📰 Informação fresquinha chegando para você!
A notÃcia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um grupo de espionagem cibernética da China-nexus foi observado implantando uma variante BSD de um backdoor conhecido chamado BRICKSTORM, bem como duas outras famÃlias de malware codinome PLENET (também conhecido como GRIMBOLT) e AGENTPSD para atingir sistemas Linux.
A atividade foi atribuÃda pela Volexity a um cluster de ameaças que ela rastreia como VerdantBamboo, que, segundo ela, se sobrepõe a grupos de hackers conhecidos como Clay Typhoon (Microsoft), UNC5221 (Google) e Warp Panda (CrowdStrike).
A empresa de segurança cibernética disse que descobriu a intrusão durante um trabalho de resposta a incidentes em setembro de 2025, quando se descobriu que o adversário havia comprometido o sistema Egnyte Storage Sync de uma vÃtima não identificada, explorando uma falha de escalonamento de privilégios local para implantar o BRICKSTORM. O problema foi resolvido na versão 13.13 do Storage Sync, lançada em março de 2026.
“O dispositivo foi acessado periodicamente pelo VerdantBamboo por meio de endereços IP atribuÃdos através da VPN SSL da organização vÃtima”, disseram os pesquisadores Damien Cash, Paul Rascagneres, Steven Adair e Tom Lancaster em um relatório técnico publicado na semana passada.
“O ator da ameaça usou os recursos de proxy do malware implantados no sistema Storage Sync, juntamente com credenciais comprometidas, para acessar o ambiente Microsoft 365 (M365) da vÃtima.”
Avalia-se que estas medidas foram tomadas para se misturar com o tráfego de rede legÃtimo e fugir à s polÃticas de acesso condicional, tendo o compromisso inicial ocorrido pelo menos 18 meses antes.
Após a correção inicial, diz-se que VerdantBamboo encenou um retorno, violando a mesma organização usando credenciais administrativas roubadas para se conectar ao firewall e, em seguida, abusando desse acesso para configurar o acesso VPN SSL da web ao dispositivo, conectar-se a outros sistemas e implantar malware adicional em um dispositivo Synology Network Attached Storage (NAS).
Desde então, investigações adicionais descobriram que o autor da ameaça havia de fato comprometido o provedor de serviços gerenciados (MSP) da organização vÃtima, infectando especificamente o firewall pfSense de seu MSP com uma variante BSD do BRICKSTORM na mesma época em que o sistema Storage Sync da vÃtima também foi violado.
Acredita-se que a vÃtima foi comprometida através da violação do MSP pelo autor da ameaça. As duas famÃlias de malware implantadas no dispositivo NAS por SSH são as seguintes -
PLENET (também conhecido como GRIMBOLT), um backdoor multiplataforma desenvolvido em .NET Core e uma nova versão do BRICKSTORM compilada usando compilação antecipada nativa (AOT). Ele suporta shell interativo, execução remota de comandos, manipulação de arquivos e comutação de servidor de comando e controle (C2).
AGENTPSD, um shell reverso baseado em Python que provavelmente funciona como um substituto caso o implante primário deixe de funcionar
É importante notar que o uso de PLENET em liberdade foi relatado pelo Google no inÃcio de fevereiro em conexão com ataques montados por um suposto cluster de ameaça do nexo da China denominado UNC6201 que explorou uma vulnerabilidade no Dell RecoverPoint for Virtual Machines (CVE-2026-22769, pontuação CVSS: 10,0) como um dia zero desde meados de 2024.
“VerdantBamboo é um ator de ameaças altamente sofisticado que busca alavancar uma combinação de técnicas de vida fora da terra e implantação de malware em sistemas que tradicionalmente não executam ou não podem executar software EDR”, disse Volexity.
“Este ator de ameaça parece ter bom conhecimento de dispositivos proprietários, permitindo-lhes implantar malware com mecanismos de persistência personalizados. Eles também parecem ter disciplina de segurança operacional destinada a aproveitar um número limitado de domÃnios e endereços IP por vÃtima e configurar nomes de implantes personalizados e persistência por dispositivo.”
