A semana reuniu vazamentos em grandes varejistas, ransomware contra infraestrutura pública e privada, exploração ativa de CVE-2025-53770, correções críticas no Chrome e no VMware, além de novas cadeias de engenharia social com FileFix e Matanbuchus 3.0.
| Componente | Ambientes de varejo, infraestrutura crítica, Microsoft SharePoint Server, Google Chrome, VMware ESXi, Workstation, Fusion e Tools, além de cadeias de infecção com FileFix, Quick Assist e Matanbuchus 3.0. |
| Vetor | Acesso não autorizado a sistemas e banco de dados de terceiro, ransomware, desfiguração de site, tentativas de infiltração direcionada, páginas HTML maliciosas, exploração de falhas em SharePoint e abuso de suporte remoto com engenharia social. |
| Impacto | Exfiltração de dados pessoais, interrupção operacional, destruição de sistemas e backups, possível execução remota de código, escape de sandbox do navegador, execução convidado-para-hospedeiro em virtualização e entrega de malware com execução em memória. |
| Prioridade | Aplicar correções de SharePoint, Chrome e VMware, revisar exposição de terceiros, auditar uso de ferramentas de suporte remoto, caçar sinais de PowerShell iniciado por navegador ou Quick Assist e validar restauração de backups em ambientes afetados por ransomware. |
| Versões | Chrome anterior a 138.0.7204.157 é afetado por CVE-2025-6558; VMware corrigiu CVE-2025-41236 a CVE-2025-41239; SharePoint tem exploração associada a CVE-2025-53770, variante relacionada a CVE-2025-49706. |
| Artefatos | ToolShell, CVE-2025-53770, CVE-2025-49706, CVE-2025-6558, ANGLE, GPU, FileFix, PowerShell, Quick Assist, DLL side-loading, Matanbuchus 3.0, DragonForce, Devman, Scattered Spider, UNC3886 e NoName057(16). |
A semana concentrou incidentes de natureza distinta, mas com um padrão operacional comum: adversários combinaram acesso inicial por terceiros, abuso de confiança, exploração de vulnerabilidades recém-divulgadas e pressão por indisponibilidade. Em varejo, os casos de Louis Vuitton e Co-op envolveram exposição de dados pessoais de clientes sem confirmação de comprometimento de informações financeiras. Em infraestrutura e serviços essenciais, os casos envolvendo NovaBev, Ministério do Trabalho da Tailândia, infraestrutura crítica de Singapura e Gaskar Group mostram impacto direto em disponibilidade, continuidade operacional, destruição de ativos e potencial vazamento de dados sensíveis.
Também houve atividade relevante em vulnerabilidades e cadeias de execução. A exploração de CVE-2025-53770 em SharePoint apareceu antes de ampla remediação em ambientes expostos, com tentativas contra setores governamentais, telecomunicações e software. O Chrome recebeu correção para CVE-2025-6558, falha explorada em campo que permite escape da sandbox por validação insuficiente em componentes ANGLE e GPU. A VMware corrigiu quatro falhas demonstradas no Pwn2Own Berlin 2025, incluindo três cenários críticos de execução de código do convidado para o hospedeiro. Em paralelo, técnicas como FileFix e abuso de chamadas no Microsoft Teams com Quick Assist reduziram a dependência de exploração de software, deslocando o risco para interação do usuário, área de transferência, PowerShell e execução lateral de DLL.
A Louis Vuitton sofreu acesso não autorizado que levou à exfiltração de determinados dados pessoais de clientes no Reino Unido, Coreia do Sul, Turquia, Itália e Suécia. O material disponível indica que dados de pagamento não foram comprometidos, mas que informações sensíveis de clientes foram expostas. O caminho provável descrito para o incidente envolve violação em banco de dados de fornecedor terceiro, o que torna a investigação dependente não apenas de logs internos da marca, mas também de trilhas de autenticação, exportação, consulta e administração mantidas pelo provedor envolvido.
A atribuição pública menciona suspeita sobre o grupo de extorsão ShinyHunters, sem detalhes técnicos suficientes para transformar essa hipótese em indicador operacional fechado. Para defesa, a prioridade é validar quais campos foram acessados, quais identidades ou integrações consultaram o banco de dados, se houve exportações em lote, uso anômalo de contas de serviço e criação de chaves ou tokens fora do ciclo normal. Em incidentes desse tipo, contratos de terceiros, integrações de CRM, plataformas de atendimento e bases de fidelidade devem ser tratados como parte da superfície real, não como perímetro separado.
A Co-op divulgou que um ataque ocorrido em abril resultou no roubo de dados pessoais de todos os seus 6,5 milhões de clientes. O incidente também provocou desligamentos de sistemas e falta de produtos em lojas, o que indica impacto operacional além da exposição de dados. As informações descritas incluem dados de contato de clientes, sem inclusão de dados financeiros ou transacionais. A suspeita pública recai sobre Scattered Spider, grupo conhecido por campanhas que combinam engenharia social, comprometimento de identidade e implantação de ransomware DragonForce.
A cadeia defensiva deve se concentrar em identidade e suporte técnico: redefinições de credenciais feitas por help desk, alterações recentes de MFA, acessos remotos de operadores, sessões administrativas fora de horário e criação de novas contas privilegiadas. Como o impacto atingiu disponibilidade de sistemas e abastecimento, equipes de resposta precisam correlacionar eventos de diretório, EDR, VPN, SaaS e sistemas de loja. A ausência de dados financeiros no escopo divulgado não elimina o risco de fraude por engenharia social, pois dados de contato e histórico cadastral podem ser usados para abordagens direcionadas contra clientes e funcionários.
A NovaBev Group, produtora e distribuidora russa de bebidas, sofreu ataque de ransomware que interrompeu temporariamente infraestrutura crítica de TI e afetou sua operação e a subsidiária WineLab. O impacto alcançou mais de 2.000 lojas, com serviços prejudicados por técnicas descritas como capazes de contornar controles de segurança existentes. Nenhum ator assumiu responsabilidade no material analisado, portanto a análise não deve inferir família de ransomware, criptografador, vetor inicial ou infraestrutura de comando e controle.
A resposta técnica deve priorizar restauração controlada, preservação de evidências e segmentação. Antes de religar sistemas, é necessário confirmar se controladores de domínio, servidores de arquivos, hipervisores, ferramentas de gerenciamento remoto e backups não foram modificados pelo invasor. A menção a contorno de controles exige revisão de exclusões de antivírus, políticas de EDR, contas com privilégios locais e mecanismos de distribuição de software. Em redes varejistas com grande número de lojas, a propagação pode ocorrer por links corporativos, agentes de gestão ou credenciais reutilizadas, mesmo sem exploração de vulnerabilidade específica documentada.
O Ministério do Trabalho da Tailândia teve seu site desfigurado e enfrentou alegação de roubo de 300 GB de dados sensíveis. O impacto reivindicado inclui criptografia de 2.000 laptops e dezenas de servidores, além de potencial exposição de dados de cidadãos, informações sobre visitantes estrangeiros e documentos classificados. O grupo Devman assumiu o ataque e exigiu resgate de 15 milhões de dólares, com vínculo informado à família DragonForce.
A investigação precisa separar fatos confirmados de reivindicações de extorsão. Desfiguração de site comprova algum nível de alteração de conteúdo público, mas não valida automaticamente o volume de dados roubados ou o número de sistemas criptografados. A triagem técnica deve buscar evidências de acesso administrativo ao CMS, shells web, credenciais reutilizadas, sincronização de arquivos em massa, execução de criptografador e alteração de políticas de endpoint. Como há alegação de dados governamentais e documentos sensíveis, a contenção deve incluir revogação de sessões, bloqueio de credenciais privilegiadas, isolamento de segmentos afetados e verificação de integridade em servidores expostos à internet.
Sistemas de infraestrutura crítica em Singapura foram alvo de tentativas direcionadas de infiltração contra serviços essenciais, com foco em defesa, tecnologia e telecomunicações. O impacto descrito envolve risco à segurança nacional, operações empresariais e cadeias de suprimento, mas não há número confirmado de usuários afetados nem vazamento específico de dados. O grupo UNC3886, associado à China, foi identificado como responsável pela atividade.
