Microsoft, Zoho e Github tiveram vulnerabilidade nos últimos dias e cada sistema foi atingido de uma forma. O primeiro alerta foi sobre nova campanha de phishing direcionada a corporações por meio de mensagens do Teams. Nessa campanha, um atacante usa mensagens do Teams como isca para se infiltrar nas redes corporativas. Essa invasão abre portas para que o agente, que opera como serviço de ransomware, realize ações de pós-exploração e implante malware de criptografia de arquivos.
A empresa respondeu a essas ameaças com diversas melhorias em sua segurança para bloquear a campanha e tomou medidas adicionais, como a suspensão de contas identificadas e inquilinos associados a comportamentos inautênticos ou fraudulentos.
Já a campanha de espionagem da Earth Estries mira governos e gigantes da tecnologia em todos os continentes, abrangendo países como Filipinas, Taiwan, Malásia, África do Sul, Alemanha e EUA. Os hackers empregam um conjunto variado de técnicas, incluindo o uso de backdoors, roubos de dados de navegadores e scanners de portas, a fim de coletar informações sensíveis.
Além disso, eles abusam de serviços públicos, como Github, Gmail, AnonFiles e File.io, para trocar comandos e dados roubados. “Campanhas como essa são um exemplo de como os hackers estão se tornando cada vez mais sofisticados e audaciosos em seus ataques, pois usam uma variedade de técnicas para se infiltrar nas redes, extrair dados e evitar a detecção.
“Os governos e as empresas de tecnologia precisam estar atentos para reforçar suas medidas de segurança, porque esses ataques podem ter consequências graves para a economia e a privacidade dos envolvidos”, comenta Marcos de Almeida, gerente de Red Team da Redbelt.
Hackers e vulnerabilidades
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração de vulnerabilidades no Fortinet, especificamente no FortiOS SSL-VPN, e no Zoho ManageEngine ServiceDesk Plus. Diversos criminosos estão se aproveitando dessas falhas de segurança para obter acesso não autorizado e estabelecer persistência em sistemas comprometidos.
Após o sucesso da exploração, eles ganham acesso de nível raiz aos servidores da Web, adotando medidas adicionais, como o download de malware adicional, a enumeração de redes, a coleta de credenciais de usuários administrativos e a movimentação lateral pela rede.
Foi também observada a criação de sessões criptografadas por TLS para diversos endereços IP, indicando a transferência de dados do dispositivo de firewall, além da exploração de credenciais válidas para avançar do firewall para servidores da Web e implantar shells da Web para obter acesso backdoor.
“Esse ataque ressalta a importância de as companhias atualizarem suas políticas e soluções de segurança constantemente, sendo sempre criteriosas no monitoramento de suas redes em busca de atividades suspeitas. Além disso, é recomendável que as empresas adotem boas práticas de segurança, como o uso de senhas fortes e únicas, a autenticação multifator e a segmentação de redes”, lembra o especialista da Redbelt Security.
Exploração falsa infecta usuários
Um agente mal-intencionado lançou uma exploração falsa de prova de conceito (PoC) para uma vulnerabilidade do WinRAR, que foi recentemente divulgada no GitHub. Isso resultou na infecção de usuários que baixaram o código com o malware Venom RAT.
Embora as PoCs falsas tenham se tornado uma tática bem documentada para atingir a comunidade de pesquisa, a empresa de segurança cibernética suspeita que os hackers estão visando outros criminosos, que podem estar incorporando as vulnerabilidades mais recentes em seu arsenal.
Dados expostos
A Microsoft declarou que já tomou medidas para corrigir uma grave falha de segurança que levou à exposição de 38 terabytes de dados privados. O vazamento foi descoberto no repositório de IA da empresa no GitHub e se tornou público inadvertidamente depois da publicação de um conjunto de dados de treinamento de código aberto.
A ocorrência também incluiu um backup em disco de duas estações de trabalho de ex-funcionários contendo segredos, chaves, senhas e mais de 30.000 mensagens internas do Teams. Em resposta a essas descobertas, a Microsoft afirmou que sua investigação não encontrou evidências de exposição não autorizada de dados de clientes e que “nenhum outro serviço interno foi colocado em risco devido a esse problema.”
A empresa também enfatizou que os clientes não precisam tomar nenhuma ação por conta própria. “É sempre importante lembrar que a exposição de dados privados, como segredos, chaves, senhas e mensagens internas, pode comprometer a integridade, a confidencialidade e a disponibilidade dos sistemas e serviços. Além disso, pode afetar a reputação, a credibilidade e a confiança dos clientes e parceiros”, afirma Almeida.
Atualização de navegadores
Considerada como uma vulnerabilidade de alta gravidade, é caracterizada como um estouro de buffer baseado em heap no formato de compactação VP8 da biblioteca de codecs de vídeo de código aberto, libvpx, desenvolvida pelo Google e pela Alliance for Open Media (AOMedia). A exploração bem-sucedida destas falhas de estouro de buffer pode resultar em falhas do programa ou na execução de código arbitrário, o que afeta a disponibilidade e a integridade do sistema.
Para mitigar possíveis ameaças, é recomendável que os usuários atualizem seus navegadores para a versão 117.0.5938.132 do Chrome, disponível para Windows, macOS e Linux. Além disso, os usuários de navegadores baseados no Chromium, como Microsoft Edge, Brave, Opera e Vivaldi, devem aplicar as correções assim que estiverem disponíveis.
“É urgente que os usuários atualizem seus navegadores para a versão mais recente do Chrome, que contém o patch de segurança. Além disso, eles também devem ficar atentos aos sites que visitam e aos arquivos que baixam, pois eles podem conter conteúdo malicioso”, complementou o especialista da Redbelt.
