📰 Informação fresquinha chegando para você!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética sinalizaram um novo malware chamado ZionSiphon, que parece ter sido projetado especificamente para atingir os sistemas israelenses de tratamento e dessalinização de água.
O malware recebeu o codinome ZionSiphon da Darktrace, destacando sua capacidade de configurar persistência, adulterar arquivos de configuração locais e procurar serviços relevantes para tecnologia operacional (OT) na sub-rede local. De acordo com detalhes do VirusTotal, a amostra foi detectada pela primeira vez na natureza em 29 de junho de 2025, logo após a Guerra dos Doze Dias entre o Irã e Israel, que ocorreu entre 13 e 24 de junho.
“O malware combina escalonamento de privilégios, persistência, propagação de USB e varredura de ICS com capacidades de sabotagem destinadas a controles de cloro e pressão, destacando a crescente experimentação com ataques a infraestruturas críticas com motivação política contra tecnologias operacionais industriais em todo o mundo”, disse a empresa.
O ZionSiphon, atualmente em estado inacabado, é caracterizado por sua segmentação focada em Israel, perseguindo um conjunto específico de intervalos de endereços IPv4 localizados em Israel -
2.52.0[.]0 - 2.55.255[.]255
79.176.0[.]0 - 79.191.255[.]255
212.150.0[.]0 - 212.150.255[.]255
Além de codificar mensagens políticas que reivindicam apoio ao Irão, à Palestina e ao Iémen, o malware incorpora cadeias ligadas a Israel na sua lista de alvos que correspondem à infraestrutura de água e dessalinização do país. Também inclui verificações para garantir isso nesses sistemas específicos.
“A lógica pretendida é clara: a carga útil é ativada apenas quando uma condição geográfica e uma condição específica do ambiente relacionada à dessalinização ou tratamento de água são atendidas”, disse a empresa de segurança cibernética.
Uma vez iniciado, o ZionSiphon identifica e investiga dispositivos na sub-rede local, tenta comunicação específica de protocolo usando os protocolos Modbus, DNP3 e S7comm e modifica arquivos de configuração local alterando parâmetros associados a doses e pressão de cloro. Uma análise do artefato concluiu que o caminho de ataque orientado ao Modus é o mais desenvolvido, com os dois restantes incluindo apenas código parcialmente funcional, indicando que o malware provavelmente ainda está em desenvolvimento.
Um aspecto notável do malware é a sua capacidade de propagar a infecção através de mídia removível. Nos hosts que não atendem aos critérios, ele inicia uma sequência de autodestruição para se excluir.
“Embora o arquivo contenha funções de sabotagem, varredura e propagação, a amostra atual parece incapaz de satisfazer sua própria função de verificação do país-alvo, mesmo quando o IP relatado está dentro dos intervalos especificados”, disse Darktrace. "Esse comportamento sugere que a versão foi desativada intencionalmente, configurada incorretamente ou deixada em um estado inacabado."
"Apesar dessas limitações, a estrutura geral do código provavelmente indica um agente de ameaça experimentando manipulação de TO multiprotocolo, persistência em redes operacionais e técnicas de propagação de mídia removível que lembram campanhas anteriores de direcionamento de ICS."
A divulgação coincide com a descoberta de um implante baseado em Node.js chamado RoadK1ll, projetado para manter acesso confiável a uma rede comprometida enquanto se integra à atividade normal da rede.
“RoadK1ll é um implante de túnel reverso baseado em Node.js que estabelece uma conexão WebSocket de saída para infraestrutura controlada pelo invasor e usa essa conexão para intermediar o tráfego TCP sob demanda”, disse Blackpoint Cyber.
“Ao contrário de um trojan de acesso remoto tradicional, ele não carrega um grande conjunto de comandos e não requer nenhum ouvinte de entrada no host da vítima. Sua única função é converter uma única máquina comprometida em um ponto de retransmissão controlável, um amplificador de acesso, através do qual um operador pode migrar para sistemas internos, serviços e segmentos de rede que de outra forma seriam inacessíveis de fora do perímetro.”
Na semana passada, a Gen Digital também retirou um backdoor ofuscado de máquina virtual (VM) que foi observado em uma única máquina no Reino Unido e operou por um ano entre maio de 2022 e junho de 2023, antes de desaparecer sem deixar vestígios quando sua infraestrutura expirou. O implante foi apelidado de AngrySpark. Atualmente não se sabe quais foram os objetivos finais da atividade.
“O AngrySpark opera como um sistema de três estágios”, explicou a empresa. "Uma DLL disfarçada de componente do Windows é carregada por meio do Agendador de Tarefas, descriptografa sua configuração do registro e injeta shellcode independente de posição em svchost.exe. Esse shellcode implementa uma máquina virtual."
"A VM processa um blob de 25 KB de instruções de bytecode, decodificando e montando a carga real - um beacon que traça o perfil da máquina, telefona para casa por HTTPS disfarçado como solicitações de imagem PNG e pode receber shellcode criptografado para execução."
O resultado é um malware capaz de estabelecer
O malware recebeu o codinome ZionSiphon da Darktrace, destacando sua capacidade de configurar persistência, adulterar arquivos de configuração locais e procurar serviços relevantes para tecnologia operacional (OT) na sub-rede local. De acordo com detalhes do VirusTotal, a amostra foi detectada pela primeira vez na natureza em 29 de junho de 2025, logo após a Guerra dos Doze Dias entre o Irã e Israel, que ocorreu entre 13 e 24 de junho.
“O malware combina escalonamento de privilégios, persistência, propagação de USB e varredura de ICS com capacidades de sabotagem destinadas a controles de cloro e pressão, destacando a crescente experimentação com ataques a infraestruturas críticas com motivação política contra tecnologias operacionais industriais em todo o mundo”, disse a empresa.
O ZionSiphon, atualmente em estado inacabado, é caracterizado por sua segmentação focada em Israel, perseguindo um conjunto específico de intervalos de endereços IPv4 localizados em Israel -
2.52.0[.]0 - 2.55.255[.]255
79.176.0[.]0 - 79.191.255[.]255
212.150.0[.]0 - 212.150.255[.]255
Além de codificar mensagens políticas que reivindicam apoio ao Irão, à Palestina e ao Iémen, o malware incorpora cadeias ligadas a Israel na sua lista de alvos que correspondem à infraestrutura de água e dessalinização do país. Também inclui verificações para garantir isso nesses sistemas específicos.
“A lógica pretendida é clara: a carga útil é ativada apenas quando uma condição geográfica e uma condição específica do ambiente relacionada à dessalinização ou tratamento de água são atendidas”, disse a empresa de segurança cibernética.
Uma vez iniciado, o ZionSiphon identifica e investiga dispositivos na sub-rede local, tenta comunicação específica de protocolo usando os protocolos Modbus, DNP3 e S7comm e modifica arquivos de configuração local alterando parâmetros associados a doses e pressão de cloro. Uma análise do artefato concluiu que o caminho de ataque orientado ao Modus é o mais desenvolvido, com os dois restantes incluindo apenas código parcialmente funcional, indicando que o malware provavelmente ainda está em desenvolvimento.
Um aspecto notável do malware é a sua capacidade de propagar a infecção através de mídia removível. Nos hosts que não atendem aos critérios, ele inicia uma sequência de autodestruição para se excluir.
“Embora o arquivo contenha funções de sabotagem, varredura e propagação, a amostra atual parece incapaz de satisfazer sua própria função de verificação do país-alvo, mesmo quando o IP relatado está dentro dos intervalos especificados”, disse Darktrace. "Esse comportamento sugere que a versão foi desativada intencionalmente, configurada incorretamente ou deixada em um estado inacabado."
"Apesar dessas limitações, a estrutura geral do código provavelmente indica um agente de ameaça experimentando manipulação de TO multiprotocolo, persistência em redes operacionais e técnicas de propagação de mídia removível que lembram campanhas anteriores de direcionamento de ICS."
A divulgação coincide com a descoberta de um implante baseado em Node.js chamado RoadK1ll, projetado para manter acesso confiável a uma rede comprometida enquanto se integra à atividade normal da rede.
“RoadK1ll é um implante de túnel reverso baseado em Node.js que estabelece uma conexão WebSocket de saída para infraestrutura controlada pelo invasor e usa essa conexão para intermediar o tráfego TCP sob demanda”, disse Blackpoint Cyber.
“Ao contrário de um trojan de acesso remoto tradicional, ele não carrega um grande conjunto de comandos e não requer nenhum ouvinte de entrada no host da vítima. Sua única função é converter uma única máquina comprometida em um ponto de retransmissão controlável, um amplificador de acesso, através do qual um operador pode migrar para sistemas internos, serviços e segmentos de rede que de outra forma seriam inacessíveis de fora do perímetro.”
Na semana passada, a Gen Digital também retirou um backdoor ofuscado de máquina virtual (VM) que foi observado em uma única máquina no Reino Unido e operou por um ano entre maio de 2022 e junho de 2023, antes de desaparecer sem deixar vestígios quando sua infraestrutura expirou. O implante foi apelidado de AngrySpark. Atualmente não se sabe quais foram os objetivos finais da atividade.
“O AngrySpark opera como um sistema de três estágios”, explicou a empresa. "Uma DLL disfarçada de componente do Windows é carregada por meio do Agendador de Tarefas, descriptografa sua configuração do registro e injeta shellcode independente de posição em svchost.exe. Esse shellcode implementa uma máquina virtual."
"A VM processa um blob de 25 KB de instruções de bytecode, decodificando e montando a carga real - um beacon que traça o perfil da máquina, telefona para casa por HTTPS disfarçado como solicitações de imagem PNG e pode receber shellcode criptografado para execução."
O resultado é um malware capaz de estabelecer
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #pesquisadores #detectam #malware #zionsiphon #visando #sistemas #israelenses #de #água #e #dessalinização #ot
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário