A semana inclui roubo de documentos na Scania, possível exposição de dados na Aflac, intrusões ligadas a telecomunicações e correções para CVE-2025-23121, CVE-2025-5349 e CVE-2025-5777.
| Componente | Ambientes corporativos, seguradoras, telecomunicações, plataformas de certificação veterinária, bancos, repositórios de código, produtos Veeam Backup & Replication, NetScaler ADC e NetScaler Gateway. |
| Vetor | Uso de credenciais comprometidas, dispositivo comprometido, contas de e-mail Microsoft, SMS phishing, repositórios GitHub com mods falsos, comandos maliciosos em páginas de entrevista falsa e exploração condicionada de vulnerabilidades autenticadas ou expostas. |
| Impacto | Roubo de documentos, possível exposição de dados pessoais, financeiros e médicos, interrupção operacional, acesso não autorizado a sistemas, execução remota de código em servidor de backup e leitura de memória em gateway exposto. |
| Prioridade | Revogar credenciais de terceiros, validar acessos recentes, aplicar atualizações de Veeam e Citrix, revisar telemetria de identidade, isolar endpoints suspeitos e procurar exfiltração em serviços de colaboração, navegadores e carteiras. |
| Versões | O material analisado confirma correções para CVE-2025-23121 no Veeam Backup & Replication e para CVE-2025-5349 e CVE-2025-5777 em NetScaler ADC e NetScaler Gateway, sem detalhar números de versão vulnerável. |
| Artefatos | Foram citados documentos de sinistros de seguro, tokens de conta Minecraft, credenciais de Discord e Telegram, dados de navegador, dados de carteiras de criptomoedas, detalhes de VPN e páginas falsas de departamentos estaduais de veículos. |
A atualização semanal concentra eventos de naturezas diferentes, mas com uma característica comum: credenciais, identidade e serviços expostos continuam sendo o caminho inicial mais citado. Há incidentes com roubo de documentos em sistemas financeiros, possível vazamento de dados de segurados, intrusão em comunicação por satélite, comprometimento de caixas de e-mail corporativas e interrupção de plataformas transacionais. O conjunto também inclui falhas corrigidas em produtos de backup e gateway, além de campanhas voltadas a usuários finais, desenvolvedores de jogos, profissionais de criptoativos e cidadãos induzidos por mensagens SMS.
Para operação defensiva, a leitura técnica deve separar impacto confirmado de risco condicionado. Em Scania e Zoomcar há exposição de dados declarada. Em Aflac há indicação de possível roubo de informações sensíveis em grande escala. Em Viasat não há evidência informada de impacto a clientes, embora o acesso não autorizado tenha ocorrido por um dispositivo comprometido. Nas falhas de Veeam e Citrix, o risco depende de pré-condições como usuário de domínio autenticado, interface de gerenciamento ou configuração de gateway, mas o impacto potencial justifica correção priorizada.
A Scania sofreu um vazamento envolvendo sistemas de Financial Services, com roubo de documentos de sinistros de seguro. O vetor descrito foi o uso de credenciais comprometidas de um parceiro externo de TI, o que transforma a investigação em um caso de identidade federada, acesso de terceiro e privilégio efetivo dentro de sistemas financeiros. Os documentos roubados provavelmente contêm informações pessoais, financeiras ou médicas, devido à natureza de processos de sinistro e indenização.
O ator denominado Hensi foi associado ao episódio e publicou amostras dos dados em fóruns após uma tentativa de extorsão. Para resposta, a prioridade é reconstruir o escopo do acesso concedido ao parceiro externo, identificar sessões iniciadas com as credenciais comprometidas, mapear exportações ou downloads de documentos e verificar se houve alteração de permissões, criação de contas auxiliares ou uso de canais alternativos para exfiltração.
- Credenciais de parceiro externo usadas como ponto de entrada.
- Documentos de sinistros de seguro foram roubados.
- Amostras dos dados foram publicadas após tentativa de extorsão.
A seguradora Aflac relatou um vazamento em que invasores podem ter obtido informações sensíveis de clientes. Os dados citados incluem informações pessoais e de saúde, números de Social Security, detalhes de sinistros e outros documentos pessoais. A superfície de impacto envolve usuários nos Estados Unidos e no Japão, com possibilidade de milhões de pessoas afetadas, embora o conjunto exato de registros comprometidos precise ser confirmado por análise forense e notificação individual.
Em ambientes de seguro, dados de sinistro e saúde têm valor elevado para fraude, engenharia social e abertura de contas indevidas. O hunting deve priorizar acessos anômalos a repositórios documentais, consultas em massa, exportações fora do padrão, uso de contas com acesso amplo e atividade em horários incompatíveis com o perfil do usuário. A contenção exige rotação de credenciais, revisão de permissões por função, preservação de logs e validação de controles de prevenção de perda de dados.
- Dados de saúde e documentos pessoais foram indicados como possivelmente roubados.
- Clientes nos Estados Unidos e no Japão podem estar no escopo.
- Números de Social Security e detalhes de sinistros estão entre os tipos de dado citados.
A Viasat sofreu um ataque com acesso não autorizado por meio de um dispositivo comprometido. A empresa indicou não haver evidência de impacto a clientes, mas o evento se alinha a atividades atribuídas ao grupo Salt Typhoon, associado à China e conhecido por operações contra redes de telecomunicações. A relevância operacional está na possibilidade de movimentação a partir de um ativo periférico ou mal gerenciado para segmentos sensíveis de infraestrutura de comunicação.
A investigação deve preservar imagem e telemetria do dispositivo comprometido, revisar conexões de entrada e saída, identificar contas usadas no ativo, procurar túneis, alterações de configuração e conexões persistentes para endereços externos. Em telecomunicações e comunicação por satélite, segmentação, inventário de dispositivos e autenticação forte em planos de gerenciamento são controles essenciais, porque um único equipamento comprometido pode servir como ponte para observação de tráfego ou reconhecimento interno.
- O acesso não autorizado ocorreu por dispositivo comprometido.
- Não foi informada evidência de impacto a clientes.
- A atividade foi alinhada ao padrão de operações do
Salt Typhoon.
O Washington Post investiga um ataque contra contas Microsoft de e-mail pertencentes a jornalistas, com foco em profissionais das áreas de segurança nacional e política econômica que cobrem China. O perfil dos alvos indica interesse em comunicações, fontes, pautas, documentos de apuração e contatos sensíveis. A suspeita de envolvimento de governo estrangeiro exige cautela na atribuição, mas a seleção de contas é consistente com coleta de inteligência sobre temas estratégicos.
A organização realizou redefinição de senhas em toda a empresa. Além disso, a resposta deve incluir invalidação de sessões, revisão de tokens de atualização, checagem de regras de caixa postal, encaminhamentos automáticos, aplicativos OAuth autorizados e acessos via protocolos legados. Em incidentes de e-mail, trocar senha sem revogar sessões e consentimentos de aplicativos pode deixar o invasor com persistência válida mesmo após a alteração da credencial.
- Contas Microsoft de jornalistas foram alvo da intrusão.
- As equipes de segurança nacional e política econômica foram destacadas.
- A organização executou redefinição de senhas em escala corporativa.
O sistema estatal russo de vigilância veterinária, VetIS, sofreu um ataque que retirou do ar a plataforma Mercury, usada para certificação de produtos de origem animal. O impacto foi operacional: empresas tiveram de retornar a certificados veterinários em papel, causando desorganização na cadeia de suprimentos e interrupção na entrega de mercadorias a varejistas como Lenta e Yandex Lavka.
Este caso demonstra que sistemas setoriais de certificação funcionam como dependência crítica para logística. Mesmo sem confirmação de roubo de dados ou malware específico, a indisponibilidade de uma plataforma de autorização pode bloquear movimentação de produtos físicos. A resposta deve priorizar restauração controlada, verificação de integridade de registros, reconciliação entre documentos em papel e registros digitais, além de análise de logs administrativos antes de reativar fluxos automatizados.
Mercuryficou indisponível para certificação de produtos de origem animal.- Empresas voltaram a usar documentação em papel.
- Entregas a varejistas foram afetadas pela interrupção.
O Banco Sepah, no Irã, sofreu um ataque que causou interrupções em acesso a contas, saques e pagamentos com cartão. A atividade também pode ter impactado transações em postos de combustível dependentes dos sistemas do banco. O grupo Predatory Sparrow reivindicou a ação e afirmou motivação política relacionada ao suposto apoio do banco a programas militares e nucleares iranianos.
A prioridade técnica em incidentes bancários com interrupção de serviço é distinguir indisponibilidade de infraestrutura, corrupção de dados transacionais e bloqueio deliberado de componentes críticos. Equipes de resposta devem preservar logs de core banking, gateways de pagamento, sistemas de cartão, canais digitais e integrações com pontos de venda. Também é necessário validar saldos, autorizações pendentes, filas de transação e reconciliação financeira antes da retomada plena.
- Clientes tiveram problemas em acesso a contas, saques e pagamentos com cartão.
- Transações em postos de combustível podem ter sido afetadas.
Predatory Sparrowreivindicou responsabilidade pelo ataque.
A empresa indiana Zoomcar sofreu um vazamento com roubo de informações pessoais de aproximadamente 8,4 milhões de usuários. O conjunto comprometido inclui nomes, telefones, detalhes de registro de veículos, endereços e e-mails. O contexto informado indica que dados financeiros e senhas parecem não ter sido afetados, e nenhum ator assumiu responsabilidade até o momento.
Mesmo sem senhas e dados financeiros, a combinação de identidade, contato, endereço e registro de veículo permite golpes direcionados, falsos avisos de trânsito, extorsão e tentativas de engenharia social contra motoristas. A resposta deve incluir análise do caminho de extração, revisão de consultas em massa, auditoria de APIs, chaves de serviço e contas administrativas, além de comunicação a usuários com orientação específica sobre mensagens fraudulentas usando dados de veículo.
- Aproximadamente 8,4 milhões de usuários foram afetados.
- Nomes, telefones, e-mails, endereços e dados de registro de veículos foram citados.
- Não há indicação informada de comprometimento de senhas ou dados financeiros.
A vulnerabilidade CVE-2025-23121 foi corrigida no Veeam Backup & Replication. A falha permite execução remota de código no Backup Server por usuários de domínio autenticados. A pré-condição é relevante: não se trata de uma execução anônima indicada no contexto, mas de um cenário em que uma conta de domínio válida pode acionar o problema e obter capacidade de executar código no servidor responsável por cópias de segurança.
Servidores de backup são ativos de alto valor porque concentram credenciais, cópias de sistemas críticos, rotinas de restauração e, em muitos ambientes, acesso administrativo a múltiplos segmentos. A exploração bem-sucedida pode permitir manipulação de backups, preparação para extorsão, destruição de pontos de restauração ou movimentação lateral. A mitigação deve aplicar a atualização, restringir quais usuários de domínio interagem com o servidor, revisar sessões recentes e procurar criação ou alteração de jobs, repositórios e credenciais armazenadas.
CVE-2025-23121afeta Veeam Backup & Replication.- A exploração requer usuário de domínio autenticado.
- O impacto confirmado é execução remota de código no Backup Server.
A Citrix publicou correções para duas vulnerabilidades em NetScaler ADC e NetScaler Gateway. A CVE-2025-5349 envolve controle de acesso impróprio na interface de gerenciamento. A CVE-2025-5777 é uma leitura excessiva de memória causada por validação insuficiente de entrada quando o produto está configurado como Gateway. Não foi confirmada exploração ativa no material analisado, mas a exposição típica desses componentes aumenta a prioridade de atualização.
O risco técnico combina gerenciamento exposto e acesso a dados sensíveis em memória. Em appliances de borda, a interface administrativa deve estar isolada de redes não confiáveis, com autenticação forte e acesso limitado por origem. Para o caso de leitura de memória, a caça deve procurar respostas anômalas, falhas em processos, acessos repetitivos a rotas de gateway, comportamento incomum de sessão e tentativas de enumeração. A correção deve ser acompanhada de revisão de configuração e logs, não apenas instalação de patch.
CVE-2025-5349envolve controle de acesso impróprio na interface de gerenciamento.CVE-2025-5777envolve leitura excessiva de memória por validação insuficiente de entrada.- O cenário de
CVE-2025-5777depende da configuração como Gateway.
Uma campanha em múltiplos estágios mira usuários de Minecraft por meio de repositórios maliciosos no GitHub associados à rede Stargazers Ghost Network. Os repositórios se passam por mods legítimos e iniciam a infecção com um downloader Java disfarçado de mod. Após a execução, a cadeia baixa componentes de roubo de informações e coleta artefatos sensíveis do usuário.
Os dados visados incluem tokens de conta Minecraft, credenciais de Discord e Telegram, informações de navegador, dados de carteiras de criptomoedas e detalhes de serviços VPN. O ator foi descrito como falante de russo. Para defesa, é essencial bloquear execução de mods obtidos fora de fontes confiáveis, inspecionar arquivos Java adicionados a diretórios de jogos, analisar conexões iniciadas após a instalação e remover tokens expostos, porque o roubo de sessão pode continuar válido mesmo após a limpeza do arquivo inicial.
- Repositórios GitHub imitavam mods legítimos de Minecraft.
- A primeira etapa usa downloader Java disfarçado de mod.
- A cadeia coleta tokens, credenciais, dados de navegador, carteiras e detalhes de VPN.
Uma campanha de phishing atingiu cidadãos dos Estados Unidos ao se passar por departamentos estaduais de veículos, conhecidos como DMVs. As mensagens SMS informavam falsas violações de pedágio e levavam as vítimas a sites clonados. O objetivo era coletar dados pessoais e financeiros, usando a urgência de uma cobrança administrativa como gatilho de interação.
A análise técnica citou infraestrutura compartilhada, kits de phishing com ativos de front-end reutilizados e comentários em código em chinês, levando à avaliação de provável origem na China. Em defesa, provedores e equipes de fraude devem correlacionar domínios recém-criados, páginas com marcas estaduais copiadas, formulários que pedem pagamento e mensagens SMS com URLs encurtadas ou domínios não oficiais. Usuários afetados devem ter cartões monitorados e dados pessoais tratados como expostos quando foram inseridos na página falsa.
- Mensagens SMS simulavam avisos de violação de pedágio.
- Sites clonados de DMV coletavam dados pessoais e financeiros.
- A infraestrutura mostrou reutilização de kits e ativos de front-end.
Pesquisadores identificaram uma versão em Python do RAT GolangGhost, chamada PylangGhost, usada pelo grupo Famous Chollima, ligado à Coreia do Norte. A atividade está ativa desde maio de 2025 e foca Windows. Os alvos descritos são profissionais de criptomoedas e blockchain na Índia, abordados por sites falsos de entrevista de emprego ou teste de habilidades.
A técnica de entrega depende de induzir a vítima a executar comandos maliciosos durante um suposto processo seletivo. Esse fluxo reduz a necessidade de exploração de navegador e transfere a execução para o próprio usuário, que acredita estar realizando uma tarefa técnica. A contenção exige inventário de comandos executados, análise de histórico de shell, verificação de persistência em inicialização, isolamento de máquinas usadas em entrevistas suspeitas e rotação de credenciais relacionadas a exchanges, carteiras, repositórios e ferramentas de desenvolvimento.
PylangGhosté uma variante em Python associada ao GolangGhost.Famous Chollimafoi vinculado à atividade.- Sites falsos de entrevista induzem vítimas a executar comandos maliciosos.
A telemetria deve ser organizada por vetor. Para identidade, procure autenticações de parceiros fora de padrão, elevação de privilégio, logins impossíveis, novos dispositivos, consentimentos OAuth e regras de encaminhamento em e-mail. Para vulnerabilidades, priorize logs de Veeam Backup Server, interfaces administrativas de NetScaler, gateways expostos e eventos de crash ou resposta anômala. Para malware e phishing, correlacione execução de Java, comandos copiados de sites de entrevista, conexões a domínios recém-criados e formulários que recebem dados financeiros.
Os incidentes também exigem validação de exfiltração. Em repositórios documentais, procure exportações em massa, downloads sequenciais, consultas por identificadores de cliente e compressão de diretórios. Em endpoints, colete histórico de navegador, artefatos de download, execução de binários ou scripts, persistência e conexões de saída. Em ambientes de backup, qualquer alteração inesperada em jobs, credenciais, repositórios e políticas de retenção deve ser tratada como sinal crítico.
- Autenticações de terceiros com origem, horário ou volume incompatível com o uso normal.
- Criação de regras de e-mail, encaminhamentos automáticos e consentimentos OAuth não reconhecidos.
- Execução de arquivos Java relacionados a mods de Minecraft obtidos no GitHub.
- Comandos executados após acesso a páginas de entrevista ou testes técnicos falsos.
- Consultas ou exportações em massa de documentos de seguro, sinistros, clientes ou veículos.
- Alterações recentes em jobs, credenciais e repositórios do Veeam Backup & Replication.
A ordem de resposta deve começar por controle de identidade e redução de exposição. Credenciais de terceiros e contas com acesso amplo precisam ser revogadas ou rotacionadas, sessões ativas invalidadas e autenticação multifator verificada. Interfaces administrativas de NetScaler devem ficar restritas a redes de gestão, e servidores de backup devem aceitar somente contas necessárias. Em paralelo, aplique as correções disponíveis para Veeam Backup & Replication, NetScaler ADC e NetScaler Gateway.
Depois da contenção inicial, valide integridade e recuperação. Ambientes de backup exigem teste de restauração e confirmação de que pontos de recuperação não foram alterados. Organizações com vazamento de dados devem identificar registros afetados, preservar evidência, revisar trilhas de auditoria e preparar notificação com tipos de dado expostos. Para campanhas contra usuários, bloqueie domínios e repositórios identificados internamente, remova tokens roubados, reemita credenciais e monitore uso indevido de dados pessoais em golpes subsequentes.
- Aplicar atualizações para
CVE-2025-23121,CVE-2025-5349eCVE-2025-5777conforme os fornecedores disponibilizaram correções. - Revogar credenciais comprometidas de parceiros, invalidar sessões e revisar permissões concedidas.
- Isolar dispositivos comprometidos e preservar imagem, logs e conexões recentes antes da limpeza.
- Restringir interfaces de gerenciamento e gateways a redes autorizadas com autenticação forte.
- Rotacionar tokens, credenciais de mensageria, carteiras, VPNs e contas de desenvolvimento quando houver execução de malware.
- Testar restauração de backups e revisar alterações recentes em políticas de retenção e repositórios.
0 Comentários