A atividade foi atribuÃda pela Volexity a um cluster de ameaças que ela rastreia como VerdantBamboo, que, segundo ela, se sobrepõe a grupos de hackers conhecidos como Clay Typhoon (Microsoft), UNC5221 (Google) e Warp Panda (CrowdStrike).
A empresa de segurança cibernética disse que descobriu a intrusão durante um trabalho de resposta a incidentes em setembro de 2025, quando se descobriu que o adversário havia comprometido o sistema Egnyte Storage Sync de uma vÃtima não identificada, explorando uma falha de escalonamento de privilégios local para implantar o BRICKSTORM. O problema foi resolvido na versão 13.13 do Storage Sync, lançada em março de 2026.
“O dispositivo foi acessado periodicamente pelo VerdantBamboo por meio de endereços IP atribuÃdos através da VPN SSL da organização vÃtima”, disseram os pesquisadores Damien Cash, Paul Rascagneres, Steven Adair e Tom Lancaster em um relatório técnico publicado na semana passada.
“O ator da ameaça usou os recursos de proxy do malware implantados no sistema Storage Sync, juntamente com credenciais comprometidas, para acessar o ambiente Microsoft 365 (M365) da vÃtima.”
Avalia-se que estas medidas foram tomadas para se misturar com o tráfego de rede legÃtimo e fugir à s polÃticas de acesso condicional, tendo o compromisso inicial ocorrido pelo menos 18 meses antes.
Após a correção inicial, diz-se que VerdantBamboo encenou um retorno, violando a mesma organização usando credenciais administrativas roubadas para se conectar ao firewall e, em seguida, abusando desse acesso para configurar o acesso VPN SSL da web ao dispositivo, conectar-se a outros sistemas e implantar malware adicional em um dispositivo Synology Network Attached Storage (NAS).
Desde então, investigações adicionais descobriram que o autor da ameaça havia de fato comprometido o provedor de serviços gerenciados (MSP) da organização vÃtima, infectando especificamente o firewall pfSense de seu MSP com uma variante BSD do BRICKSTORM na mesma época em que o sistema Storage Sync da vÃtima também foi violado.
Acredita-se que a vÃtima foi comprometida através da violação do MSP pelo autor da ameaça. As duas famÃlias de malware implantadas no dispositivo NAS por SSH são as seguintes -
PLENET (também conhecido como GRIMBOLT), um backdoor multiplataforma desenvolvido em .NET Core e uma nova versão do BRICKSTORM compilada usando compilação antecipada nativa (AOT). Ele suporta shell interativo, execução remota de comandos, manipulação de arquivos e comutação de servidor de comando e controle (C2).
AGENTPSD, um shell reverso baseado em Python que provavelmente funciona como um substituto caso o implante primário deixe de funcionar
É importante notar que o uso de PLENET em liberdade foi relatado pelo Google no inÃcio de fevereiro em conexão com ataques montados por um suposto cluster de ameaça do nexo da China denominado UNC6201 que explorou uma vulnerabilidade no Dell RecoverPoint for Virtual Machines (CVE-2026-22769, pontuação CVSS: 10,0) como um dia zero desde meados de 2024.
“VerdantBamboo é um ator de ameaças altamente sofisticado que busca alavancar uma combinação de técnicas de vida fora da terra e implantação de malware em sistemas que tradicionalmente não executam ou não podem executar software EDR”, disse Volexity.
“Este ator de ameaça parece ter bom conhecimento de dispositivos proprietários, permitindo-lhes implantar malware com mecanismos de persistência personalizados. Eles também parecem ter disciplina de segurança operacional destinada a aproveitar um número limitado de domÃnios e endereços IP por vÃtima e configurar nomes de implantes personalizados e persistência por dispositivo.”
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #verdantbamboo #implanta #variante #bsd #do #brickstorm #em #dispositivos #linux
🚀 Mais conteúdos incrÃveis estão por vir, fique atento!
Postar um comentário