🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O grupo de hackers iraniano conhecido como MuddyWater foi associado a uma nova campanha que afetou pelo menos nove organizações em nove países em quatro continentes no primeiro trimestre de 2026.
A atividade teve como alvo a fabricação industrial e eletrônica, órgãos educacionais e do setor público, serviços financeiros e serviços profissionais, de acordo com a equipe Threat Hunter da Symantec e Carbon Black. Entre as vítimas está um grande fabricante de eletrônicos sul-coreano, e os invasores passaram uma semana dentro de sua rede em fevereiro de 2026.
Também foram apontados como parte do amplo esforço de espionagem um aeroporto internacional no Médio Oriente, fabricantes industriais do Sudeste Asiático e um fornecedor de serviços financeiros latino-americano.
“Os invasores confiaram muito no carregamento lateral de DLL usando binários Fortemedia (fmapp.exe) e SentinelOne (sentinelmemoryscanner.exe) legitimamente assinados para executar DLLs maliciosas enquanto se disfarçavam de software benigno”, disseram as equipes de segurança cibernética da Broadcom.
O uso de "fmapp.exe" para carregar "fmapp.dll" foi documentado anteriormente pelo Grupo-IB em conexão com outra campanha MuddyWater com o codinome Operação Olalampo. De acordo com Huntress, a DLL contém código para conectar-se a um endereço IP controlado pelo invasor ("157.20.182[.]49").
Por outro lado, o abuso de “sentinelmemoryscanner.exe” – um binário associado a um produto de segurança – é avaliado como uma escolha deliberada, pois pode contornar a detecção baseada em assinatura. Ele foi projetado para carregar uma DLL não autorizada chamada “sentinelagentcore.dll”.
Ambas as DLLs incorporam uma ferramenta de código aberto chamada ChromElevator para desviar senhas, cookies e dados de cartões de pagamento de navegadores baseados em Chromium, contornando efetivamente as proteções de criptografia vinculada a aplicativos (ABE).
Um aspecto digno de nota dos ataques é o uso de scripts Node.js para lançar o código PowerShell responsável por realizar operações de descoberta e coleta de informações. Em pelo menos um caso, descobriu-se que os invasores armazenavam os dados roubados no sendit[.]sh, um serviço público de transferência de arquivos.
“Uma cadeia de implantes baseada em node.exe foi usada para eliminar scripts do PowerShell que realizavam reconhecimento, captura de tela, roubo de colmeia SAM, escalonamento de privilégios e tunelamento de proxy reverso SOCKS5”, disseram Symantec e Carbon Black.
Também são entregues os dois pares de carregamento lateral de DLL mencionados acima para fornecer aos invasores um túnel secreto para retransmitir o tráfego e iniciar o ChromElevator. Os ataques também são caracterizados por esforços para despejar credenciais que lhes permitiriam mover-se lateralmente pelas redes.
Na intrusão visando o fabricante de eletrônicos sul-coreano, acredita-se que a MuddyWater tenha realizado repetidamente reconhecimento baseado em PowerShell, bem como reexecutado os dois binários para garantir que retém o acesso ao host comprometido. O vetor de acesso inicial usado para violar a organização é desconhecido.
“A cadência é novamente consistente com a atividade orientada pelo implante, em vez da presença contínua do operador”, disseram os pesquisadores. "O histórico de sua campanha mostra um movimento claro em direção a operações mais silenciosas e disciplinadas. Nenhuma dessas técnicas é individualmente nova, mas em combinação elas fornecem mais evidências de um avanço significativo na higiene operacional do Seedworm que conhecíamos há dois ou três anos."
A evolução surge no momento em que o Conselho Europeu impôs sanções contra a empresa iraniana Emennet Pasargad por hackear um serviço SMS sueco, aceder ao conteúdo de uma base de dados de assinantes franceses e colocá-la à venda, e por espalhar desinformação através de outdoors publicitários comprometidos durante os Jogos Olímpicos de Paris de 2024.
A empresa, de acordo com o Departamento de Estado dos EUA, atende pelo nome de Shahid Shushtari e é afiliada ao Comando Cibereletrônico do Corpo da Guarda Revolucionária Islâmica do Irã (IRGC-CEC). É rastreado sob os nomes Cobalt Obelisk, Cotton Sandstorm, Haywire Kitten (anteriormente ChaoticOrchestra), Marnanbridge e UNC5866.
“Os membros de Shahid Shushtari causaram danos financeiros significativos e perturbações às empresas e agências governamentais dos EUA através de operações coordenadas de informação cibernética e cibernética”, observou o Departamento de Estado em Dezembro de 2025. “Estas campanhas visaram vários sectores de infra-estruturas críticas, incluindo notícias, transporte marítimo, viagens, energia, finanças e telecomunicações nos Estados Unidos, Europa e Médio Oriente”.
Os hackers apoiados pelo Irão também estiveram ligados a uma campanha de exfiltração dirigida a organizações nos EUA, Israel, Arábia Saudita e Turquia entre o final de Março e o início de Abril de 2026, com pelo menos duas vítimas dos EUA também alvo de operações destrutivas, como a eliminação de partições e cópias de segurança de dados.
Embora estes incidentes tenham sido reivindicados por uma personalidade pró-iraniana chamada Ababil de Minab, uma nova análise da Gambit Security amarrou a campanha
A atividade teve como alvo a fabricação industrial e eletrônica, órgãos educacionais e do setor público, serviços financeiros e serviços profissionais, de acordo com a equipe Threat Hunter da Symantec e Carbon Black. Entre as vítimas está um grande fabricante de eletrônicos sul-coreano, e os invasores passaram uma semana dentro de sua rede em fevereiro de 2026.
Também foram apontados como parte do amplo esforço de espionagem um aeroporto internacional no Médio Oriente, fabricantes industriais do Sudeste Asiático e um fornecedor de serviços financeiros latino-americano.
“Os invasores confiaram muito no carregamento lateral de DLL usando binários Fortemedia (fmapp.exe) e SentinelOne (sentinelmemoryscanner.exe) legitimamente assinados para executar DLLs maliciosas enquanto se disfarçavam de software benigno”, disseram as equipes de segurança cibernética da Broadcom.
O uso de "fmapp.exe" para carregar "fmapp.dll" foi documentado anteriormente pelo Grupo-IB em conexão com outra campanha MuddyWater com o codinome Operação Olalampo. De acordo com Huntress, a DLL contém código para conectar-se a um endereço IP controlado pelo invasor ("157.20.182[.]49").
Por outro lado, o abuso de “sentinelmemoryscanner.exe” – um binário associado a um produto de segurança – é avaliado como uma escolha deliberada, pois pode contornar a detecção baseada em assinatura. Ele foi projetado para carregar uma DLL não autorizada chamada “sentinelagentcore.dll”.
Ambas as DLLs incorporam uma ferramenta de código aberto chamada ChromElevator para desviar senhas, cookies e dados de cartões de pagamento de navegadores baseados em Chromium, contornando efetivamente as proteções de criptografia vinculada a aplicativos (ABE).
Um aspecto digno de nota dos ataques é o uso de scripts Node.js para lançar o código PowerShell responsável por realizar operações de descoberta e coleta de informações. Em pelo menos um caso, descobriu-se que os invasores armazenavam os dados roubados no sendit[.]sh, um serviço público de transferência de arquivos.
“Uma cadeia de implantes baseada em node.exe foi usada para eliminar scripts do PowerShell que realizavam reconhecimento, captura de tela, roubo de colmeia SAM, escalonamento de privilégios e tunelamento de proxy reverso SOCKS5”, disseram Symantec e Carbon Black.
Também são entregues os dois pares de carregamento lateral de DLL mencionados acima para fornecer aos invasores um túnel secreto para retransmitir o tráfego e iniciar o ChromElevator. Os ataques também são caracterizados por esforços para despejar credenciais que lhes permitiriam mover-se lateralmente pelas redes.
Na intrusão visando o fabricante de eletrônicos sul-coreano, acredita-se que a MuddyWater tenha realizado repetidamente reconhecimento baseado em PowerShell, bem como reexecutado os dois binários para garantir que retém o acesso ao host comprometido. O vetor de acesso inicial usado para violar a organização é desconhecido.
“A cadência é novamente consistente com a atividade orientada pelo implante, em vez da presença contínua do operador”, disseram os pesquisadores. "O histórico de sua campanha mostra um movimento claro em direção a operações mais silenciosas e disciplinadas. Nenhuma dessas técnicas é individualmente nova, mas em combinação elas fornecem mais evidências de um avanço significativo na higiene operacional do Seedworm que conhecíamos há dois ou três anos."
A evolução surge no momento em que o Conselho Europeu impôs sanções contra a empresa iraniana Emennet Pasargad por hackear um serviço SMS sueco, aceder ao conteúdo de uma base de dados de assinantes franceses e colocá-la à venda, e por espalhar desinformação através de outdoors publicitários comprometidos durante os Jogos Olímpicos de Paris de 2024.
A empresa, de acordo com o Departamento de Estado dos EUA, atende pelo nome de Shahid Shushtari e é afiliada ao Comando Cibereletrônico do Corpo da Guarda Revolucionária Islâmica do Irã (IRGC-CEC). É rastreado sob os nomes Cobalt Obelisk, Cotton Sandstorm, Haywire Kitten (anteriormente ChaoticOrchestra), Marnanbridge e UNC5866.
“Os membros de Shahid Shushtari causaram danos financeiros significativos e perturbações às empresas e agências governamentais dos EUA através de operações coordenadas de informação cibernética e cibernética”, observou o Departamento de Estado em Dezembro de 2025. “Estas campanhas visaram vários sectores de infra-estruturas críticas, incluindo notícias, transporte marítimo, viagens, energia, finanças e telecomunicações nos Estados Unidos, Europa e Médio Oriente”.
Os hackers apoiados pelo Irão também estiveram ligados a uma campanha de exfiltração dirigida a organizações nos EUA, Israel, Arábia Saudita e Turquia entre o final de Março e o início de Abril de 2026, com pelo menos duas vítimas dos EUA também alvo de operações destrutivas, como a eliminação de partições e cópias de segurança de dados.
Embora estes incidentes tenham sido reivindicados por uma personalidade pró-iraniana chamada Ababil de Minab, uma nova análise da Gambit Security amarrou a campanha
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #muddywater #usa #carregamento #lateral #de #dll #em #campanha #de #espionagem #visando #nove #países
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário