security
Security Bulletins - Heimdall Security Research
Heimdall, the ISH Threat Intelligence group, presents bulletins on threat agents, malware used by malicious groups, Indicators of Compromise, Techniques, Tactics and Procedures (TTPs) and Artifact Analysis and Mitigations, with a view to preventing attacks and evolving cybersecurity maturity.
ISH
Falha grave de Execução Remota de Código no Microsoft Outlook em exploração ativa
Uma vulnerabilidade crítica no Microsoft Outlook, rastreada como CVE-2024-21413, está sendo ativamente explorada em ataques cibernéticos. Essa falha permite que agentes mal-intencionados executem código remotamente ao explorar uma validação inadequada de entrada.
ISH
Ataques de injeção de código utilizando chaves MachineKey do ASP.NET
A Microsoft identificou atividades maliciosas envolvendo um ator de ameaça não atribuído que utilizou uma chave MachineKey do ASP.NET disponível publicamente para injetar código malicioso e implantar o framework de pós-exploração Godzilla.
ISH
Falha CVE-2025-0994 é explorada no Trimble Cityworks para execução remota de código
Uma vulnerabilidade grave identificada como CVE-2025-0994 foi descoberta no software Trimble Cityworks, permitindo que usuários autenticados realizem execução remota de código (RCE) em servidores Microsoft IIS. A vulnerabilidade está sendo ativamente explorada.
ISH
Google lança correção para falha zero-day no kernel do Android explorada em ataques
Google divulgou uma falha no kernel do Android, identificada como CVE-2024-53104. Esta falha de segurança, já explorada, permite que agentes mal-intencionados locais autenticados elevem seus privilégios no sistema. A correção foi incluída nas atualizações de segurança.
ISH
Broadcom corrige falhas no VMware Aria que resultavam em roubo de credenciais
Foram identificadas e corrigidas 05 vulnerabilidades nos produtos VMware Aria Operations e VMware Aria Operations for Logs. Essas falhas poderiam permitir que agentes mal-intencionados obtenham acesso elevado ou informações sensíveis, comprometendo a segurança dos sistemas.
ISH
AsyncRAT Reloaded utilizando Python e TryCloudflare para distribuição de malware
Uma campanha de malware utiliza o trojan AsyncRAT, com scripts em Python e a infraestrutura do TryCloudflare, para acesso remoto. Os atacantes controlam dispositivos infectados de forma discreta, roubando dados e executando comandos sem serem detectados.
ISH
Falha de segurança no TeamViewer para Windows permite elevação de privilégios
Identificada como CVE-2025-0065, recentemente descoberta no TeamViewer para Windows. Essa falha de segurança permite que atacantes locais explorem uma brecha no sistema para elevar seus privilégios, obtendo potencialmente acesso administrativo no dispositivo afetado.
ISH
Exploração ativa afeta dispositivos Zyxel CPE devido à vulnerabilidade CVE-2024-40891
Uma falha de injeção de comandos, identificada como CVE-2024-40891, descoberta nos dispositivos da série Zyxel CPE, está sendo ativamente explorada por atacantes, permitindo a execução de comandos arbitrários que podem comprometer totalmente o sistema.
ISH
Vulnerabilidades no Microsoft Account e Azure AI Face Service expondo sistemas
A Microsoft divulgou duas falhas importantes: CVE-2025-21396, que afeta o Microsoft Account e permite a elevação de privilégios por um atacante não autorizado via rede, e CVE-2025-21415, que impacta o Azure AI Face Service, permitindo que um atacante autorizado eleve seus privilégios.
ISH
Malware BC vinculado ao QakBot tem novo avanço em acesso remoto e coleta de dados
A mais recente variante, apelidada de "Back.Connect" (BC), introduz recursos avançados de acesso remoto por conexões reversas, combinados com técnicas aprimoradas de coleta de dados. Essa nova versão reforça o impacto do malware, principalmente em setores críticos.
ISH
Apple lança Patches para corrigir falhas em iPhones, Macs e outros dispositivos
A Apple lançou atualizações de segurança para corrigir a vulnerabilidade CVE-2025-24085, que afeta diversos dispositivos, incluindo iPhones, Macs, Apple TVs, Apple Vision Pro e Apple Watches. Esta falha, já explorada, permite que malwares elevem seus privilégios no sistema.
ISH
Identificada nova campanha com TorNet Backdoor e outros malwares
A ameaça utiliza e-mails de phishing como vetor inicial, enviando anexos maliciosos no formato “.tgz” que contêm arquivos executáveis camuflados. Quando abertos, esses arquivos ativam um loader .NET, responsável por baixar e executar o malware PureCrypter.
ISH
Malware fileless/stealer, ComprovanteSpray, distribuído via WhatsApp
A equipe de Inteligência de Ameaças da ISH, Heimdall, elaborou um relatório detalhado sobre uma campanha que está sendo realizada através do WhatsApp. A referida campanha tem o foco de compartilhar um arquivo em formato .zip denominado "Comprovante".
ISH
Falhas de segurança no Git possibilitam comprometimento de credenciais
Foram identificadas falhass no Git e em seus auxiliares de credenciais que permitem que atacantes obtenham credenciais de usuários por meio de ataques denominados Clone2Leak. Estas afetam ferramentas amplamente utilizadas, como GitHub Desktop, Git LFS e outros.
ISH
SonicWall alerta sobre vulnerabilidade RCE no SMA1000 explorada em ataques
Uma vulnerabilidade de Execução Remota de Código (RCE), identificada como CVE-2025-23006, foi descoberta nos dispositivos SonicWall SMA1000. Esta falha permite que atacantes não autenticados executem comandos arbitrários no sistema afetado.
ISH
Oracle realiza publicação do Critical Patch Updates de janeiro de 2025
A Oracle lançou uma atualização de Patches corrigindo 318 vulnerabilidades em diversos produtos, incluindo falhas críticas que podem comprometer sistemas. Este relatório destaca as principais CVEs, com detalhes técnicos, sistemas afetados, impactos e recomendações de mitigação.
