< Back
Pink keyboard

Tags:

Threat intelligence
13 Agosto 2025

Resumo semanal dos ciberataques 07-13 de agosto

Curly COMrades, ligados à Rússia, espalham malware MucorAgent na Europa

A Bitdefender Labs detalhou uma campanha de espionagem realizada por um novo grupo chamado “Curly COMrades”, que opera em apoio a interesses russos e está ativo desde meados de 2024. Os seus principais alvos são organizações críticas afetadas por mudanças geopolíticas, incluindo órgãos judiciais e governamentais na Geórgia, bem como uma empresa de distribuição de energia na Moldávia. O grupo procura principalmente a persistência a longo prazo e o roubo de credenciais para facilitar movimentos laterais, recolha e exfiltração de dados. As suas operações fazem uso intensivo de proxies de retransmissão, principalmente Resocks construídos a partir de binários Go ofuscados, além de um servidor SOCKS5 personalizado, SSH com reencaminhamento de portas remotas e Stunnel/tstunnel para encriptar o tráfego TCP, proporcionando múltiplos canais de acesso e execução redundantes. A persistência é reforçada por tarefas e serviços programados e, especialmente, por uma nova backdoor .NET chamada MucorAgent. A MucorAgent opera em três fases: primeiro carrega uma segunda etapa .NET que decifra e executa uma payload do PowerShell sem invocar o powershell.exe; de seguida, encripta o resultado com AES, comprime-o com GZIP e exfiltra-o através do curl.exe, fazendo-o passar por ficheiros PNG e guardando os resultados em error.jpg. O grupo também implementa Remote Utilities (RuRat) como ponto de apoio RMM e utiliza um transportador de dados personalizado ligado ao libcurl, apelidado de “CurlCat” (imitando o GoogleUpdate.exe), que transmite STDIN/STDOUT via HTTPS para servidores web comprometidos.

Informações confidenciais do grupo hacker norte-coreano Kimsuky expostas

O grupo de hackers patrocinado pelo Estado norte-coreano Kimsuky sofreu uma suposta fuga de dados depois de dois indivíduos, que se identificam como “Saber” e “cyb0rg”, se infiltrarem nos seus sistemas e divulgarem publicamente informações internas. Os atacantes, que afirmam se opor às operações políticas do Kimsuky, publicaram parte do backend do grupo na última edição da revista hacker Phrack, distribuída na DEF CON 33. O conjunto de dados, de 8,9 GB hospedado no portal Distributed Denial of Secrets, inclui registos de phishing contra e-mails do governo e do exército sul-coreano, o código-fonte completo da plataforma de e-mail “Kebi” do Ministério das Relações Exteriores da Coreia do Sul, listas de professores e certificados de cidadãos, kits de phishing e binários maliciosos desconhecidos. Outros dados revelam loaders Cobalt Strike, shells reversos, módulos proxy Onnara, histórico do Chrome vinculado a contas suspeitas no GitHub, registos de compra de VPN, históricos do Bash com conexões SSH internas e navegação em sites governamentais e militares de Taiwan. Embora alguns elementos já fossem parcialmente conhecidos, a fuga liga ferramentas, infraestrutura e campanhas, o que poderia comprometer operações em curso do Kimsuky. Embora os especialistas acreditem que o efeito a longo prazo possa ser limitado, espera-se que a quebra interrompa campanhas ativas e destrua ativos operacionais. A versão online do Phrack #72 estará disponível nos próximos dias.

Foram detetadas múltiplas vulnerabilidades em sistemas de rádio TETRA, expondo comunicações de forças de segurança, exército e infraestruturas críticas

Foram reveladas nove vulnerabilidades anteriormente desconhecidas que afetam o padrão TETRA (Terrestrial Trunked Radio) e equipamentos utilizados em todo o mundo por forças policiais, unidades militares e operadores de infraestruturas críticas. A investigação revela três vulnerabilidades na camada de encriptação de extremo a extremo (E2EE), uma proteção adicional normalmente utilizada para comunicações altamente sensíveis (agências de inteligência, forças especiais, unidades secretas), e outras seis vulnerabilidades que afetam tanto o padrão TETRA como os dispositivos dos fabricantes. Entre as vulnerabilidades E2EE, descobertas através de engenharia reversa de dispositivos Sepura Gen 3 (série SC20, por exemplo), estão incluídas: CVE-2025-52941, um algoritmo enfraquecido que reduz chaves AES-128 para 56 bits, quebrável com poder de computação moderado; CVE-2025-52940, que permite a injeção ou repetição de tráfego de voz arbitrário; e CVE-2025-52942, que permite a repetição de mensagens de texto sem deteção. Estas vulnerabilidades podem comprometer gravemente a confidencialidade e autenticidade das comunicações, degradando a segurança da já comprometida camada AIE.

Nova ferramenta do tipo EDR killer usada por oito grupos diferentes de ransomware

Investigadores de segurança descobriram uma nova e sofisticada ferramenta para eliminar o Endpoint Detection and Response (EDR), usada ativamente por pelo menos oito grupos diferentes de ransomware, incluindo RansomHub, Blacksuit, Medusa, Qilin, DragonForce, Crytox, Lynx e INC. Projetada para neutralizar a proteção de endpoints antes de encriptar os ficheiros, esta ferramenta representa um avanço importante nas capacidades ofensivas coordenadas entre operações de ransomware. Desde 2022, o uso de malware para desativar EDR tem crescido, com muitas variantes compradas em mercados clandestinos e ofuscadas com plataformas comerciais como o HeartCrypt. Embora cada grupo use a sua própria versão, a adoção do mesmo método proprietário para eliminar EDR e o uso do serviço HeartCrypt indicam algum nível de coordenação ou fornecedor comum dentro do ecossistema de ransomware. Os investigadores alertam que essa colaboração dificulta as estratégias defensivas, uma vez que as capacidades e os métodos de entrega continuam a diversificar-se. Foram publicados Indicadores de Compromisso (IoCs) no repositório GitHub dos investigadores.

Os grupos de ransomware Royal e BlackSuit afetam mais de 450 empresas nos EUA.

A 7 de agosto de 2025, agências de segurança dos EUA, em coordenação com parceiros internacionais, confirmaram o desmantelamento bem-sucedido da infraestrutura crítica do grupo de ransomware BlackSuit, responsável por acumular mais de US$ 370 milhões em pagamentos de resgate. A operação, liderada pela Homeland Security Investigations (HSI) do ICE em Washington D.C., atacou servidores, domínios e ativos digitais usados pelo grupo para distribuir ransomware, extorquir vítimas e lavar fundos ilícitos. O BlackSuit é reconhecido como o sucessor direto do grupo Royal, ativo desde 2022 e ligado a mais de 450 vítimas conhecidas nos EUA dos setores de saúde, educação, segurança pública, energia e administração pública. Ambos os grupos operavam com táticas de dupla extorsão, encriptando os sistemas das vítimas e ameaçando divulgar dados roubados para aumentar a pressão pelo pagamento. A operação, chamada “Operation Checkmate”, foi coordenada pela Joint Cyber Action Task Force da Europol e envolveu a cooperação do FBI, a unidade de crimes cibernéticos do IRS, a Europol, a National Crime Agency do Reino Unido, a Landeskriminalamt Niedersachsen da Alemanha, a An Garda Síochána da Irlanda, o Departamento de Polícia Cibernética Nacional da Ucrânia, o Gabinete Anticrime Cibernético da França, a Polícia Montada Real Canadiana e o Departamento de Polícia Delta, entre outros. O caso está a ser processado pelo Ministério Público do Distrito Leste da Virgínia (EUA), com colaboração internacional contínua para perseguir a responsabilidade legal dos operadores por trás do Royal e do BlackSuit. As autoridades enfatizaram que a desarticulação não só eliminou a infraestrutura maliciosa, mas também atingiu a base financeira e operacional de um grupo que visa persistentemente infraestruturas críticas nos EUA, com o objetivo de prevenir futuras vítimas entre empresas e serviços essenciais em todo o mundo.