🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética sinalizaram uma intrusão na qual um ator de ameaça desconhecido aproveitou um script PowerShell codificado por vibração para enumeração do Active Directory (AD).
“O script procurou o controlador de domínio (DC) e mapeou usuários, computadores e domínios, antes de criar um diretório e exportar vários arquivos e, finalmente, criar AD_Report.html para medir o sucesso da tentativa de enumeração”, disseram os pesquisadores da Huntress, Jevon Ang e Dray Agha.
A cadeia de ataque envolveu o ator da ameaça estabelecendo acesso ao Remote Desktop Protocol (RDP) em um Windows Server associado ao domínio com um conjunto de credenciais pré-comprometidas, seguido pela preparação das ferramentas na pasta "C:\ProgramData\". O incidente ocorreu no início de junho de 2026.
Isso incluiu uma carga gerada por inteligência artificial (IA) para mapear o ambiente do Active Directory. A avaliação é baseada em vários sinais reveladores, como o título da iteração imediata, strings de espaço reservado, código superprojetado que apresenta vários métodos para encontrar um controlador de domínio e saída de console embelezada usando ciano, verde, vermelho e amarelo.
Huntress descreveu o script personalizado do PowerShell como “altamente agressivo” e “barulhento”, fazendo uso de um “mecanismo de fallback em cascata de cinco etapas” para permitir reconhecimento e descoberta. É intitulado "Script de coleta de informações do AD 100% funcional - TOTALMENTE FIXADO", sugerindo um vaivém com um modelo de linguagem grande (LLM).
Depois que o controlador de domínio primário é localizado, ele inicia uma rotina de coleta de dados para coletar sistematicamente usuários, computadores, grupos, unidades organizacionais (OUs) e relações de confiança do AD e armazenar os detalhes em um diretório temporário.
Cerca de 30 minutos depois, o invasor implantou um s5cmd, uma ferramenta legítima usada para operações de arquivos em massa, junto com o SharpShares, um utilitário de enumeração de compartilhamentos de rede baseado em C#, para procurar repositórios de dados acessíveis ao usuário.
Na fase final, os dados são armazenados em arquivos CSV, arquivados e exfiltrados para um servidor remoto, mas não antes da criação de um arquivo HTML resumindo o roubo de dados na forma de um Relatório de Inventário do Active Directory.
“É provavelmente uma injeção ‘útil’ do LLM que o invasor simplesmente aceitou, em vez de ser intencionalmente criado no script”, explicaram os pesquisadores.
O desenvolvimento é mais um sinal de que os agentes de ameaças estão aumentando seu arsenal com malware codificado por vibração gerado com a ajuda de modelos de IA, mesmo que a tecnologia não esteja sendo abusada de maneiras nunca vistas antes. O que muda é que reduz a barreira à entrada do crime cibernético, permitindo que intervenientes menos qualificados criem ferramentas evasivas e altamente capazes com um esforço mínimo.
“A cadeia de ataque subjacente ainda se assemelha ao manual testado e comprovado de esmagar e agarrar que vimos há anos”, disse Huntress. “Esta metodologia central permaneceu consistente, mas agora está sendo aumentada seletivamente pela IA. Esta abordagem híbrida prioriza a agressão e a velocidade em vez da furtividade, permitindo que os agentes de ameaças executem campanhas altamente prejudiciais mais rápido do que nunca.”
IA como multiplicador de força
Num relatório publicado na semana passada, a Sygnia revelou que os atacantes habilitados para IA não precisam necessariamente de novos malwares ou zero-days, mas que a verdadeira mudança reside no facto de as intrusões cibernéticas poderem ser orquestradas a uma velocidade e escala mais rápidas e maiores do que os defensores as conseguem conter.
A empresa de resposta a incidentes disse ter observado um ataque na nuvem assistido por IA que progrediu do acesso inicial ao amplo comprometimento em um período de cerca de 72 horas contra um grande ambiente baseado em Amazon Web Services (AWS). O objetivo final da atividade é avaliado como motivado financeiramente, com o invasor usando o acesso à infraestrutura em nuvem da vítima como alavanca para extorsão.
“O ator da ameaça aproveitou repetidamente credenciais recém-adquiridas para reiniciar atividades de descoberta, coleta de segredos, persistência e impacto”, afirmou. “O ataque baseou-se em técnicas familiares de nuvem, em vez de novos malwares ou dias zero.”
"O ator da ameaça não estava explorando uma única configuração incorreta; eles estavam encadeando pontos fracos em serviços de aplicativos, recursos da AWS, repositórios de controle de origem, fluxos de trabalho de CI/CD, componentes de tempo de execução e armazenamentos de dados, enquanto executavam rapidamente descoberta de credenciais, coleta de segredos, enumeração de nuvem, abuso de pipeline de implantação, modificação de tempo de execução, acesso a banco de dados e interrupção operacional."
O invasor, segundo Sygnia, implicou repetidas tentativas de estabelecer persistência nos hosts comprometidos, obtendo a chave de acesso a uma das contas da AWS por meio de falhas em um aplicativo voltado para a Internet. Cada novo acesso foi seguido por enumeração renovada, coleta adicional de segredos, tentativas de persistência através da criação de chaves de acesso e usuários IAM e exfiltração de dados. Ao mesmo tempo, vários atacantes-cre
“O script procurou o controlador de domínio (DC) e mapeou usuários, computadores e domínios, antes de criar um diretório e exportar vários arquivos e, finalmente, criar AD_Report.html para medir o sucesso da tentativa de enumeração”, disseram os pesquisadores da Huntress, Jevon Ang e Dray Agha.
A cadeia de ataque envolveu o ator da ameaça estabelecendo acesso ao Remote Desktop Protocol (RDP) em um Windows Server associado ao domínio com um conjunto de credenciais pré-comprometidas, seguido pela preparação das ferramentas na pasta "C:\ProgramData\". O incidente ocorreu no início de junho de 2026.
Isso incluiu uma carga gerada por inteligência artificial (IA) para mapear o ambiente do Active Directory. A avaliação é baseada em vários sinais reveladores, como o título da iteração imediata, strings de espaço reservado, código superprojetado que apresenta vários métodos para encontrar um controlador de domínio e saída de console embelezada usando ciano, verde, vermelho e amarelo.
Huntress descreveu o script personalizado do PowerShell como “altamente agressivo” e “barulhento”, fazendo uso de um “mecanismo de fallback em cascata de cinco etapas” para permitir reconhecimento e descoberta. É intitulado "Script de coleta de informações do AD 100% funcional - TOTALMENTE FIXADO", sugerindo um vaivém com um modelo de linguagem grande (LLM).
Depois que o controlador de domínio primário é localizado, ele inicia uma rotina de coleta de dados para coletar sistematicamente usuários, computadores, grupos, unidades organizacionais (OUs) e relações de confiança do AD e armazenar os detalhes em um diretório temporário.
Cerca de 30 minutos depois, o invasor implantou um s5cmd, uma ferramenta legítima usada para operações de arquivos em massa, junto com o SharpShares, um utilitário de enumeração de compartilhamentos de rede baseado em C#, para procurar repositórios de dados acessíveis ao usuário.
Na fase final, os dados são armazenados em arquivos CSV, arquivados e exfiltrados para um servidor remoto, mas não antes da criação de um arquivo HTML resumindo o roubo de dados na forma de um Relatório de Inventário do Active Directory.
“É provavelmente uma injeção ‘útil’ do LLM que o invasor simplesmente aceitou, em vez de ser intencionalmente criado no script”, explicaram os pesquisadores.
O desenvolvimento é mais um sinal de que os agentes de ameaças estão aumentando seu arsenal com malware codificado por vibração gerado com a ajuda de modelos de IA, mesmo que a tecnologia não esteja sendo abusada de maneiras nunca vistas antes. O que muda é que reduz a barreira à entrada do crime cibernético, permitindo que intervenientes menos qualificados criem ferramentas evasivas e altamente capazes com um esforço mínimo.
“A cadeia de ataque subjacente ainda se assemelha ao manual testado e comprovado de esmagar e agarrar que vimos há anos”, disse Huntress. “Esta metodologia central permaneceu consistente, mas agora está sendo aumentada seletivamente pela IA. Esta abordagem híbrida prioriza a agressão e a velocidade em vez da furtividade, permitindo que os agentes de ameaças executem campanhas altamente prejudiciais mais rápido do que nunca.”
IA como multiplicador de força
Num relatório publicado na semana passada, a Sygnia revelou que os atacantes habilitados para IA não precisam necessariamente de novos malwares ou zero-days, mas que a verdadeira mudança reside no facto de as intrusões cibernéticas poderem ser orquestradas a uma velocidade e escala mais rápidas e maiores do que os defensores as conseguem conter.
A empresa de resposta a incidentes disse ter observado um ataque na nuvem assistido por IA que progrediu do acesso inicial ao amplo comprometimento em um período de cerca de 72 horas contra um grande ambiente baseado em Amazon Web Services (AWS). O objetivo final da atividade é avaliado como motivado financeiramente, com o invasor usando o acesso à infraestrutura em nuvem da vítima como alavanca para extorsão.
“O ator da ameaça aproveitou repetidamente credenciais recém-adquiridas para reiniciar atividades de descoberta, coleta de segredos, persistência e impacto”, afirmou. “O ataque baseou-se em técnicas familiares de nuvem, em vez de novos malwares ou dias zero.”
"O ator da ameaça não estava explorando uma única configuração incorreta; eles estavam encadeando pontos fracos em serviços de aplicativos, recursos da AWS, repositórios de controle de origem, fluxos de trabalho de CI/CD, componentes de tempo de execução e armazenamentos de dados, enquanto executavam rapidamente descoberta de credenciais, coleta de segredos, enumeração de nuvem, abuso de pipeline de implantação, modificação de tempo de execução, acesso a banco de dados e interrupção operacional."
O invasor, segundo Sygnia, implicou repetidas tentativas de estabelecer persistência nos hosts comprometidos, obtendo a chave de acesso a uma das contas da AWS por meio de falhas em um aplicativo voltado para a Internet. Cada novo acesso foi seguido por enumeração renovada, coleta adicional de segredos, tentativas de persistência através da criação de chaves de acesso e usuários IAM e exfiltração de dados. Ao mesmo tempo, vários atacantes-cre
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #atacante #usa #script #powershell #gerado #por #ia #suspeito #para #mapear #o #active #directory
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário