⚡ Não perca: notícia importante no ar! ⚡
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Segunda-feira difícil.
Alguém envenenou um download confiável novamente, alguém transformou servidores de nuvem em habitações públicas e algumas equipes ainda estão se metendo em caixas com bugs que deveriam ter morrido anos atrás – os mesmos velhos buracos, os mesmos caminhos de acesso preguiçosos, o mesmo sentimento de “como diabos isso ainda está aberto”. Um relatório desta semana basicamente diz que um cara tropeçou acidentalmente no acesso root e decidiu ficar lá.
A parte estranha é como tudo isso parece normal agora. Atualizações falsas. Portas dos fundos silenciosas. Ferramentas remotas são usadas como chaves mestras. Ratos do fórum trocando acessos roubados enquanto os defensores queimam outro fim de semana perseguindo toras e rezando para que o tráfego estranho esteja apenas monitorando o ruído. A Internet é mantida unida por fita adesiva e sono ruim.
De qualquer forma, é hora de recapitular segunda-feira. O mesmo fogo. Fumaça nova.
⚡ Ameaça da semana
Falhas de PAN-OS da Ivanti EPMM e da Palo Alto Networks sob ataque — a Ivanti alertou os clientes que os invasores transformaram com sucesso o CVE-2026-6973, um defeito de validação de entrada impróprio no Endpoint Manager Mobile (EPMM) que permite que usuários autenticados com privilégios administrativos executem código remotamente. A empresa não informou quando ocorreu o primeiro caso de exploração, nem exatamente quantos clientes foram impactados. Em um desenvolvimento relacionado, os invasores estão explorando ativamente uma vulnerabilidade de dia zero que afeta os firewalls de alguns clientes da Palo Alto Networks. Como no caso da Ivanti, a Palo Alto Networks não disse quando ou como tomou conhecimento da exploração ativa, mas disse que os atores da ameaça podem ter tentado explorar sem sucesso uma falha crítica de segurança divulgada recentemente já em 9 de abril de 2026. A vulnerabilidade de corrupção de memória, rastreada como CVE-2026-0300, afeta o portal de autenticação do PAN-OS e permite que invasores não autenticados executem código com privilégios de root nos firewalls da série PA e da série VM. A plataforma de gerenciamento de superfície de ataque Censys disse ter detectado cerca de 263.000 hosts expostos à Internet executando PAN-OS. Espera-se que os patches sejam lançados a partir de 13 de maio de 2026.
Webinar: Transforme seu SOC - Da detecção genérica à inteligência de exposição
Junte-se ao Gartner e ao XM Cyber em 12 de maio às 10h EST. Aprenda a quebrar o ciclo reativo de fadiga de alertas infundindo contexto de exposição em tempo real em seu SIEM e SOAR. Descubra como priorizar ameaças com base na acessibilidade real aos seus ativos críticos.
Reserve meu lugar ➝
🔔 Principais notícias
Novo Quasar Linux RAT detectado – Os invasores encontraram uma nova maneira de transformar sistemas Linux em pontos de entrada para uma violação da cadeia de suprimentos ou da infraestrutura em nuvem que são resilientes a quedas. A nova estrutura de malware, chamada Quasar Linux ou QLNX, é um trojan modular de acesso remoto (RAT) do Linux que pode coletar dados de sistemas comprometidos. Mas o que o diferencia é o uso de uma capacidade de malha peer-to-peer (P2P) que transforma comprometimentos individuais em uma rede de infecção interconectada, dificultando a eliminação da campanha e permitindo que hosts infectados se comuniquem entre si, em vez de depender inteiramente de servidores centralizados. O QLNX também combina funcionalidade de rootkit em nível de kernel, backdoors de autenticação baseados em PAM e mecanismos de persistência para permanecer oculto em sistemas comprometidos e, ao mesmo tempo, permitir acesso persistente. Ele também oculta processos maliciosos sob nomes que imitam serviços Linux legítimos e binários de sistema para se integrarem a fluxos de trabalho de rotina. “Quasar Linux RAT (QLNX) é um implante Linux abrangente que combina recursos de acesso remoto com recursos avançados de evasão, persistência, keylogging e coleta de credenciais”, disse a Trend Micro. “O malware carrega código-fonte C incorporado para seu backdoor PAM e rootkit LD_PRELOAD como literais de string dentro do binário.”
PCPJack substitui o malware TeamPCP para roubar segredos da nuvem – um ator de ameaça desconhecido lançou uma campanha para limpar sistematicamente ambientes infectados pelo infame grupo de hackers TeamPCP e descartar suas próprias ferramentas maliciosas para roubar credenciais de nuvem, contêiner, desenvolvedor, produtividade e serviços financeiros para obter ganhos financeiros. Ativa desde o final de abril, a campanha também é capaz de se propagar movendo-se lateralmente tanto dentro de uma rede como para outros alvos, invadindo infraestruturas de nuvem abertas e exploráveis. A ampla varredura de coleta de credenciais permite que o malware invada mais servidores em nuvem e propague a infecção de maneira semelhante a um worm, ao mesmo tempo que erradica quaisquer processos e artefatos pertencentes ao TeamPCP. A propagação externa é obtida baixando arquivos parquet do Common Crawl para descoberta de destino. Embora os agentes de ameaças que visam ambientes em nuvem tenham criado há muito tempo métodos para excluir malware concorrente, especialmente em campanhas de cryptojacking, a falta de um minerador e seu direcionamento específico às ferramentas do TeamPCP levantaram a possibilidade de que possa ser alguém que foi atacado.