ISH
Campanhas de Ransomware utilizam "Email Bombing" e "Vishing" via Microsoft Teams
Campanhas de ransomware têm explorado o Microsoft Office 365 para obter acesso não autorizado a organizações. Os ataques utilizam táticas como "email bombing" e "vishing" via Microsoft Teams para sobrecarregar vítimas e facilitar a instalação de malware.
ISH
Campanha de Backdoor J-magic tendo como alvos roteadores Juniper
Esta ameaça busca explorar vulnerabilidades em roteadores corporativos de alto nível, como os da Juniper, para obter acesso remoto e controle total. Utilizando "magic packets", o foco principal são empresas de setores estratégicos.
ISH
Dispositivos MikroTik e domínios web no centro de uma nova botnet
A ameaça descrita visa explorar uma configuração incorreta de DNS em dispositivos MikroTik para distribuir malware por meio de uma botnet. Utilizam um erro de digitação na configuração do DNS para redirecionar o tráfego da Internet para servidores maliciosos.
ISH
CVE-2024-46668 - Vulnerabilidade de consumo de memória no FortiOS
A Fortinet alertou sobre a CVE-2024-46668, uma vulnerabilidade que refere-se a uma falha de alocação de recursos sem limites ou limitação [CWE-770] em alguns endpoints da API do FortiOS pode permitir que um usuário remoto não autenticado consuma toda a memória do sistema.
ISH
Vulnerabilidades em clientes nativos da AWS permitem ataques Man-in-the-Middle
A Amazon (AWS) identificou e corrigiu duas vulnerabilidades que afetavam versões específicas dos clientes nativos do Amazon WorkSpaces, Amazon AppStream 2.0 e Amazon DCV. Essas falhas poderiam permitir que agentes maliciosos realizassem ataques man-in-the-middle.
ISH
Vulnerabilidades no SAP NetWeaver permitem acesso não autorizado ao sistema
A SAP divulgou em seu Portal de Suporte duas vulnerabilidades críticas no SAP NetWeaver Application Server para ABAP e na Plataforma ABAP, designadas como CVE-2025-0070 e CVE-2025-0066, que podem permitir que atacantes obtenham acesso não autorizado a sistemas SAP.
ISH
Vulnerabilidades no Rsync comprometem a segurança de servidores
Foram identificadas seis vulnerabilidades na ferramenta Rsync, amplamente utilizada para a sincronização de arquivos em servidores e sistemas Linux. As falhas apresentam diferentes níveis de gravidade, como crítica, permitindo a execução remota de código por atacantes não autenticados.
ISH
Vulnerabilidades no HPE Aruba Networking permitindo execução remota de código
Recentemente, foram identificadas vulnerabilidades nos produtos HPE Aruba Networking que podem permitir a execução remota de código arbitrário. Essas falhas, catalogadas como CVE-2025-23051 e CVE-2025-23052, afetam versões específicas dos sistemas operacionais AOS-8 e AOS-10.
ISH
Alerta! Atualizações da Microsoft (Patch Tuesday) - janeiro de 2025
O Microsoft Patch Tuesday, divulgado em cada mês, informa as falhas corrigidas em seus produtos. Na atualização de janeiro de 2025, foram tratadas 159 vulnerabilidade que impactam diversos serviços essenciais, como Windows, Office e outras plataformas críticas.
ISH
CVE-2024-55591 - Bypass de autenticação no WebSockets do Node.js
Classificada como bypass de autenticação por caminho ou canal alternativo [CWE-288] foi detectada nos sistemas FortiOS e FortiProxy. Rastreada como CVE-2024-55591, essa vulnerabilidade pode ser explorada por invasores remotos para obter privilégios de root.
ISH
Afiliado do RansomHub utiliza Backdoor em Python para realizar ataques
Um backdoor desenvolvido em Python por um afiliado do grupo RansomHub (RaaS). O objetivo principal é obter acesso não autorizado a sistemas corporativos para exfiltrar dados sensíveis e implantar ransomware, resultando em extorsão financeira.
ISH
Banshee, o malware Stealer que "roubou código do MacOS XProtect"
Variantes do Banshee têm sido observadas, demonstrando a evolução contínua do malware. Agora é capaz de operar de forma furtiva, com técnicas avançadas de evasão para contornar as defesas de segurança do macOS, o mesmo utiliza criptografia de strings inspirada no próprio XProtect.
ISH
Backdoors e Cryptojacking Exploração de Vulnerabilidade Crítica no Aviatrix Controller
A falha CVE-2024-50603 no Aviatrix Controller é uma ameaça crítica para ambientes em nuvem, especialmente na AWS. Descoberta em 2024 e divulgada em 2025, vem sendo explorada para implantação de backdoors e a mineração de criptomoedas com XMRig e Sliver.
ISH
CISA inclui vulnerabilidade de injeção de comando do BeyondTrust no catálogo KEV
A CISA recentemente adicionou ao seu catálogo KEV uma vulnerabilidade de injeção de comandos no BeyondTrust Privileged Remote Access (PRA) e Remote Support (RS), identificada como CVE-2024-12686. Essa falha, atualmente está em exploração ativa.
ISH
Exploração de vulnerabilidade em servidores PHP para injeção de minerador PacketCrypt
Uma análise recente de malware conduzida por pesquisadores da SANS revelou informações preocupantes. Durante a investigação, foi identificado um arquivo malicioso chamado dr0p.exe, que era usado para baixar um segundo arquivo, denominado pkt1.exe.
ISH
SonicWall alerta administradores para corrigirem falha no SSLVPN
Foi descoberta uma vulnerabilidade crítica no firewall da Sonicwall, que pode ser explorada em clientes que utilizam SSL VPN e gerenciamento SSH. A empresa está enviando e-mails aos seus clientes, pedindo que atualizem o firmware SonicOS dos firewalls.
ISH
Ivanti alerta sobre vulnerabilidade de zero-day explorada no Connect Secure
A Ivanti informou que criminosos cibernéticos estão explorando uma vulnerabilidade de execução remota de código identificada como CVE-2025-0282 em ataques de zero day para comprometer dispositivos e instalar malware, isto ocorreu após explorações.
ISH
Novo malware FireScam para Android se disfarça de Telegram Premium para roubar dados
Um novo malware para Android projetado para roubar informações e atuar como spyware, denominado 'FireScam', está sendo distribuído como uma versão premium do Telegram através de sites de phishing no GitHub que imitam o RuStore, o mercado de aplicativos móveis da Rússia.
ISH
Moxa alerta sobre vulnerabilidades em roteadores industriais
O fornecedor Moxa, especializado em soluções de comunicação e redes industriais, emitiu um alerta sobre duas vulnerabilidades, uma de alta gravidade e outra crítica, que afetam diversos modelos de seus Cellular Routers, Secure Routers e Network Security Appliances.
ISH
CISA alerta sobre exploração de vulnerabilidade na Oracle e Mitel
A CISA recentemente incluiu três vulnerabilidades no seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) que estão sendo ativamente exploradas. Essas falhas de segurança, relacionadas aos sistemas Oracle WebLogic Server e Mitel MiCollab.
ISH
Botnets FICORA e CAPSAICIN explorando vulnerabilidades em dispositivos D-Link
Houve um aumento significativo na atividade de duas botnets distintas durante os meses de outubro e novembro de 2024. As variantes da Mirai “FICORA” e a Kaiten “CAPSAICIN”. Ambas são frequentemente propagadas através de vulnerabilidades documentadas em dispositivos D-Link.
ISH
Vulnerabilidade em pacote do Node.js expõe sistemas a ataques RCE
A vulnerabilidade CVE-2024-56334 de injeção de comando foi descoberta no popular pacote npm systeminformation, colocando milhões de sistemas em risco de ataques de remote code execution (RCE) e privilege escalation, afetando versões até a 5.23.6.
ISH
PoC para vulnerabilidade grave no Oracle WebLogic Server é divulgada
Foi alertado sobre a divulgação pública de uma Prova de Conceito (PoC) para uma vulnerabilidade de gravidade alta que afeta o Oracle WebLogic Server. Identificada como CVE-2024-21182, essa falha representa um risco alto para organizações que utilizam o servidor.
ISH
Atualizações de segurança da Apache para MINA, HugeGraph e Traffic Control
A Apache Software Foundation lançou atualizações entre 23 e 25 de dezembro para corrigir falhas críticas nos produtos MINA, HugeGraph-Server e Traffic Control. O período de férias pode atrasar a aplicação dos patches, elevando o risco de exploração.
ISH
CVE-2024-3393 - Palo Alto lança atualização para corrigir falha grave de DoS no PAN-OS
A Palo Alto revelou uma falha classificada como alta, que impacta o software PAN-OS e pode levar
a uma condição de negação de serviço (DoS) em dispositivos vulneráveis.
Identificada como CVE-2024-3393, com uma pontuação CVSS de 8,7, esta
afeta tanto o PAN-OS quanto o Prisma Access.
ISH
Adobe emite correção para vulnerabilidade grave no ColdFusion
A Adobe lançou atualizações de segurança emergenciais para corrigir uma falha grave no ColdFusion, identificada como CVE-2024-53961. Essa falha, presente nas versões 2023 e 2021 do software, permite que invasores leiam arquivos arbitrários em servidores vulneráveis.
ISH
Sophos lança correções de emergência para vulnerabilidades em firewalls
Foi identificado três vulnerabilidades no Sophos Firewall duas de classificação crítica e uma alta, que poderiam permitir a execução remota de código, injeção de SQL e acesso privilegiado ao sistema por agentes de ameaça. As falhas afetam dispositivos executando o Sophos Firewall.
ISH
Nova Botnet explorando vulnerabilidades em dispositivos IoT e NVRs
Uma botnet baseada no Mirai está explorando uma vulnerabilidade sem correção nos NVRs DigiEver e roteadores TP-Link desatualizados, em uma campanha iniciada em outubro. Uma das falhas foi documentada em 2022 por um pesquisador de segurança.
ISH
Falha de segurança no apache Tomcat permite Execução Remota de Código (RCE)
A Apache disponibilizou uma atualização de segurança para resolver uma falha no software de servidor Tomcat, identificada como CVE-2024-56337, é uma mitigação incompleta de uma vulnerabilidade anterior, a CVE-2024-50379, também encontrada no mesmo produto e corrigida.
ISH
Falha de autenticação na Hitachi expõe sistemas a invasões remotas
Foi identificada uma vulnerabilidade de bypass de autenticação nos produtos Hitachi Infrastructure Analytics Advisor e Ops Center Analyzer, representando um alto risco de segurança para os usuários dessas soluções, catalogada como CVE-2024-10205.
ISH
Botnet BADBOX compromete 74.000 dispositivos Android com malware personalizável
Uma operação cibercriminosa chamada BADBOX tem se destacado envolvendo a venda de dispositivos Android, como caixas de TV e smartphones de marcas desconhecidas, já infectados com malware. Isso significa que os dispositivos vêm comprometidos antes de serem entregues.
ISH
Fortinet emite alerta sobre vulnerabilidade crítica no FortiWLM
A Fortinet anunciou uma falha crítica no Fortinet Wireless Manager (FortiWLM) que pode ser explorada por invasores remotos para assumir o controle de dispositivos, permitindo a execução de códigos ou comandos maliciosos por meio de solicitações web especialmente projetadas.
ISH
FBI alerta sobre ataques de malware HiatusRAT a webcams e DVRs
O Federal Bureau of Investigation (FBI) emitiu um alerta para chamar a atenção para campanhas de varredura do HiatusRAT contra webcams e DVRs de marca chinesa. O HiatusRAT, um Trojan de acesso remoto (RAT) que, na sua versão mais recente, tem sido utilizado desde 2022.
ISH
Androxgh0st Botnet, uma ameaça perigosa e global a dispositivos IoT
Pesquisadores detectaram avanços na botnet Androxgh0st, incluindo a exploração de vulnerabilidades e integração com a botnet Mozi. Desde janeiro de 2024, ela mira servidores web, mas registros recentes indicam payloads Mozi focados em dispositivos IoT.
ISH
Campanha de Phishing do HubSpot afeta 20.000 contas do Microsoft Azure
Pesquisadores identificaram uma campanha de phishing visando empresas na Alemanha e Reino Unido, focada em roubar credenciais e acessar a nuvem Azure. O ataque atingiu seu pico em junho de 2024, usando formulários falsos do HubSpot Free Form Builder.
ISH
Exploração de falha no Apache Struts2 permite envio de cargas maliciosas
Atores maliciosos iniciaram a exploração da nova falha identificada no Apache Struts2, uma popular estrutura de código aberto utilizada no desenvolvimento de aplicativos web em Java. Está classificada como CVE-2024-53677 crítica, essa vulnerabilidade de segurança.
ISH
IOCONTROL, novo malware com alvo em infraestruturas críticas
Atores de ameaças iranianos estão empregando um novo malware chamado IOCONTROL para atacar dispositivos de Internet das Coisas (IoT) e sistemas OT/SCADA que operam em infraestruturas críticas localizadas em Israel e nos Estados Unidos.
ISH
CISA inclui novas vulnerabilidades ativamente exploradas em seu catálogo
A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) adicionou ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) duas novas falhas de segurança, nos produtos Adobe ColdFusion e no driver de modo kernel do Microsoft Windows.
ISH
Exploração de vulnerabilidade Zero-Day do Cleo distribui malware Malichus
Pesquisadores identificaram uma campanha de exploração avançada que tira proveito de uma vulnerabilidade zero-day na plataforma de software de transferência de arquivos Cleo. Essa campanha foi utilizada para disseminar uma nova família de malware, batizada de "Malichus".
ISH
Falha grave no Splunk expõe sistema à Execução Remota de Código (RCE)
A plataforma Splunk, utilizada para análise e monitoramento de dados, enfrenta uma vulnerabilidade de Execução Remota de Código (RCE). Catalogada como CVE-2024-53247, a falha impacta diversas versões do Splunk Enterprise e do aplicativo Splunk Secure Gateway na Splunk Cloud Platform.
ISH
Novo malware Glutton ataca frameworks PHP populares como Laravel e ThinkPHP
Pesquisadores detectaram uma atividade anômala envolvendo um IP, que estava distribuindo um backdoor Winnti baseado em ELF. Investigações revelaram que o mesmo IP havia distribuído, em dezembro de 2023, um arquivo PHP malicioso de detecção zero chamado init_task.txt.
ISH
Spyware Chinês EagleMsgSpy explorando dispositivos móveis desde 2017
Pesquisadores identificaram uma nova família de spyware denominada EagleMsgSpy, que se trata de um software de vigilância desenvolvido por uma empresa chinesa de software, utilizado por agências de segurança pública na China continental.
ISH
Novo malware Rootkit furtivo Pumakit com alvos em sistemas Linux
Foi identificado um malware denominado Pumakit em um arquivo binário suspeito ('cron'). No entanto, não há informações sobre quem está utilizando o malware ou quais são seus alvos. O PUMAKIT é um malware avançado, detectado durante uma análise de ameaças.
ISH
GitLab lança atualizações para corrigir vulnerabilidades de alta gravidade
O GitLab disponibilizou atualizações de segurança para suas edições Community Edition (CE) e Enterprise Edition (EE). As versões mais recentes, identificadas como 17.6.2, 17.5.4 e 17.4.6, trazem correções para múltiplas vulnerabilidades classificadas como de alta gravidade.
ISH
Botnet Socks5Systemz transforma mais de 85.000 dispositivos em rede de proxy
O Socks5Systemz, um malware botnet tem transformados sistemas infectados em nós de saída proxy. O nome deriva do texto usado pelo agente da ameaça no painel de controle, campanhas de distribuição foram identificadas no último ano porém ele permaneceu discreto até 2023.
ISH
Ivanti lança atualizações para corrigir vulnerabilidades no CSA e Connect Secure
A Ivanti disponibilizou atualizações de segurança para corrigir múltiplas falhas críticas em seus produtos Cloud Services Appliance (CSA) e Connect Secure, que poderiam resultar em escalonamento de privilégios e execução de código mal-intencionado.
ISH
Black Basta amplia arsenal com e-mails em massa, QR codes e táticas de engenharia social
Os operadores associados ao Black Basta têm demonstrado uma evolução em suas táticas de ataque, especificamente no uso de técnicas de engenharia social. Desde o início de outubro de 2024, esses agentes começaram a empregar uma estratégia mais diversificada.
ISH
Atualizações e correções no Patch Tuesday de outubro da Microsoft, saiba mais
Nesta terça-feira (09), foi realizada a divulgação pela Microsoft de correção de vulnerabilidades, dentre elas, foram divulgadas as correções de 118 vulnerabilidades e dentre elas, 2 estão sobre explorações ativas de acordo com a Microsoft.
ISH
CISA emite alerta para exploração no Zyxel, ProjectSend e CyberPanel
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) incluiu no seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) novas falhas de segurança identificadas em produtos da Zyxel, North Grid Proself, ProjectSend e CyberPanel.
ISH
Golpe utiliza aplicativos de videoconferência falsos para roubar dados
Foi descoberta uma nova fraude direcionada a profissionais da Web3. A operação envolve o malware Realst, um stealer de criptomoedas com versões para macOS e Windows, ativo há cerca de quatro meses, os cibercriminosos criaram empresas fictícias utilizando IA.
ISH
Detalhes da operação do Ransomware MedusaLocker
Um novo tipo de variante teria sido identificada como sendo utilizada pelo MedusaLocker, desta vez conhecida como BabyLockerKZ. A referida variante utiliza caminhos específicos de PDB, bem como ferramentas desenvolvidas possivelmente pelos próprios atores de ameaças. Dentro do alerta, contém informações sobre as ferramentas e sobre os IoCs vinculados a esta ameaça.
ISH
Vulnerabilidades da Ivanti sendo exploradas ativamente
As vulnerabilidades de zero day divulgadas recentemente estão sendo exploradas em conjunto com uma falha corrigida no mês passado pela Ivanti. As vulnerabilidades foram catalogadas como CVE-2024-9379, CVE-2024-9380 e CVE-2024-9381. As vulnerabilidades podem causar SQL injection, Command Injection e Path Traversal, possuindo pontuações diversas entre elas.
ISH
A Microsoft emitiu um alerta sobre campanhas que estão realizando a exploração serviços legítimos
A Microsoft emitiu um alerta sobre campanhas que estão realizando a exploração serviços legítimos de hospedagem de arquivos, como O SharePoint, One Drive e DropBox utilizados amplamente em ambientes corporativos. Os referidos serviços estão sendo utilizados para fins de evasões de defesas.
ISH
Cloudflare anuncia o maior ataque registrado de DDoS
A Cloudflare anunciou a mitigação de um ataque de DDoS considerado o maior registrado até o momento. O ataque durou 65 segundos e atingiu o pico de 3,8 terabytes de dados. A empresa afirmou que ao longo dos últimos meses, mais de 100 ataques desse tipo foram mitigados, ultrapassando um total de 2 bilhões.
ISH
Extensões maliciosas do Chrome com bypass em segurança
Durante o evento da DefCon, pesquisadores demonstraram que extensões maliciosas poderiam capturar transmissões de vídeo ao vivo de plataformas como Google Meet e Zoom sem precisar de permissões especiais. Além disso, demonstraram também como utilizar extensões baseadas no Manifest V3.
ISH
Qualcomm publicou atualizações de correção para zero days
De acordo com o relatório publicado pela Qualcomm, esta teria publicado correções vinculadas a vulnerabilidades de zero day no Processador de Sinal Digital (DSP) a qual afeta diversos chipsets. A vulnerabilidade foi catalogada como CVE-2024-43047 e com base de pontuação alta.
ISH
Plataforma de Phishing Sniper Dz facilita mais de 140k de ataques
A plataforma Sniper Dz permite que criminosos realizem ataques de phishing, escondendo as páginas maliciosas por trás de um servidor proxy público. Ela oferece um painel online com várias páginas de phishing que podem ser usadas ou baixadas. Esses serviços são oferecidos de graça, provavelmente para que eles possam coletar credenciais roubadas.
ISH
Atores de ameaças Norte-Coreanos utilizando backdoor VeilShell
Atores de ameaças foram identificados utilizando o backdoor conhecido como VeilShell em ataques cibernéticos. Esse backdoor é um trojan de acesso remoto que pode auxiliar o grupo conhecido como APT37 a realizar ataques. As vítimas provavelmente são alvos de e-mails de phishing, nos quais o payload é entregue por meio de um anexo de e-mail.
ISH
Falha no Iphone poderia ocasionar a leitura de senhas salvas em voz alta
De acordo com as vulnerabilidades corrigidas no patch de atualização da Apple, a CVE-2024-44204 obteve destaque, pois, caso um ator de ameaça tenha acesso ao dispositivo desbloqueado da vítima, ele poderia utilizar o VoiceOver para realizar a leitura das senhas armazenadas pelo usuário. Embora a exploração seja difícil e o risco seja considerado baixo.
ISH
Ataque de cryptojacking explora API do Docker para formar Botnet maliciosa
Uma campanha de cryptojacking visa a API do Docker Engine, propagando-se para Docker Swarm, Kubernetes e SSH. O agente usa um cluster Docker Swarm para orquestração e C2, explorando imagens maliciosas hospedadas no Docker Hub. A infraestrutura do GitHub Codespaces também é um alvo.
ISH
Malware se espalhando em sistemas Microsoft
Um novo malware que impede o acesso completo ao Windows tem sido alvo de diversos relatos nas redes sociais, especialmente no Reddit. O ataque se manifesta logo na inicialização do computador, onde o usuário encontra uma mensagem de "Microsoft Blocked" em vez do nome de usuário, impossibilitando o login.
ISH
Detalhes da vulnerabilidade em servidores Zimbra – CVE-2024-45519
Uma vulnerabilidade foi identificada como sendo potencialmente explorável por atores de ameaças em servidores de e-mail Zimbra. A vulnerabilidade rastreada como CVE-2024-45519, se encontra no servidor Zimbra utilizado por organizações de médio e grande porte, a qual pode ocasionar a execução de remota de código RCE.
ISH
Nova variante do Malware RomCom SnipBot identificada em ataques de exfiltração de dados
Uma nova variante do malware RomCom, denominada SnipBot, foi detectada em ataques direcionados à rede, com foco na exfiltração de dados de sistemas comprometidos. O RomCom RAT é uma família de malware que tem evoluído ao longo dos anos, estando ativa desde meados de 2022, envolvendo-se em atividades como ransomware.
ISH
Novos malwares KLogEXE e FPSpy implantados por hackers Norte-Coreanos em ataques direcionados
Grupo APT norte-coreano Sparkling Pisces, também chamado de Kimsuky, THALLIUM ou Velvet Chollima, é renomado por suas operações avançadas de ciberespionagem e ataques sofisticados de spear phishing. De acordo com as pesquisas, foi utilizado um novo malware conhecido como KLogEXE.
ISH
Falha crítica no NVIDIA Container Toolkit pode conceder controle total do host a invasores.
A vulnerabilidade CVE-2024-0132 categorizada como crítica no NVIDIA Container Toolkit foi revelada, permitindo que invasores escapem de contêineres e obtenham controle total do host. A vulnerabilidade possui a pontuação de CVSS de 9.0 (crítica) e teria sido corrigida nas atualizações das versões v1.16.2 do Toolkit e 24.6.2 do GPU Operator.
ISH
Novo Trojan Bancário Octo2 para Android foi identificado
O Trojan bancário conhecido como Octo2 foi identificado, sendo esta uma versão aprimorada do malware Octo. Esta nova versão possui capacidades para aquisição de dispositivos (DTO) e execução de transações fraudulentas. Esta nova versão pode alterar significativamente o panorama das ameaças e o modus operandi dos cibercriminosos.
ISH
Ivanti alerta para nova vulnerabilidade crítica no Ivanti Cloud Appliance sendo explorada
A Ivanti anunciou a descoberta de uma vulnerabilidade CVE-2024-8963 categorizada como crítica que afeta o Cloud Service Appliance (CSA). A falha de segurança, está sendo explorada por cibercriminosos, colocando em risco a integridade de sistemas.
ISH
Malware PondRAT foi identificado em pacotes Python
Pesquisadores identificaram uma campanha ativa que utiliza pacotes Python contaminados para distribuir backdoors em sistemas Linux e macOS. Os pacotes denominados como PondRAT, são versões mais "leves" do POOLRAT, conhecido como RAT (Remote Administration Tool), associado ao grupo de ameaças Gleaming Pisces.
ISH
GitLab corrige vulnerabilidade crítica de autenticação SAML que permitia by-pass
O GitLab disponibilizou atualizações de segurança para corrigir uma vulnerabilidade crítica de alta gravidade que permite o bypass da autenticação SAML. Essa falha afeta as instalações autogerenciadas do GitLab Community Edition (CE) e Enterprise Edition (EE).
ISH
CISA emite alerta sobre falha crítica no Apache HugeGraph-Server com exploração ativa
A CISA incluiu cinco novas vulnerabilidades no seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), entre elas uma falha CVE-2024-27348 categorizada como crítica de execução remota de código (RCE) que afeta o Apache HugeGraph-Server.
ISH
Vulnerabilidade crítica é identificada no GNU-Linux
Uma vulnerabilidade RCE (Remote Code Execution) não autenticada que afeta todos os sistemas GNU/Linux permite que atores remotos executem código arbitrário sem necessidade de autenticação. A vulnerabilidade possui uma base de pontuação de 9.9/10 (crítica) na estala de CVSS.
ISH
Gangues de ransomware exploram ferramentas do microsoft Azure para exfiltração
Gangues de ransomware, como BianLian e Rhysida, estão cada vez mais utilizando o Azure Storage Explorer e o AzCopy da Microsoft para exfiltrar dados de redes comprometidas, armazenando-os no Azure Blob Storage. Essa tendência representa uma evolução nas táticas de exfiltração de dados.
ISH
Broadcom lança correção para a vulnerabilidade CVE-2024-38812 crítica no VMware vCenter
A Broadcom lançou atualizações de segurança que corrige uma falha crítica no VMware vCenter Server, que poderia permitir a execução remota de código. Essa falha, representa um risco significativo para os sistemas, pois um agente malicioso pode explorá-la para comprometer empresas.
ISH
Novo Ransomware INC com alvo o setor de saúde dos EUA, alerta Microsoft
A Microsoft identificou uma nova ameaça de ransomware chamada INC, direcionada especificamente ao setor de saúde dos Estados Unidos. A Microsoft informou que está realizando o monitoramento das atividades deste agente de ameaça, o qual tem motivação financeira.
ISH
DragonRank realiza manipulação de SEO para ataques em diversas indústrias e regiões
Foi identificado uma série de atividades denominadas “DragonRank”, que se estendem por várias regiões, incluindo Tailândia, Índia, Coreia, Bélgica, Holanda e China. O DragonRank atinge uma ampla gama de setores, como joias, mídia, saúde, manufatura, transporte e outros.
ISH
Malware Hadooken tendo como alvo servidores Weblogic com fragilidades
Pesquisadores de segurança descobriram um novo malware direcionado a servidores WebLogic em sistemas Linux com fragilidades. A carga principal do malware se autodenomina Hadooken, uma referência ao golpe "surge fist" da famosa série Street Fighter.
ISH
CISA alerta sobre falha do Windows explorada em ataques de malware
A CISA emitiu um alerta de segurança para agências e empresas protegerem seus sistemas contra a vulnerabilidade zero day CVE-2024-43461 no MSHTML do Windows. Esta falha, corrigida recentemente, foi explorada em ataques pelo grupo de hackers Void Banshee APT.
ISH
RansomHub group attacked around 210 targets in key sectors
The RansomHub ransomware group has been responsible for encrypting and exfiltrating the data of at least 210 victims, as reported by the US government. This group of cybercriminals has targeted critical sectors, causing significant concern.
ISH
Patch Tuesday for September 2024 made available by Microsoft
September's Patch Tuesday brought updates for 79 flaws, including 03 actively exploited and 01 zero day disclosed. Seven critical vulnerabilities were fixed, related to remote code execution or elevation of privileges.
ISH
CosmicBeetle se une ao RansomHub para lançar o ransomware ScRansom
O grupo de ameaças CosmicBeetle criou uma nova variante de ransomware chamada ScRansom, usada em ataques a pequenas e médias empresas (PMEs) na Europa, Ásia, África e América do Sul. O grupo pode estar atuando como afiliado do RansomHub para realização de seus ataques.
ISH
Cicada3301 ransomware, new Rust threat targeting Windows and Linux systems
Researchers have uncovered details of a new ransomware variant called Cicada3301. This malware
similar to the now inactive BlackCat operation. Cicada3301 stands out for being written in Rust and targets Windows and Linux systems.
ISH
Flaws in Microsoft applications for macOS expose users to risks of unrestricted access
Cisco has discovered 08 vulnerabilities in Microsoft applications on macOS, allowing attackers to access confidential data or elevate privileges by exploiting flaws in the macOS TCC security model, which makes it possible to bypass the barriers imposed by the OS.
ISH
Progress LoadMaster presents maximum gravity RCE vulnerability
Progress Software has made available an emergency fix for a critical vulnerability CVE-2024-7591 (score of 10/10) that affects the LoadMaster and LoadMaster Multi-Tenant (MT) Hypervisor products, allowing remote execution of commands on the impacted devices.
ISH
Rocinante Trojan disguised as banking apps targets Android users in Brazil
A new strain of malware originating in Brazil, known as Rocinante, has been discovered in a new wave of banking trojans. This malware family has the ability to perform keylogging using the Accessibility Service and can steal personally identifiable information (PII).
ISH
North Korean hackers use zero day exploit in Chrome to deploy FudModule rootkit
Recently, a CVE-2024-7971 vulnerability categorized as high was identified in Google Chrome and other Chromium-based browsers. This vulnerability was exploited by North Korean agents in a zero-day attack, with the aim of distributing the FudModule rootkit.
ISH
Zyxel warns of critical command injection failure in its products
Zyxel has released security updates to fix the critical vulnerability CVE-2024-7261 in several of its enterprise routers, which could allow unauthenticated attackers to execute commands on the system. The flaw received a CVSS v3 score of 9.8 (critical).
ISH
BlackByte Ransomware exploiting VMware ESXi flaw in latest wave of attacks
O ransomware BlackByte tem mantido a eficácia de seus ataques ao empregando táticas, técnicas e procedimentos (TTPs). Eles constantemente refinam o uso de drivers vulneráveis para superar medidas de segurança e utilizam um criptografador de ransomware.
ISH
APT-C-60 exploiting vulnerability in WPS Office to deploy SpyGlace
Researchers recently identified a code execution vulnerability CVE-2024-7262 in WPS Office for Windows categorized as critical, the same one exploited by the South Korean-aligned APT-C-60 cyberespionage group.
ISH
Exploitation of Atlassian Confluence vulnerability in cryptojacking campaigns
A CVE-2023-22527, crítica no Atlassian Confluence Data Center e Server, está sendo explorada por agentes de ameaças. Ela possibilita a execução de mineração ilícita de criptomoedas em instâncias vulneráveis, ameaçando organizações que ainda não aplicaram as correções.
ISH
GitHub fixes critical security vulnerability in enterprise server
GitHub recently released patches to resolve a set of three security flaws affecting its Enterprise Server product, including a critical bug CVE-2024-6800 CVSS: 9.5 that could be exploited to obtain site administrator privileges.
ISH
New 'sedexp' malware for Linux uses Udev rules to hide credit card skimmers
Security researchers have identified a new stealthy malware for Linux called "sedexp". This malware employs an innovative technique to ensure persistence on compromised systems and hide credit card skimmer code.
ISH
PG_MEM malware attacks PostgreSQL databases for cryptocurrency mining
Security researchers have identified PG_MEM, a new malware that compromises PostgreSQL databases through brute force attacks. After gaining access, the malware delivers payloads to hide its activities and mine cryptocurrencies.
ISH
New macOS TodoSwift malware linked to North Korean hackers observed in attacks
Security researchers have identified a new variant of malware for macOS called TodoSwift. This malware has similar characteristics to other malicious software previously attributed to North Korean hacker groups.
ISH
Critical security vulnerability in the LiteSpeed Cache WordPress plugin
Cybersecurity experts have identified a critical vulnerability CVE-2024-28000 in the LiteSpeed Cache WordPress plugin, making it possible for unauthenticated users to gain administrator access and carry out any activities.
ISH
Qilin observed stealing credentials stored in Chrome
Threat actors in a recent attack associated with the Qilin ransomware stole credentials stored in Google Chrome on some compromised endpoints, highlighting the ongoing threat from ransomware groups to organizations' valuable sensitive data.
ISH
CISA adds critical Jenkins flaw CVE-2024-23897 to its KEV catalog
CISA has added a new vulnerability to its Catalog of Known Exploited Vulnerabilities (KEV), based on evidence of active exploits, highlighting the importance of its mitigation due to the risk of attacks by malicious actors.
ISH
Critical flaw in PHP allows remote code execution on Windows servers
The critical security flaw CVE-2024-4577 has been discovered in PHP, allowing remote code execution under certain conditions. Due to the widespread use of PHP on the web and the ease of exploitation, this vulnerability requires special attention.
ISH
US oil company Halliburton confirms that cyber attack disrupted its systems
Halliburton, one of the largest global providers of services to the energy sector, has confirmed that it was the target of a cyber attack last week, which forced the company to temporarily disable some of its critical systems.
ISH
Microsoft fixes serious flaw exploited by North Korea's Lazarus Group
A recently patched security vulnerability in Microsoft Windows was exploited as a zero day by the Lazarus Group, a notorious hacking team linked to North Korea, known for sophisticated cyber attacks, including cryptocurrency theft and espionage.
ISH
New variant of the Gafgyt botnet targets weak SSH passwords to mine cryptocurrencies
A new variant of the Gafgyt botnet has been identified, which targets machines with weak SSH passwords to mine cryptocurrencies. Using the GPU computing power of the compromised instances, this variant poses a significant security threat to vulnerable devices.
ISH
Cloud attack tool uses APIs for bulk SMS phishing
Malicious actors are using the Xeon Sender cloud attack tool to carry out large-scale phishing and SMS spam campaigns by exploiting legitimate services to carry out their malicious activities.
ISH
RansomHub adopts new tool to disable EDR in recent attacks
A group of cybercriminals associated with the RansomHub ransomware has been identified using a new tool called (EDRKIllShifter) designed to disable endpoint detection and response (EDR) software on compromised systems.
ISH
Windows TCP/IP remote code execution vulnerability
Microsoft has issued an alert recommending that customers patch the critical CVE-2024-38063 remote code execution (RCE) vulnerability in the TCP/IP protocol, which has a high probability of exploitation. The flaw affects all Windows systems that use IPv6, which is enabled by default.
ISH
Flaws in Zimbra Collaboration allow code execution and local inclusion of files
Three security vulnerabilities in the Zimbra Collaboration Suite (ZCS) were recently alerted and corrected, highlighting serious security concerns for system administrators using this platform as they allow code execution and the local inclusion of files.
ISH
Vulnerability allows unauthorized access to Rockwell Automation devices
A security flaw CVE-2024-6242 categorized as high in Rockwell Automation's ControlLogix 1756 devices was recently alerted, which can be exploited to execute configuration and programming commands via the Common Industrial Protocol (CIP).
ISH
Microsoft warns of several important vulnerabilities in OpenVPN
Microsoft has identified several vulnerabilities in OpenVPN, attackers could remotely chain and exploit some of the discovered vulnerabilities to achieve an attack chain consisting of remote code execution (RCE) and local privilege escalation (LPE).
ISH
FreeBSD releases emergency update for serious OpenSSH flaw
Those responsible for the FreeBSD Project have released security updates to correct a serious flaw in OpenSSH. This vulnerability, identified as CVE-2024-7589, CVSS of 8.1, indicating high severity. Attackers could exploit this flaw to execute arbitrary code remotely.
ISH
Critical Bitdefender flaw allows attackers to unleash SSRF attacks
Bitdefender has released an update to fix a critical security flaw identified as CVE-2024-6980, which allows attackers to execute server-side request forgery (SSRF) attacks, compromising sensitive data and systems.
ISH
Google adds new layer of protection to Chrome browser
Google has announced that it is adding a new layer of protection to the Chrome browser through what is called app-bound encryption to prevent Infostealer-type malware attacks and improve cookie protection on Windows systems.
ISH
Exploitation of Cloudflare tunnels by cybercriminals to spread malware
A malicious campaign has been identified that exploits the TryCloudflare service. The actors use this service to establish a communication tunnel that allows malicious traffic from the attacker's server to a local device, camouflaging their actions through Cloudflare's infrastructure.
ISH
Critical flaw in Acronis cyber infrastructure being exploited in attacks
Acronis has issued an alert for customers to remediate a critical cyberinfrastructure vulnerability, CVE-2023-45249 (CVSS score: 9.8), which allows attackers to bypass authentication on vulnerable servers using default credentials.
ISH
OneDrive users targeted in phishing scam that runs malicious script
Cybersecurity experts have warned of a recent highly sophisticated phishing campaign that is targeting Microsoft OneDrive users, with the intention of executing a malicious PowerShell script using social engineering tactics.
ISH
Massive Stealer SMS campaign targeting hundreds of countries in its attacks
A malicious campaign targeting Android devices worldwide was recently discovered using thousands of Telegram bots to infect devices with malware that steals SMS and 2FA one-time passwords (OTPs) for more than 600 services.
ISH
ServiceNow's critical RCE flaws being exploited in attacks
It has recently been observed that threat actors are chaining ServiceNow flaws CVE-2024-4879, CVE-2024-5217 and CVE-2024-5178 and using public exploits to breach government agencies and private organizations in data theft attacks.
ISH
Malicious PyPI package targets macOS to steal Google Cloud credentials
Cybersecurity researchers have identified a malicious package on the Python Package Index (PyPI) that specifically targets Apple macOS systems with the intention of extracting Google Cloud credentials from a specific set of users for malicious purposes.
ISH
Ransomware operators exploiting ESXi hypervisor vulnerability in attacks
Microsoft recently warned that the flaw identified as CVE-2024-37085, a vulnerability in ESXi hypervisors, is being exploited by various ransomware operators to obtain full administrative permissions on domain-joined ESXi hypervisors.
ISH
FrostyGoop malware: Threat against critical infrastructure, exploiting Modbus protocol
Dragos has released a report on the FrostyGoop malware, a new malware focused on industrial control systems (ICS). FrostyGoop has the ability to interact with ICS via the Modbus protocol, used in industrial sectors and organizations around the world.
ISH
New Linux variant of Ransomware Play targets VMware ESXi systems
A new variant of the Play ransomware, also known as Balloonfly and PlayCrypt, has been identified by cybersecurity researchers. This variant, which operates on the Linux operating system, has been specifically designed to attack VMware ESXi environments.
ISH
Fix for CVE-2024-41110, Docker Engine critical severity flaw
Docker has released security updates to fix a critical vulnerability in some versions of Docker Engine, which could allow an attacker to bypass authorization plug-ins (AuthZ) in certain situations. This flaw has been assigned as CVE-2024-41110 (CVSS 9.9).
ISH
Critical flaw in Cellopoint Secure Email Gateway allowing remote code execution
A critical flaw, CVE-2024-6744, has been identified in the Cellopoint Secure Email Gateway. This vulnerability, which received a CVSS score of 9.8, represents a significant threat to organizations using this email security system.
ISH
Apache HugeGraph-Server vulnerability, CVE-2024-27348 under exploitation
Shadowserver recently reported a critical Apache HugeGraph-Server vulnerability, CVE-2024-27348 (CVSS: 9.8). Proofs of concept (PoC) have been published by security researchers, demonstrating how the vulnerability can be exploited.
ISH
Scattered Spider incorporates RansomHub and Qilin Ransomware in cyber attacks
The cybercriminal group, Scattered Spider, recently expanded its arsenal of attacks with the inclusion of ransomware variants such as RansomHub and Qilin, as reported by Microsoft. Famous for advanced social engineering tactics to compromise targets.
ISH
Malicious actor selling OpenSSH Command Injection exploit version 9.6
A malicious actor was spotted on a hacker forum selling a possible Command Injection exploit in OpenSSH version 9.6. According to the announcement, the code can be used remotely (RCE), and claims that this exploit has been tested and proven.
ISH
Crowdstrike update failure causes global service outage
Endpoint security company Crowdstrike has released an update that is causing widespread "blue screens of death" (BSOD)
on Windows systems. It has announced that it is only available after logging into the support platform, where there is a brief public statement.
ISH
Akira Ransomware attack on Latin America's airline industry
An attack involving the Akira ransomware has been identified, targeting an airline in Latin America. The threat actor gained access to the company's network via the Secure Shell (SSH) protocol and managed to extract sensitive data before releasing the Akira ransomware the following day.
ISH
Coyote targeting financial institutions in Latin America, with a focus on Brazil
The banking Trojan called Coyote, developed in .NET, mainly targets Brazilian financial institutions, especially banks. It usually spreads via phishing emails, compromised websites or malicious downloads disguised as legitimate software.
ISH
Ransomware group taking advantage of vulnerability in Veeam Backup software
Researchers have recently identified a new group of ransomware exploiting the CVE-2023-27532 vulnerability in Veeam backup software. This malicious group uses sophisticated tactics to target unprotected systems and carry out harmful activities.
ISH
APT41 enhances malware arsenal with additions of DodgeBox and MoonWalk
The APT41 group, associated with China and known for its advanced persistent threats (APT), is allegedly employing an enhanced version of the StealthVector malware. This updated version is used to deploy an unprecedented backdoor, called MoonWalk.