Esse tipo de operação deve ser tratado como intrusão de longo prazo, não como evento isolado. A defesa precisa avaliar persistência em appliances de borda, contas técnicas, túneis, chaves SSH, servidores de virtualização e sistemas de administração usados por telecomunicações e fornecedores de tecnologia. Como a atribuição envolve espionagem, os objetivos prováveis são acesso contínuo, coleta seletiva e movimentação furtiva, mas os dados recebidos não permitem afirmar ferramentas ou implantes específicos. A prioridade operacional é reduzir tempo de permanência por meio de inventário de borda, logs centralizados, validação de firmware, rotação de credenciais e revisão de caminhos de administração entre ambientes críticos e corporativos.
A Gaskar Group, fornecedora de drones para as forças militares russas, confirmou ataque que destruiu mais de 250 sistemas, apagou 57 TB de dados e backups e expôs dados pessoais de funcionários. A responsabilidade foi reivindicada por BO Team, Ukrainian Cyber Alliance e inteligência militar da Ucrânia. O incidente é relevante por combinar destruição, vazamento e impacto sobre uma cadeia de fornecimento militar, com foco explícito em indisponibilidade e eliminação de capacidade de recuperação.
A existência de backups apagados muda a prioridade de resposta. A equipe defensiva precisa verificar se cópias offline, imutáveis ou segregadas ainda existem, se credenciais de backup foram usadas interativamente, se consoles de armazenamento registraram exclusões em massa e se sistemas de gerenciamento centralizado foram usados para acelerar a destruição. A exposição de dados de funcionários também exige avaliação de risco de coerção, phishing e doxing. Em ambientes industriais ou militares, segmentação de engenharia, produção, logística e identidade deve ser validada antes de qualquer reconstrução.
A exploração de ToolShell envolve CVE-2025-53770, descrita como variante de uma falha de bypass de autenticação associada a CVE-2025-49706 no Microsoft SharePoint Server. Os primeiros sinais de exploração foram identificados em 7 de julho, com dezenas de tentativas de comprometimento contra governo, telecomunicações e software na América do Norte e Europa Ocidental. O dado técnico mais importante é a combinação entre componente exposto, bypass de autenticação e desserialização insegura, pois isso cria risco de execução sem o fluxo normal de autenticação quando a aplicação vulnerável está acessível ao atacante.
Organizações com SharePoint exposto devem tratar a atualização como prioridade de borda. A caça deve buscar requisições incomuns para endpoints de SharePoint, erros de desserialização, criação ou alteração de arquivos em diretórios da aplicação, execução de processos filhos a partir do pool web, novos artefatos persistentes e autenticações anômalas logo após requisições suspeitas. A mitigação não deve se limitar ao patch: é necessário revisar indicadores de comprometimento, validar integridade de servidores, rotacionar segredos usados pela aplicação e confirmar que balanceadores, WAFs e proxies não mantêm instâncias antigas ainda roteáveis.
O Chrome recebeu correção para CVE-2025-6558, vulnerabilidade de alta severidade com pontuação CVSS 8.8 explorada ativamente. A falha permite que um atacante remoto escape da sandbox do navegador por validação insuficiente de entrada nos componentes ANGLE e GPU. O vetor descrito é uma página HTML especialmente criada, capaz de acionar execução arbitrária de código no processo de GPU em versões anteriores a 138.0.7204.157.
A exploração por página HTML torna está falha relevante para usuários finais, estáções administrativas e ambientes onde navegadores acessam consoles internos. A ação primária é atualizar o Chrome para versão corrigida e confirmar cobertura em navegadores derivados que usem componentes afetados. A telemetria deve observar falhas do processo de GPU, navegação para domínios recém-criados ou incomuns, downloads subsequentes e execução de processos iniciados após visita a páginas não usuais. Como o contexto não traz payloads ou IoCs, a defesa deve combinar atualização, EDR e análise de navegação sem inventar assinaturas específicas.
A VMware corrigiu quatro vulnerabilidades zero day, CVE-2025-41236 a CVE-2025-41239, em ESXi, Workstation, Fusion e Tools, exploradas no Pwn2Own Berlin 2025. Três falhas críticas, com pontuação 9.3, permitem execução de código do sistema convidado para o hospedeiro. A quarta, de severidade alta e pontuação 7.1, afeta VMware Tools. O impacto principal é a quebra de isolamento entre máquina virtual e host, cenário especialmente crítico quando workloads não confiáveis ou ambientes de teste compartilham infraestrutura com ativos sensíveis.
A correção deve ser aplicada considerando dependências de hipervisor, ferramentas instaladas em convidados e janelas de manutenção. Ambientes de laboratório, estáções de desenvolvedores, pipelines que executam máquinas virtuais e infraestrutura de virtualização com múltiplos inquilinos precisam ser priorizados. A caça deve procurar comportamento incomum partindo de máquinas virtuais para processos do hospedeiro, falhas recorrentes em ferramentas VMware, alterações inesperadas em pastas compartilhadas e tentativas de acesso a recursos do host que normalmente não são usados pelo convidado.
O volume médio global chegou a 1.984 ataques semanais por organização no segundo trimestre de 2025, alta de 21% em relação ao ano anterior. Educação aparece como o setor mais visado, enquanto a Europa teve o maior crescimento regional, com 22%. Também foram divulgados cerca de 1.600 incidentes de ransomware, afetando principalmente serviços empresariais, manufatura e construção. América do Norte e Europa concentraram, respectivamente, 53% e 25% dos casos de ransomware relatados.
Para operadores, esses números ajudam a calibrar prioridade, mas não substituem modelagem de risco local. Setores com muitos usuários, ambientes distribuídos e dependência de terceiros devem reforçar inventário, resposta a identidade comprometida, backups testados e segmentação. A concentração de ransomware em serviços empresariais e manufatura aponta para risco em fornecedores, sistemas de produção, ERPs, arquivos compartilhados e acesso remoto. Métricas internas úteis incluem tempo de aplicação de correções críticas, porcentagem de ativos com EDR ativo, cobertura de logs de identidade e sucesso de restauração a partir de backups imutáveis.
FileFix é uma técnica de engenharia social em que um site malicioso abre o Explorador de Arquivos e copia um comando PowerShell oculto para a área de transferência. Quando o usuário cola o conteúdo na barra de endereço, o comando é executado e instala malware sem depender de falha de software. O risco está na combinação de interface legítima, ação manual induzida e uso de PowerShell como mecanismo de execução.
A defesa deve monitorar processos PowerShell iniciados a partir de fluxos incomuns de interação com o Explorador de Arquivos, conteúdo colado em barras de endereço e execução de comandos codificados ou ocultos após visita a sites suspeitos. Controles úteis incluem restrição de PowerShell para usuários comuns, bloqueio de scripts não assinados, regras de EDR para comandos colados e conscientização específica sobre prompts que orientam o usuário a abrir janelas locais ou colar conteúdo. Como não há exploração técnica do sistema, WAF ou patch isolado não eliminam a cadeia.
A campanha com Matanbuchus 3.0 abusa de chamadas no Microsoft Teams para personificar suporte de TI e convencer usuários a usar Quick Assist. Em seguida, um script PowerShell emprega DLL side-loading para implantar o malware. As capacidades descritas incluem execução em memória, ofuscação e roubo de dados. O fluxo explora confiança em canais corporativos e ferramentas legítimas de assistência remota, reduzindo a necessidade de anexos tradicionais ou exploração inicial por navegador.
A resposta deve revisar políticas de Quick Assist, permissões de suporte remoto, chamadas externas no Teams e logs de sessões iniciadas por usuários que não abriram chamado. Sinais relevantes incluem PowerShell executado durante ou logo após sessão de assistência, carregamento de DLL a partir de diretórios de usuário, binários legítimos iniciando bibliotecas fora do caminho esperado e conexões de rede após execução em memória. A contenção exige interromper sessões remotas suspeitas, isolar endpoints, coletar memória quando possível e redefinir credenciais de usuários que interagiram com o suposto suporte.
Autoridades europeias e dos Estados Unidos interromperam operações do NoName057(16), grupo hacktivista pró-Rússia conhecido por ataques DDoS em larga escala contra a Ucrânia e aliados. A Operação Eastwood desmontou mais de 100 servidores e derrubou infraestrutura central do grupo. Sete mandados de prisão foram emitidos, e mais de 1.000 supostos apoiadores receberam notificações sobre potenciais consequências legais.
A interrupção reduz temporariamente capacidade coordenada, mas não elimina o risco de recomposição ou migração de apoiadores para outras frentes. Organizações que já eram alvo de DDoS político devem manter proteção em camada de rede e aplicação, contatos com provedores, playbooks de mitigação e métricas de saturação. A telemetria deve acompanhar picos de tráfego por região, padrões de requisição repetitiva, abuso de endpoints caros e variações de infraestrutura após a derrubada dos servidores centrais.
A caça desta semana deve cruzar três eixos: exposição externa, identidade e execução local. Em exposição externa, servidores SharePoint, appliances, portais públicos e sites governamentais precisam de revisão de logs, integridade e atualização. Em identidade, varejo e suporte remoto exigem análise de reset de MFA, criação de contas, uso de privilégios fora do padrão e sessões iniciadas por ferramentas de assistência. Em execução local, navegadores, PowerShell, DLL side-loading e processos de GPU devem ser analisados em conjunto com eventos de EDR.
A ausência de hashes, endereços IP ou domínios confirmados em vários casos impede uma abordagem baseada apenas em IoCs. A resposta deve privilegiar comportamento: volume anormal de exportação de dados, processos filhos de aplicações web, PowerShell acionado por interação do usuário, sessões Quick Assist não solicitadas, exclusão de backups, criptografia em massa, falhas de GPU após navegação e acessos de máquinas virtuais a recursos do hospedeiro. Essa abordagem também reduz dependência de atribuição, especialmente quando grupos reivindicam ataques sem prova técnica completa.
- Processos filhos incomuns de serviços web SharePoint e alterações de arquivos em diretórios da aplicação.
PowerShellexecutado após navegação web, uso do Explorador de Arquivos ou sessãoQuick Assist.- Exportações em lote, consultas volumosas e acesso de contas de serviço a bases de clientes ou fornecedores.
- Exclusão de snapshots, jobs de backup, repositórios de cópia e armazenamento antes de criptografia ou destruição.
- Falhas e reinicializações do processo de GPU em endpoints que acessaram páginas HTML incomuns.
- Carregamento de DLL fora de caminhos esperados por binários legítimos em estáções de usuários.
A primeira linha de resposta é aplicar correções para SharePoint, Chrome e VMware em todos os ativos afetados, incluindo instâncias esquecidas, ambientes de desenvolvimento, estáções com Workstation ou Fusion e convidados com VMware Tools. Em paralelo, organizações expostas a vazamentos devem revisar integrações com terceiros, contratos de processamento de dados, permissões de contas de serviço e logs de exportação. Para ransomware e destruição de dados, a prioridade é isolar redes, preservar evidências, validar backups offline e reconstruir somente a partir de imagens verificadas.
A segunda linha é reduzir cadeias de engenharia social. Chamadas externas no Teams, uso de Quick Assist, execução de PowerShell e permissões de área de transferência precisam de política, monitoramento e bloqueio quando não houver necessidade operacional. Usuários de suporte devem ter fluxo verificável de chamados, e qualquer assistência remota iniciada fora desse fluxo deve gerar alerta. Em ambientes críticos, a validação final deve incluir exercícios de restauração, testes de detecção para PowerShell e DLL side-loading, revisão de contas privilegiadas e confirmação de que os controles cobrem tanto exploração técnica quanto abuso de processos legítimos.
- Atualizar Chrome para versão corrigida contra
CVE-2025-6558e verificar navegadores derivados. - Aplicar correções de SharePoint relacionadas a
CVE-2025-53770e revisar sinais de exploração anterior. - Corrigir VMware ESXi, Workstation, Fusion e Tools para
CVE-2025-41236aCVE-2025-41239. - Restringir
PowerShell, bloquear scripts não assinados e alertar sobre execução iniciada por interação suspeita. - Auditar
Quick Assist, Microsoft Teams e fluxos de suporte remoto com correlação por chamado válido. - Testar restauração de backups imutáveis e revisar permissões administrativas sobre consoles de backup.
0 Comentários