mar 7 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • LockBit apresenta novo método para contornar proteção.
    Os operadores do LockBit estão obtendo sucesso, pois continuam a extrair dados de organizações de alto perfil e adicionam seus nomes ao site de vazamento. Uma das razões significativas para isso é atribuída às táticas e técnicas adotadas pela gangue e uma dessas técnicas de evasão chegou ao conhecimento dos pesquisadores. Ultimamente, o Lockbit foi usado para contornar o mecanismo de proteção Mark of The Web (MOTW) em uma campanha recente. A campanha de ataque montou um arquivo .img que continha arquivos maliciosos, sendo que apenas um deles estava visível para os usuários. A entrega por meio de um contêiner de arquivo .img ajuda os invasores a escapar do mecanismo de proteção MOTW. Depois que o usuário abriu o único arquivo visível, ele fez o download de scripts BAT que verificaram o nível de privilégio no sistema de destino. Em alguns casos, um script python também é executado usando o pacote de incorporação oficial do Python. O único objetivo desses scripts é alterar as configurações e senhas do sistema sem o conhecimento do usuário.
  • Vulnerabilidade crítica no Microsoft Word é corrigida.
    uma falha crítica no Microsoft Word que pode ser explorada quando o usuário visualiza um documento RTF especialmente criado, agora está disponível publicamente. Patches para a falha que afeta uma ampla variedade de versões do MS Office, SharePoint, Microsoft 365, e outros produtos foram lançados pela Microsoft no mês passado. A falha de corrupção de heap no analisador RTF do Microsoft Word que, se acionada, permite que os invasores obtenham a execução remota de código com os privilégios da vítima. A falha não requer autenticação prévia: os invasores podem simplesmente enviar um arquivo RTF para a(s) vítima(s) por e-mail. No comunicado de segurança que acompanha os patches, a Microsoft confirmou o painel de visualização como um vetor de ataque. Embora seja preferível corrigir produtos vulneráveis, a empresa também ofereceu orientações sobre possíveis soluções alternativas.
  • Hackers chineses visam entidades europeias com novo Backdoor.
    O ator Mustang Panda alinhado com a China foi observado usando um backdoor personalizado até então inédito chamado MQsTTang como parte de uma que começou em janeiro de 2023. Cadeias de ataque orquestradas pelo grupo intensificaram o direcionamento de entidades europeias após a invasão em grande escala da Ucrânia pela Rússia no ano passado. O Mustang Panda tem um histórico de uso de um trojan de acesso remoto chamado PlugX para atingir seus objetivos, embora invasões recentes tenham visto o grupo expandir seu arsenal de malware para incluir ferramentas personalizadas como TONEINS, TONESHELL e PUBLOAD. Além do mais, descobriu-se que um servidor FTP vinculado ao agente da ameaça hospeda uma variedade de ferramentas não documentadas usadas para distribuir malware para dispositivos infectados
Rubens Zolotujin 0 Comentários