Alguém envenenou um download confiável novamente, alguém transformou servidores de nuvem em habitações públicas e algumas equipes ainda estão se metendo em caixas com bugs que deveriam ter morrido anos atrás – os mesmos velhos buracos, os mesmos caminhos de acesso preguiçosos, o mesmo sentimento de “como diabos isso ainda está aberto”. Um relatório desta semana basicamente diz que um cara tropeçou acidentalmente no acesso root e decidiu ficar lá.
A parte estranha é como tudo isso parece normal agora. Atualizações falsas. Portas dos fundos silenciosas. Ferramentas remotas são usadas como chaves mestras. Ratos do fórum trocando acessos roubados enquanto os defensores queimam outro fim de semana perseguindo toras e rezando para que o tráfego estranho esteja apenas monitorando o ruído. A Internet é mantida unida por fita adesiva e sono ruim.
De qualquer forma, é hora de recapitular segunda-feira. O mesmo fogo. Fumaça nova.
⚡ Ameaça da semana
Falhas de PAN-OS da Ivanti EPMM e da Palo Alto Networks sob ataque — a Ivanti alertou os clientes que os invasores transformaram com sucesso o CVE-2026-6973, um defeito de validação de entrada impróprio no Endpoint Manager Mobile (EPMM) que permite que usuários autenticados com privilégios administrativos executem código remotamente. A empresa não informou quando ocorreu o primeiro caso de exploração, nem exatamente quantos clientes foram impactados. Em um desenvolvimento relacionado, os invasores estão explorando ativamente uma vulnerabilidade de dia zero que afeta os firewalls de alguns clientes da Palo Alto Networks. Como no caso da Ivanti, a Palo Alto Networks não disse quando ou como tomou conhecimento da exploração ativa, mas disse que os atores da ameaça podem ter tentado explorar sem sucesso uma falha crítica de segurança divulgada recentemente já em 9 de abril de 2026. A vulnerabilidade de corrupção de memória, rastreada como CVE-2026-0300, afeta o portal de autenticação do PAN-OS e permite que invasores não autenticados executem código com privilégios de root nos firewalls da série PA e da série VM. A plataforma de gerenciamento de superfície de ataque Censys disse ter detectado cerca de 263.000 hosts expostos à Internet executando PAN-OS. Espera-se que os patches sejam lançados a partir de 13 de maio de 2026.
Webinar: Transforme seu SOC - Da detecção genérica à inteligência de exposição
Junte-se ao Gartner e ao XM Cyber em 12 de maio às 10h EST. Aprenda a quebrar o ciclo reativo de fadiga de alertas infundindo contexto de exposição em tempo real em seu SIEM e SOAR. Descubra como priorizar ameaças com base na acessibilidade real aos seus ativos críticos.
Reserve meu lugar ➝
🔔 Principais notícias
Novo Quasar Linux RAT detectado – Os invasores encontraram uma nova maneira de transformar sistemas Linux em pontos de entrada para uma violação da cadeia de suprimentos ou da infraestrutura em nuvem que são resilientes a quedas. A nova estrutura de malware, chamada Quasar Linux ou QLNX, é um trojan modular de acesso remoto (RAT) do Linux que pode coletar dados de sistemas comprometidos. Mas o que o diferencia é o uso de uma capacidade de malha peer-to-peer (P2P) que transforma comprometimentos individuais em uma rede de infecção interconectada, dificultando a eliminação da campanha e permitindo que hosts infectados se comuniquem entre si, em vez de depender inteiramente de servidores centralizados. O QLNX também combina funcionalidade de rootkit em nível de kernel, backdoors de autenticação baseados em PAM e mecanismos de persistência para permanecer oculto em sistemas comprometidos e, ao mesmo tempo, permitir acesso persistente. Ele também oculta processos maliciosos sob nomes que imitam serviços Linux legítimos e binários de sistema para se integrarem a fluxos de trabalho de rotina. “Quasar Linux RAT (QLNX) é um implante Linux abrangente que combina recursos de acesso remoto com recursos avançados de evasão, persistência, keylogging e coleta de credenciais”, disse a Trend Micro. “O malware carrega código-fonte C incorporado para seu backdoor PAM e rootkit LD_PRELOAD como literais de string dentro do binário.”
PCPJack substitui o malware TeamPCP para roubar segredos da nuvem – um ator de ameaça desconhecido lançou uma campanha para limpar sistematicamente ambientes infectados pelo infame grupo de hackers TeamPCP e descartar suas próprias ferramentas maliciosas para roubar credenciais de nuvem, contêiner, desenvolvedor, produtividade e serviços financeiros para obter ganhos financeiros. Ativa desde o final de abril, a campanha também é capaz de se propagar movendo-se lateralmente tanto dentro de uma rede como para outros alvos, invadindo infraestruturas de nuvem abertas e exploráveis. A ampla varredura de coleta de credenciais permite que o malware invada mais servidores em nuvem e propague a infecção de maneira semelhante a um worm, ao mesmo tempo que erradica quaisquer processos e artefatos pertencentes ao TeamPCP. A propagação externa é obtida baixando arquivos parquet do Common Crawl para descoberta de destino. Embora os agentes de ameaças que visam ambientes em nuvem tenham criado há muito tempo métodos para excluir malware concorrente, especialmente em campanhas de cryptojacking, a falta de um minerador e seu direcionamento específico às ferramentas do TeamPCP levantaram a possibilidade de que possa ser alguém que foi atacado.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #⚡ #recapitulação #semanal: #linux #rootkit, #macos #crypto #stealer, #websocket #skimmers #e #muito #mais
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário