado.
De acordo com dados coletados da rede global de sensores MadPot da gigante da tecnologia, a falha de segurança teria sido explorada como dia zero desde 26 de janeiro de 2026, mais de um mês antes de ser divulgada publicamente pela Cisco.
"Esta não foi apenas mais uma exploração de vulnerabilidade; o Interlock tinha um dia zero em suas mãos, dando-lhes uma semana de vantagem para comprometer as organizações antes que os defensores sequer soubessem o que fazer. Ao fazer essa descoberta, compartilhamos nossas descobertas com a Cisco para ajudar a apoiar sua investigação e proteger os clientes", disse CJ Moses, diretor de segurança da informação (CISO) da Amazon Integrated Security, em um relatório compartilhado com o The Hacker News.
A descoberta, disse a Amazon, foi possÃvel graças a um erro de segurança operacional por parte do agente da ameaça que expôs o kit de ferramentas operacionais do seu grupo de crimes cibernéticos através de um servidor de infraestrutura mal configurado, oferecendo insights sobre sua cadeia de ataque em vários estágios, trojans de acesso remoto personalizados, scripts de reconhecimento e técnicas de evasão.
A cadeia de ataque envolve o envio de solicitações HTTP elaboradas para um caminho especÃfico no software afetado com o objetivo de executar código Java arbitrário, após o qual o sistema comprometido emite uma solicitação HTTP PUT para um servidor externo para confirmar a exploração bem-sucedida. ConcluÃda esta etapa, os comandos são enviados para buscar um binário ELF de um servidor remoto, que hospeda outras ferramentas vinculadas ao Interlock.
A lista de ferramentas identificadas é a seguinte -
Um script de reconhecimento do PowerShell usado para enumeração sistemática do ambiente Windows, coletando detalhes sobre sistema operacional e hardware, serviços em execução, software instalado, configuração de armazenamento, inventário de máquinas virtuais Hyper-V, listagens de arquivos de usuários em diretórios Desktop, Documentos e Downloads, artefatos de navegador do Chrome, Edge, Firefox, Internet Explorer e navegador 360, conexões de rede ativas e eventos de autenticação RDP de logs de eventos do Windows.
Trojans de acesso remoto personalizados escritos em JavaScript e Java para comando e controle, acesso interativo ao shell, execução arbitrária de comandos, transferência bidirecional de arquivos e capacidade de proxy SOCKS5. Ele também oferece suporte a mecanismos de autoatualização e autoexclusão para substituir ou remover o artefato sem precisar reinfectar a máquina e desafiar a investigação forense.
Um script Bash para configurar servidores Linux como proxies reversos HTTP para ocultar as verdadeiras origens do invasor. O script fornece fail2ban, uma ferramenta de prevenção de invasões Linux de código aberto, e compila e gera uma instância HAProxy que escuta na porta 80 e encaminha todo o tráfego HTTP de entrada para um endereço IP de destino codificado. Além disso, o script de lavagem de infraestrutura executa uma rotina de eliminação de log como uma tarefa cron a cada cinco minutos para excluir e limpar agressivamente o conteúdo dos arquivos *.log e suprimir o histórico do shell, desativando a variável HISTFILE.
Um web shell residente na memória para inspecionar solicitações recebidas para parâmetros especialmente criados contendo cargas de comando criptografadas, que são então descriptografadas e executadas.
Um farol de rede leve para telefonar para infraestrutura controlada por invasores, com probabilidade de validar a execução bem-sucedida de código ou confirmar a acessibilidade da porta de rede após a exploração inicial.
ConnectWise ScreenConnect para acesso remoto persistente e para servir como um caminho alternativo caso outros pontos de apoio sejam detectados e removidos.
Volatility Framework, uma estrutura forense de memória de código aberto
Os links para o Interlock resultam de indicadores técnicos e operacionais “convergentes”, incluindo a nota de resgate incorporada e o portal de negociação TOR. As evidências mostram que o agente da ameaça provavelmente está operacional durante o fuso horário UTC+3.
À luz da exploração ativa da falha, os usuários são aconselhados a aplicar patches o mais rápido possÃvel, realizar avaliações de segurança para identificar possÃveis comprometimentos, revisar as implantações do ScreenConnect em busca de instalações não autorizadas e implementar estratégias de defesa profunda.
“A verdadeira história aqui não é apenas sobre uma vulnerabilidade ou um grupo de ransomware – é sobre o desafio fundamental que as explorações de dia zero representam para todos os modelos de segurança”, disse Moses. “Quando os invasores exploram vulnerabilidades antes que os patches existam, mesmo os programas de patches mais diligentes não conseguem protegê-lo nessa janela crÃtica.”
"É precisamente por isso que a defesa em profundidade é
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #interlock #ransomware #explora #cisco #fmc #zeroday #cve202620131 #para #acesso #root
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário