A semana concentrou roubo de dados por tokens OAuth, paralisações operacionais, fraude financeira, exploração de Sitecore, falhas zero-day em WhatsApp e Apple, além de campanhas atribuídas a UNC6395, APT29 e GhostRedirector.
| Componente | Integração Salesloft Drift com Salesforce, ambientes industriais, plataformas financeiras, Sitecore, WhatsApp, sistemas Apple, IIS, infraestrutura de autenticação Microsoft e produtos NVIDIA. |
| Vetor | Tokens OAuth comprometidos, abuso de contas de fornecedores, ransomware, ferramentas de transferência de arquivos de terceiros, exploração de desserialização ViewState, cadeia de falhas zero-day, injeções JavaScript e provável SQL Injection. |
| Impacto | Exposição de dados pessoais e corporativos, roubo de segredos em nuvem, tentativa de transações não autorizadas no Pix, interrupção de operações, execução remota de código, persistência em servidores Windows e fraude de SEO. |
| Prioridade | Revogar tokens e sessões suspeitas, aplicar correções disponíveis, revisar integrações SaaS, validar contas administrativas, auditar fluxos financeiros e ampliar telemetria em identidade, endpoint, aplicação web e infraestrutura de nuvem. |
| Artefatos | UNC6395, CVE-2025-55177, CVE-2025-43300, CVE-2025-53690, Hexstrike-AI, APT29, Midnight Blizzard, GhostRedirector, Rungan e Gamshen. |
O boletim semanal consolida incidentes de naturezas diferentes, mas com um ponto comum: a exploração de relações de confiança entre aplicações, fornecedores, identidade e infraestrutura exposta. O caso de maior alcance envolve a integração Salesloft Drift com Salesforce, em que tokens OAuth comprometidos permitiram acesso a sistemas de CRM e extração de registros de clientes, casos de suporte, contatos, tokens de autenticação e segredos de nuvem. A atividade foi atribuída a UNC6395 e atingiu organizações como Cloudflare, Zscaler, Palo Alto Networks e Workiva, com potencial impacto sobre mais de 700 organizações.
A mesma semana também registrou interrupções operacionais em Jaguar Land Rover e Bridgestone Americas, vazamentos na Wealthsimple e no Chess.com, ransomware contra o gabinete do Procurador-Geral da Pensilvânia, fraude financeira contra a cidade de Baltimore e tentativa de desvio de US$ 130 milhões envolvendo a Sinqia no sistema Pix. No campo de vulnerabilidades, foram citadas explorações ativas de CVE-2025-55177 no WhatsApp, CVE-2025-43300 em plataformas Apple e CVE-2025-53690 em produtos Sitecore. Também aparecem atualizações da NVIDIA, uso ofensivo potencial do framework Hexstrike-AI, operação de watering hole atribuída a APT29 e a atividade do ator alinhado à China GhostRedirector contra servidores Windows.
O comprometimento envolvendo Salesloft Drift e Salesforce é um incidente de cadeia de suprimentos baseado em identidade, não em exploração direta do CRM por uma vulnerabilidade informada. O vetor descrito foi o uso de tokens OAuth comprometidos, o que desloca a resposta para revogação de integrações, análise de consentimentos, revisão de escopos e inspeção de chamadas API feitas por aplicativos conectados. Quando um token com autorização válida é usado, controles tradicionais de borda podem registrar tráfego aparentemente legítimo, tornando a detecção dependente de comportamento, volume, origem, horário e sequência de objetos acessados.
Os dados expostos incluem contatos, registros de contas, casos de suporte, tokens de autenticação e segredos de nuvem. Esse conjunto permite impacto secundário além do vazamento inicial, porque casos de suporte e campos de CRM frequentemente contêm informações de arquitetura, nomes de sistemas, detalhes de erro, chaves copiadas indevidamente, endereços internos e fluxos de integração. A ação defensiva deve priorizar a invalidação de tokens associados ao aplicativo, rotação de segredos encontrados em objetos do CRM, revisão de logs de API do Salesforce e busca por exportações em massa ou leituras anormais de objetos sensíveis.
- Revisar aplicativos conectados ao
Salesforcee remover integrações sem uso ou com escopo excessivo. - Correlacionar acessos por token
OAuthcom alterações de volume em objetos de contas, contatos e casos. - Rotacionar segredos de nuvem e tokens que tenham sido armazenados em campos de suporte ou registros comerciais.
A Jaguar Land Rover confirmou um ataque cibernético que causou forte interrupção em sistemas globais de TI, com paralisação de produção e operações de varejo. O impacto operacional informado inclui funcionários de fábrica orientados a permanecer em casa, o que indica indisponibilidade de sistemas essenciais para manufatura, logística, concessionárias ou processos administrativos conectados. O incidente também envolveu vazamento de dados, mas a extensão não foi divulgada. Um grupo criminoso de língua inglesa reivindicou a responsabilidade por meio do Telegram.
A Bridgestone Americas também sofreu um ataque com interrupções em instalações na América do Norte, incluindo unidades de produção na Carolina do Sul e em Quebec. Não houve evidência informada de roubo de dados de clientes nem de comprometimento de interfaces, mas a interrupção pode afetar fornecimento. Em ambientes industriais, a ausência de evidência pública de exfiltração não elimina a necessidade de varrer credenciais, contas de serviço, caminhos entre TI e OT, ferramentas de acesso remoto e sistemas de planejamento de produção, porque a interrupção pode resultar de contenção defensiva, criptografia, indisponibilidade de identidade ou bloqueio preventivo de redes.
- Separar evidência de indisponibilidade, contenção defensiva e impacto direto em sistemas de produção.
- Auditar acessos remotos, contas privilegiadas e movimentação lateral entre redes corporativas e industriais.
- Validar backups, procedimentos de restauração e dependências de identidade usadas por linhas de produção.
A Wealthsimple informou acesso não autorizado a dados pessoais de menos de 1% de seus clientes. Os dados citados incluem contatos, documentos governamentais, números de conta, endereços IP, números de Social Insurance Number e datas de nascimento. A empresa informou que fundos de clientes não foram roubados e que senhas de contas não foram comprometidas. Mesmo sem roubo de saldo, a combinação de identificação governamental, dados de conta e endereço IP amplia risco de fraude, engenharia social, abertura indevida de contas e tentativas de tomada de conta em serviços externos.
O Chess.com sofreu exposição de dados de 4.541 usuários por meio de uma ferramenta terceirizada de transferência de arquivos comprometida, em uma janela entre 5 e 18 de junho. Não houve vazamento informado de dados bancários nem de credenciais de contas, incluindo nomes de usuário e senhas. Para resposta, o foco deve ser a cadeia de custódia dos arquivos transferidos, os destinatários, os tokens da ferramenta, os logs de download, a lista de usuários afetados e qualquer automação que tenha enviado dados para o serviço terceirizado durante a janela de exposição.
- Mapear campos pessoais expostos e separar dados suficientes para fraude de dados meramente cadastrais.
- Auditar ferramentas terceirizadas de transferência de arquivos, chaves de API, usuários externos e links públicos.
- Verificar downloads, exportações, criação de links e alterações de permissão durante a janela do incidente.
O gabinete do Procurador-Geral da Pensilvânia confirmou que um ataque de ransomware causou uma indisponibilidade de serviços por duas semanas, afetando site, e-mail e telefonia. A recusa em pagar resgate desloca a prioridade para restauração, reconstrução de serviços críticos e canais alternativos de atendimento. Para organizações públicas, esse tipo de impacto exige inventário de sistemas que dependem de diretório, e-mail, telefonia IP, DNS, certificados e serviços de publicação web, além de um plano de comunicação separado da infraestrutura comprometida.
A cidade de Baltimore perdeu mais de US$ 1,5 milhão em uma fraude na qual o agente de ameaça se passou por fornecedor, obteve acesso à conta Workday associada e enganou funcionários de contas a pagar para aprovar alterações bancárias fraudulentas. A falha central foi a ausência de verificação adequada antes de pagamentos de alto valor. Apenas o menor dos dois pagamentos foi recuperado. O caso exige controles de processo, não apenas controles técnicos: validação fora de banda de dados bancários, segregação de função, alerta para mudanças recentes em cadastro de fornecedor e bloqueio temporário de pagamento após alteração de conta.
- Exigir confirmação fora de banda para alteração de dados bancários de fornecedores.
- Registrar e alertar mudanças em contas de pagamento, aprovadores e dados cadastrais no
Workday. - Manter canais alternativos para serviços públicos quando e-mail, telefone e site estiverem indisponíveis.
A Sinqia S.A. sofreu um ataque no qual invasores violaram sistemas e tentaram roubar US$ 130 milhões por meio de transações não autorizadas no sistema de pagamentos em tempo real Pix. O incidente resultou na revogação do acesso da Sinqia ao Pix, uma medida de contenção que reduz o risco sistêmico enquanto a extensão do comprometimento é apurada. O dado público não descreve o vetor inicial, portanto não se deve inferir exploração de vulnerabilidade, credenciais específicas ou comprometimento de um componente bancário sem confirmação.
Em incidentes que envolvem pagamentos instantâneos, a investigação precisa reconstruir a origem das requisições, a autenticação aplicada, a autorização transacional, os limites operacionais, os sistemas intermediários e os logs de conciliação. A contenção deve incluir suspensão seletiva de chaves, rotação de certificados e segredos de integração, validação de contas técnicas, comparação entre trilhas de auditoria internas e registros da infraestrutura de liquidação, além de revisão de automações que possam emitir ordens em volume ou fora do padrão histórico.
- Comparar transações tentadas com perfis históricos de valor, destino, horário e origem técnica.
- Rotacionar credenciais, certificados e segredos usados em integrações com o
Pix. - Verificar contas técnicas, permissões de aprovação e sistemas capazes de iniciar pagamentos.
Foram publicadas correções para CVE-2025-55177 no WhatsApp e CVE-2025-43300 em iOS, iPadOS e macOS. A exploração foi observada em ataques direcionados contra indivíduos específicos. CVE-2025-55177 envolve autorização incompleta na sincronização de dispositivos, permitindo o processamento de URLs arbitrárias. A falha podia ser encadeada com CVE-2025-43300, descrita como escrita fora dos limites, para exploração sofisticada. Não foram publicados detalhes técnicos completos nem prova de conceito.
A cadeia descrita exige uma abordagem de resposta diferente de vulnerabilidades amplamente exploradas com artefatos públicos. Como o uso foi direcionado, organizações devem priorizar usuários de alto risco, jornalistas, executivos, administradores, equipes de resposta a incidentes e pessoas com acesso a comunicações sensíveis. A mitigação principal é atualização dos aplicativos e sistemas afetados, seguida de revisão de indicadores comportamentais em dispositivos, alertas de segurança do fabricante, perfis de configuração desconhecidos, sessões vinculadas e eventos anômalos relacionados a sincronização de dispositivos.
- Atualizar
WhatsApp,iOS,iPadOSemacOSpara versões que incluam as correções. - Revisar dispositivos vinculados, perfis de configuração e sinais de atividade anômala em contas de alto risco.
- Tratar ausência de prova de conceito pública como limite de análise, não como ausência de exploração.
CVE-2025-53690 é uma vulnerabilidade crítica de desserialização ViewState em produtos Sitecore, com execução remota de código em instâncias expostas à internet. A exploração foi observada em campo e usada para comprometimento inicial, escalonamento de privilégio, coleta de credenciais, reconhecimento de Active Directory e movimentação lateral. A atividade também incluiu criação de contas locais de administrador, implantação de mecanismos de persistência e exfiltração de arquivos de configuração sensíveis.
A superfície afetada concentra aplicações Sitecore publicadas externamente e ambientes que aceitam ViewState vulnerável em condição explorável. A resposta deve combinar aplicação de correção, rotação de segredos presentes em arquivos de configuração, auditoria de contas locais criadas recentemente, revisão de grupos administrativos, análise de processos iniciados pelo servidor web e busca por ferramentas abertas usadas após exploração. Como o impacto confirmado inclui pós-exploração, apenas aplicar patch não encerra o incidente em sistemas que já estavam expostos.
- Aplicar a correção de
CVE-2025-53690em instânciasSitecoreexpostas. - Investigar criação de administradores locais, novos serviços, tarefas agendadas e alterações de persistência.
- Rotacionar segredos presentes em arquivos de configuração acessíveis ao ambiente comprometido.
A NVIDIA publicou atualizações de segurança de setembro de 2025 para vulnerabilidades de severidade alta e média em BlueField, ConnectX, DOCA, Mellanox DPDK, Cumulus Linux e NVOS. Os impactos citados incluem escalonamento de privilégio, adulteração de configurações, negação de serviço e exposição de informações sensíveis. A diversidade de produtos afetados amplia a superfície para data centers, redes aceleradas, infraestrutura de alto desempenho e ambientes que usam DPUs ou componentes Mellanox.
A priorização deve considerar exposição administrativa, papel do equipamento no caminho de rede, multi-tenant, dependência de gerenciamento remoto e impacto de indisponibilidade. Dispositivos que fazem parte do plano de dados ou sustentam clusters críticos devem entrar em janela de manutenção controlada, com backup de configuração e plano de reversão. A verificação pós-atualização precisa confirmar versão aplicada, integridade da configuração, conectividade de gerenciamento e ausência de regressão em rotas, interfaces e políticas.
- Inventariar ativos com
BlueField,ConnectX,DOCA,Mellanox DPDK,Cumulus LinuxeNVOS. - Priorizar equipamentos com gerenciamento exposto, privilégio elevado ou papel crítico no tráfego.
- Validar configuração e conectividade após a atualização.
Hexstrike-AI foi descrito como um framework com orquestração por IA capaz de coordenar mais de 150 agentes especializados para varredura, exploração e persistência em alvos. Embora desenhado para testes de red team, agentes de ameaça tentaram reaproveitar o projeto para acelerar exploração de vulnerabilidades. O risco operacional está na redução do tempo entre identificação de falha e tentativa de exploração, principalmente quando a ferramenta combina enumeração, seleção de módulos, execução e pós-exploração em um fluxo automatizado.
A Amazon interrompeu uma campanha de watering hole atribuída ao APT29, também conhecido como Midnight Blizzard, ligada à Rússia. A operação usava sites comprometidos para redirecionar vítimas a fluxos de autenticação Microsoft baseados em código de dispositivo controlados pelo atacante. A técnica permite induzir a vítima a completar autorização legítima enquanto o invasor captura a sessão ou obtém acesso associado. A campanha usou injeções JavaScript ofuscadas, redirecionamentos no lado do servidor e adaptação rápida de infraestrutura, o que exige telemetria em navegação, identidade e eventos de consentimento.
- Monitorar picos de varredura e exploração logo após divulgação de vulnerabilidades de alto impacto.
- Alertar fluxos Microsoft de código de dispositivo iniciados por origens incomuns ou fora do padrão do usuário.
- Correlacionar redirecionamentos suspeitos, JavaScript ofuscado e consentimentos incomuns em identidade.
Pesquisadores identificaram o ator alinhado à China GhostRedirector, associado ao comprometimento de pelo menos 65 servidores Windows, principalmente no Brasil, Tailândia e Vietnã. A atividade usa o backdoor em C++ Rungan e o módulo IIS Gamshen. O Rungan fornece execução remota de comandos e persistência, enquanto o Gamshen manipula respostas do IIS para o Googlebot com objetivo de fraude de SEO. O acesso inicial foi descrito como provavelmente obtido por SQL Injection, seguido da criação de usuários administrativos não autorizados.
A combinação de backdoor e módulo de servidor web exige hunting em camadas. No host, é necessário procurar DLLs ou módulos IIS não reconhecidos, alterações em configuração do servidor web, usuários administrativos recentes, processos filhos incomuns do worker process e conexões de comando e controle. Na aplicação, a hipótese de SQL Injection exige revisar logs de requisição, parâmetros com padrões de injeção, erros SQL e consultas anômalas. No tráfego, a manipulação seletiva para Googlebot pode ser detectada comparando respostas por agente de usuário, origem e conteúdo entregue.
- Listar módulos
IIScarregados e comparar com baseline conhecido. - Procurar usuários administrativos criados sem processo formal de mudança.
- Comparar respostas HTTP para
Googlebote para agentes de usuário comuns.
A telemetria deve cobrir identidade SaaS, endpoint, aplicação web, rede e processos financeiros. Nos casos baseados em OAuth, procurar consentimentos recentes, tokens usados de regiões incomuns, chamadas API em volume, exportações de objetos, acesso fora do horário e leitura de campos de suporte contendo segredos. Em ransomware e interrupções, correlacionar eventos de diretório, autenticações privilegiadas, execução remota, criação de serviços, alteração de backup e indisponibilidade simultânea de e-mail, telefone e publicação web.
Para vulnerabilidades exploradas, a caça deve partir de indicadores comportamentais, já que nem todos os casos incluem IoCs públicos. Em Sitecore, buscar execução de comandos pelo processo da aplicação, leitura de arquivos de configuração, contas locais novas e reconhecimento de Active Directory. Para APT29, revisar fluxos de código de dispositivo, consentimentos e redirecionamentos. Para GhostRedirector, comparar módulos IIS, respostas condicionais ao Googlebot, evidência de SQL Injection e persistência em servidores Windows.
- Chamadas API anormais em
Salesforcepor tokensOAuthde integrações terceirizadas. - Criação de administradores locais, serviços, tarefas agendadas e alterações persistentes em servidores web.
- Fluxos Microsoft de código de dispositivo iniciados por usuários ou origens incomuns.
- Respostas HTTP diferentes para
Googlebotem servidoresIISexpostos. - Alterações recentes em dados bancários de fornecedores e pagamentos aprovados logo depois da mudança.
A ordem de resposta deve começar por contenção de identidade e exposição ativa. Revogue tokens OAuth suspeitos, remova integrações SaaS desnecessárias, rotacione segredos localizados em CRMs, ferramentas de suporte, pipelines e arquivos de configuração, e force nova autenticação para contas privilegiadas. Em paralelo, aplique correções para CVE-2025-55177, CVE-2025-43300, CVE-2025-53690 e os boletins da NVIDIA aplicáveis ao inventário. Sistemas Sitecore já expostos devem ser tratados como potencialmente comprometidos até conclusão de análise de pós-exploração.
A recuperação precisa validar controles técnicos e processuais. Em ambientes industriais e órgãos públicos, confirme restauração de serviços críticos por meio de backups íntegros e segregação de rede. Em pagamentos e contas a pagar, imponha validação fora de banda para mudanças de dados bancários, bloqueio temporário após alteração de fornecedor e aprovação reforçada para valores altos. Em servidores web, remova módulos não autorizados, revise contas administrativas, corrija falhas de aplicação como SQL Injection e compare conteúdo entregue a diferentes agentes de usuário. A conclusão da resposta deve incluir rotação documentada de segredos, preservação de evidências e revisão de monitoramento para detectar repetição do vetor.
- Revogar tokens, sessões e consentimentos associados a integrações comprometidas.
- Aplicar correções e confirmar versões corrigidas em dispositivos, aplicações e infraestrutura.
- Rotacionar segredos expostos em CRM, suporte, configuração, nuvem e pipelines.
- Auditar contas administrativas, módulos de servidor web e mecanismos de persistência.
- Reforçar verificação de pagamentos, alterações de fornecedor e autorizações de alto valor.
0 Comentários