🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ator de ameaça com afiliações à China foi associado a uma “intrusão em múltiplas ondas” que visava uma empresa de petróleo e gás do Azerbaijão não identificada entre o final de dezembro de 2025 e o final de fevereiro de 2026, marcando uma expansão dos seus ataques.
A atividade foi atribuída pelo Bitdefender com confiança moderada a alta a um grupo de hackers conhecido como FamousSparrow (também conhecido como UAT-9244), que compartilha algum nível de sobreposição tática com clusters rastreados sob os nomes Earth Estries e Salt Typhoon.
O ataque abre caminho para a implantação de dois backdoors distintos em três ondas distintas: Deed RAT (também conhecido como Snappybee), um sucessor do ShadowPad usado por vários grupos de espionagem no nexo da China, e TernDoor, que foi recentemente descoberto em ataques direcionados à infraestrutura de telecomunicações na América do Sul desde 2024.
O que é notável sobre a campanha é que ela aproveitou repetidamente o mesmo ponto de entrada vulnerável do Microsoft Exchange Server, apesar de várias tentativas de remediação, trocando backdoors a cada vez: Deed RAT em 25 de dezembro de 2025, TernDoor no final de janeiro/início de fevereiro de 2026 e um Deed RAT modificado no final de fevereiro de 2026. Os invasores são avaliados como tendo explorado a cadeia ProxyNotShell para obter acesso inicial.
“Esta segmentação estende a vitimologia conhecida do FamousSparrow a uma região onde o papel do Azerbaijão na segurança energética europeia aumentou materialmente após a expiração do acordo de trânsito de gás da Rússia na Ucrânia em 2024 e as interrupções no Estreito de Ormuz em 2026”, disse a empresa romena de segurança cibernética em um relatório compartilhado com The Hacker News.
“A intrusão ilustra que os atores explorarão e reexplorarão o mesmo caminho de acesso até que a vulnerabilidade original seja corrigida, as credenciais comprometidas sejam alternadas e a capacidade de retorno do invasor seja totalmente interrompida”.
Diz-se que o acesso inicial foi seguido por tentativas de implantar web shells para estabelecer uma posição persistente e, finalmente, implantar Deed RAT usando uma técnica evoluída de carregamento lateral de DLL que aproveita o binário legítimo do LogMeIn Hamachi para carregar e lançar uma DLL não autorizada que é responsável por executar a carga principal.
“Ao contrário do carregamento lateral padrão de DLL que depende da simples substituição de arquivos, este método substitui duas funções exportadas específicas dentro da biblioteca maliciosa”, explicou Bitdefender. "Isso cria um gatilho de dois estágios que controla a execução do carregador Deed RAT por meio do fluxo de controle natural do aplicativo host, evoluindo ainda mais os recursos de evasão de defesa do carregamento lateral de DLL tradicional."
Descobriu-se também que os ataques conduzem movimentos laterais para ampliar o seu acesso dentro da rede comprometida e estabelecer uma base redundante para garantir resiliência no caso de a atividade ser detectada e removida.
A segunda onda, por outro lado, ocorreu quase um mês após a intrusão inicial, com o adversário tentando, sem sucesso, empregar o carregamento lateral de DLL para eliminar o TernDoor por meio do Mofu Loader, um carregador de shellcode anteriormente atribuído ao GroundPeony.
A empresa do Azerbaijão foi alvo de ataques pela terceira vez no final de fevereiro de 2026, quando os atores da ameaça mais uma vez tentaram implantar uma versão modificada do Deed RAT, indicando esforços ativos para refinar e desenvolver seu arsenal de malware. Este artefato usa "sentinelonepro [.]com" para comando e controle (C2).
“Esta intrusão não deve ser vista como um compromisso isolado, mas como uma operação sustentada e adaptativa conduzida por um ator que procurou repetidamente recuperar e ampliar o acesso dentro do ambiente da vítima”, disse a Bitdefender. “Em múltiplas ondas de atividade, o mesmo caminho de acesso foi revisitado, novas cargas úteis foram introduzidas e pontos de apoio adicionais foram estabelecidos, ressaltando um alto grau de persistência e disciplina operacional”.
A atividade foi atribuída pelo Bitdefender com confiança moderada a alta a um grupo de hackers conhecido como FamousSparrow (também conhecido como UAT-9244), que compartilha algum nível de sobreposição tática com clusters rastreados sob os nomes Earth Estries e Salt Typhoon.
O ataque abre caminho para a implantação de dois backdoors distintos em três ondas distintas: Deed RAT (também conhecido como Snappybee), um sucessor do ShadowPad usado por vários grupos de espionagem no nexo da China, e TernDoor, que foi recentemente descoberto em ataques direcionados à infraestrutura de telecomunicações na América do Sul desde 2024.
O que é notável sobre a campanha é que ela aproveitou repetidamente o mesmo ponto de entrada vulnerável do Microsoft Exchange Server, apesar de várias tentativas de remediação, trocando backdoors a cada vez: Deed RAT em 25 de dezembro de 2025, TernDoor no final de janeiro/início de fevereiro de 2026 e um Deed RAT modificado no final de fevereiro de 2026. Os invasores são avaliados como tendo explorado a cadeia ProxyNotShell para obter acesso inicial.
“Esta segmentação estende a vitimologia conhecida do FamousSparrow a uma região onde o papel do Azerbaijão na segurança energética europeia aumentou materialmente após a expiração do acordo de trânsito de gás da Rússia na Ucrânia em 2024 e as interrupções no Estreito de Ormuz em 2026”, disse a empresa romena de segurança cibernética em um relatório compartilhado com The Hacker News.
“A intrusão ilustra que os atores explorarão e reexplorarão o mesmo caminho de acesso até que a vulnerabilidade original seja corrigida, as credenciais comprometidas sejam alternadas e a capacidade de retorno do invasor seja totalmente interrompida”.
Diz-se que o acesso inicial foi seguido por tentativas de implantar web shells para estabelecer uma posição persistente e, finalmente, implantar Deed RAT usando uma técnica evoluída de carregamento lateral de DLL que aproveita o binário legítimo do LogMeIn Hamachi para carregar e lançar uma DLL não autorizada que é responsável por executar a carga principal.
“Ao contrário do carregamento lateral padrão de DLL que depende da simples substituição de arquivos, este método substitui duas funções exportadas específicas dentro da biblioteca maliciosa”, explicou Bitdefender. "Isso cria um gatilho de dois estágios que controla a execução do carregador Deed RAT por meio do fluxo de controle natural do aplicativo host, evoluindo ainda mais os recursos de evasão de defesa do carregamento lateral de DLL tradicional."
Descobriu-se também que os ataques conduzem movimentos laterais para ampliar o seu acesso dentro da rede comprometida e estabelecer uma base redundante para garantir resiliência no caso de a atividade ser detectada e removida.
A segunda onda, por outro lado, ocorreu quase um mês após a intrusão inicial, com o adversário tentando, sem sucesso, empregar o carregamento lateral de DLL para eliminar o TernDoor por meio do Mofu Loader, um carregador de shellcode anteriormente atribuído ao GroundPeony.
A empresa do Azerbaijão foi alvo de ataques pela terceira vez no final de fevereiro de 2026, quando os atores da ameaça mais uma vez tentaram implantar uma versão modificada do Deed RAT, indicando esforços ativos para refinar e desenvolver seu arsenal de malware. Este artefato usa "sentinelonepro [.]com" para comando e controle (C2).
“Esta intrusão não deve ser vista como um compromisso isolado, mas como uma operação sustentada e adaptativa conduzida por um ator que procurou repetidamente recuperar e ampliar o acesso dentro do ambiente da vítima”, disse a Bitdefender. “Em múltiplas ondas de atividade, o mesmo caminho de acesso foi revisitado, novas cargas úteis foram introduzidas e pontos de apoio adicionais foram estabelecidos, ressaltando um alto grau de persistência e disciplina operacional”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #empresa #de #energia #do #azerbaijão #atingida #por #exploração #repetida #do #microsoft #exchange
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário