🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ator de ameaça até então desconhecido foi observado visando entidades governamentais e militares no Sudeste Asiático, juntamente com um grupo menor de provedores de serviços gerenciados (MSPs) e provedores de hospedagem nas Filipinas, Laos, Canadá, África do Sul e EUA, explorando a vulnerabilidade recentemente divulgada no cPanel.
A atividade, detectada pela Ctrl-Alt-Intel em 2 de maio de 2026, envolve o abuso de CVE-2026-41940, uma vulnerabilidade crítica no cPanel e no WebHost Manager (WHM) que pode resultar em um desvio de autenticação e permitir que invasores remotos obtenham controle elevado do painel de controle.
Os esforços de ataque tiveram origem no endereço IP "95.111.250[.]175", destacando principalmente domínios governamentais e militares associados às Filipinas (*.mil.ph e (*.ph)) e ao Laos (*.gov.la), bem como MSPs e provedores de hospedagem, usando provas de conceito (PoCs) disponíveis publicamente.
Além disso, Ctrl-Alt-Intel revelou que o agente da ameaça usou uma cadeia de exploração personalizada separada para um portal de treinamento do setor de defesa indonésio antes dos ataques cPanel, empregando uma combinação de injeção de SQL autenticada e execução remota de código. Neste caso, diz-se que o invasor já possuía credenciais válidas para o portal em questão.
“O script usa credenciais codificadas e anula o CAPTCHA do portal lendo o valor CAPTCHA esperado do cookie de sessão emitido pelo servidor, em vez de resolver o desafio normalmente”, disse Ctrl-Alt-Intel.
"Uma vez autenticado e passando o CAPTCHA, o ator passa para uma função de gerenciamento de documentos. O parâmetro vulnerável é o campo usado para salvar o nome de um documento, e o script injeta SQL nesse campo ao postar no endpoint de salvamento do documento."
Uma análise mais aprofundada determinou que o autor da ameaça está usando a estrutura de comando e controle (C2) AdapdixC2 para comandar remotamente o endpoint comprometido. Também são utilizadas ferramentas como OpenVPN e Ligolo para facilitar o acesso persistente às redes internas das vítimas.
“O ator construiu uma camada de acesso durável usando OpenVPN, Ligolo, persistência systemd e, em seguida, usou esse acesso para se transformar em uma rede interna e exfiltrar um corpus substancial de documentos do setor ferroviário chinês”, acrescentou Ctrl-Alt-Intel.
Atualmente não se sabe quem está por trás da campanha, mas o desenvolvimento ocorre quando a Censys disse ter descoberto evidências sugerindo que a vulnerabilidade do cPanel está sendo transformada em arma por vários terceiros dentro de 24 horas após a divulgação pública, incluindo a implantação de variantes do botnet Mirai e uma variedade de ransomware chamada Desculpe.
De acordo com dados da Shadowserver Foundation, pelo menos 44.000 endereços IP provavelmente comprometidos via CVE-2026-41940 teriam se envolvido em varreduras e ataques de força bruta contra seus honeypots em 30 de abril de 2026. Em 3 de maio, o número caiu para 3.540.
A atividade, detectada pela Ctrl-Alt-Intel em 2 de maio de 2026, envolve o abuso de CVE-2026-41940, uma vulnerabilidade crítica no cPanel e no WebHost Manager (WHM) que pode resultar em um desvio de autenticação e permitir que invasores remotos obtenham controle elevado do painel de controle.
Os esforços de ataque tiveram origem no endereço IP "95.111.250[.]175", destacando principalmente domínios governamentais e militares associados às Filipinas (*.mil.ph e (*.ph)) e ao Laos (*.gov.la), bem como MSPs e provedores de hospedagem, usando provas de conceito (PoCs) disponíveis publicamente.
Além disso, Ctrl-Alt-Intel revelou que o agente da ameaça usou uma cadeia de exploração personalizada separada para um portal de treinamento do setor de defesa indonésio antes dos ataques cPanel, empregando uma combinação de injeção de SQL autenticada e execução remota de código. Neste caso, diz-se que o invasor já possuía credenciais válidas para o portal em questão.
“O script usa credenciais codificadas e anula o CAPTCHA do portal lendo o valor CAPTCHA esperado do cookie de sessão emitido pelo servidor, em vez de resolver o desafio normalmente”, disse Ctrl-Alt-Intel.
"Uma vez autenticado e passando o CAPTCHA, o ator passa para uma função de gerenciamento de documentos. O parâmetro vulnerável é o campo usado para salvar o nome de um documento, e o script injeta SQL nesse campo ao postar no endpoint de salvamento do documento."
Uma análise mais aprofundada determinou que o autor da ameaça está usando a estrutura de comando e controle (C2) AdapdixC2 para comandar remotamente o endpoint comprometido. Também são utilizadas ferramentas como OpenVPN e Ligolo para facilitar o acesso persistente às redes internas das vítimas.
“O ator construiu uma camada de acesso durável usando OpenVPN, Ligolo, persistência systemd e, em seguida, usou esse acesso para se transformar em uma rede interna e exfiltrar um corpus substancial de documentos do setor ferroviário chinês”, acrescentou Ctrl-Alt-Intel.
Atualmente não se sabe quem está por trás da campanha, mas o desenvolvimento ocorre quando a Censys disse ter descoberto evidências sugerindo que a vulnerabilidade do cPanel está sendo transformada em arma por vários terceiros dentro de 24 horas após a divulgação pública, incluindo a implantação de variantes do botnet Mirai e uma variedade de ransomware chamada Desculpe.
De acordo com dados da Shadowserver Foundation, pelo menos 44.000 endereços IP provavelmente comprometidos via CVE-2026-41940 teriam se envolvido em varreduras e ataques de força bruta contra seus honeypots em 30 de abril de 2026. Em 3 de maio, o número caiu para 3.540.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #vulnerabilidade #crítica #do #cpanel #armada #para #atingir #redes #governamentais #e #msp
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário