Redação YTI&W-News
Este é o Boletim de Inteligência do Yassutaro Security. Uma curadoria executiva das ameaças e incidentes mais críticos registrados nas últimas horas.
🌐 Silver Dragon: Ameaça Persistente Avançada
Resumo da Ameaça
A equipe de pesquisa de segurança cibernética revelou detalhes de uma equipe de ameaça persistente avançada (APT) chamada Silver Dragon, que está ligada a ataques cibernéticos que visam entidades na Europa e no Sudeste Asiático desde pelo menos o meio de 2024. A equipe Silver Dragon ganha acesso inicialmente explorando servidores de internet pública e enviando e-mails de phishing que contêm anexos maliciosos.
Impacto e Mitigação
A equipe Silver Dragon é avaliada como operando sob a sombra da APT41, um grupo de hackers chineses prolíficos conhecidos por seu alvo de saúde, telecomunicações, tecnologia de ponta, educação, serviços de viagens e mídia para espionagem cibernética desde pelo menos 2012. As ações da equipe Silver Dragon têm sido encontradas para se concentrar principalmente em entidades governamentais, com o adversário usando beacons de Cobalt Strike para persistência em hosts comprometidos. Além disso, é conhecido por empregar técnicas como túnel de DNS para comunicação C2 para evitar detecção.
Fonte de Referência: thehackernews.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🌐 CVE-2026-22719: Vulnerabilidade de Injeção de Comando no VMware Aria Operations
Resumo da Ameaça
A Agência de Segurança e Infraestrutura de Cibersegurança dos EUA (CISA) adicionou a vulnerabilidade CVE-2026-22719 no catálogo de Vulnerabilidades Exploitas Conhecidas, classificando-a como explorada em ataques. A Broadcom também alertou que está ciente de relatórios indicando que a vulnerabilidade está sendo explorada, mas não pode confirmar independentemente.
Impacto e Mitigação
A vulnerabilidade CVE-2026-22719 é uma injeção de comando que permite que um ator mal-intencionado não autenticado execute comandos arbitrários em sistemas vulneráveis. A Broadcom forneceu patches de segurança em 24 de fevereiro e também forneceu um trabalho em torno temporário para organizações incapazes de aplicar os patches imediatamente.
A mitigação é um script de shell nomeado “aria-ops-rce-workaround.sh”, que deve ser executado como root em cada nó de aparelho de operações Aria. O script desativa componentes do processo de migração que podem ser abusados durante a exploração, incluindo a remoção do “/usr/lib/vmware-casa/migration/vmware-casa-migration-service.sh” e a entrada sudoers que permite ao vmware-casa-workflow.sh executar como root sem senha:
NOPASSWD: /usr/lib/vmware-casa/bin/vmware-casa-workflow.sh
Os administradores devem aplicar os patches de segurança disponíveis do VMware Aria Operations ou implementar trabalhos em torno o mais rápido possível, especialmente se a vulnerabilidade estiver sendo explorada ativamente em ataques.
Fonte de Referência: bleepingcomputer.com.
Curadoria e Adaptação: Redação Yassutaro Security.
📱 iOS: Primeiro Ataque em Massa
Resumo da Ameaça
Um kit de exploração chamado Coruna, que pode ter origem em um framework de exploração desenvolvido pelo governo dos EUA, está por trás do primeiro ataque em massa contra o sistema operacional iOS, utilizado nos iPhones da Apple.
Impacto e Mitigação
O ataque afetou pelo menos 42.000 dispositivos, o que é considerado um número “massivo” para o iOS, mesmo que seja pequeno em comparação com outras plataformas. A Apple já havia emitido patches em resposta ao ataque, conhecido como Operation Triangulation, e trabalhou com a Google no mais recente estudo sobre o assunto.
Os pesquisadores da Google e da iVerify concluíram que o kit de exploração foi usado por vários atores mal-intencionados, incluindo um cliente de um fornecedor de software de vigilância e um grupo de espionagem suspeito de origem russa. Além disso, a iVerify encontrou evidências de que o kit de exploração pode ter sido desenvolvido pelo governo dos EUA.
A Apple não comentou sobre o assunto, mas a Google e a iVerify estão trabalhando juntas para entender melhor o ataque e como ele pode ser mitigado.
Fonte de Referência: cyberscoop.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🌐 Vulnerabilidade em Pacotes PHP no Packagist
Resumo da Ameaça
Os pesquisadores de segurança identificaram pacotes PHP maliciosos no Packagist, que se passam por utilitários Laravel, e atuam como um conector para um trojan de acesso remoto cruz-plataforma (RAT) que funciona em sistemas Windows, macOS e Linux. Os nomes dos pacotes são:
– nhattuanbl/lara-helper (37 Downloads)
– nhattuanbl/simple-queue (29 Downloads)
– nhattuanbl/lara-swagger (49 Downloads)
Impacto e Mitigação
Os pacotes “nhattuanbl/lara-helper” e “nhattuanbl/simple-queue” contêm um arquivo PHP chamado “src/helper.php”, que emprega técnicas de obfuscação de fluxo de controle, codificação de nomes de domínios, comandos e caminhos de arquivo, e identificadores aleatórios para nomes de variáveis e funções. Uma vez carregado, o payload se conecta a um servidor C2 em helper.leuleu[.]net:2096, envia dados de reconhecimento do sistema e aguarda comandos, concedendo ao operador acesso remoto completo ao host.
Para mitigar a ameaça, é recomendado que os usuários removam os pacotes, rotinem os segredos acessíveis do ambiente de aplicação e auditem o tráfego de saída para o servidor C2. Além disso, é importante notar que o C2 server está atualmente não-responsivo, mas o RAT está configurado para tentar se conectar a cada 15 segundos em um loop persistente, tornando-o um risco de segurança.
Fonte de Referência: thehackernews.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🌐 AkzoNobel Afetada por Anubis Ransomware
Resumo da Ameaça
A multinacional holandesa AkzoNobel confirmou a BleepingComputer que hackers invadiram a rede de uma de suas instalações nos EUA. A intrusão foi contida e o impacto é limitado, segundo a empresa. A Anubis ransomware gangue divulgou dados roubados, incluindo contratos confidenciais com clientes de alto perfil, endereços de e-mail e números de telefone, correspondência de e-mail privada, escaneamentos de passaportes, documentos de teste de materiais e folhas de especificações técnicas internas.
Impacto e Mitigação
A Anubis ransomware é uma operação de ransomware-as-a-service (RaaS) que lançou em dezembro de 2024, oferecendo a seus afiliados 80% dos resgates pagos. A gangue divulgou 170GB de dados roubados, quase 170.000 arquivos, e publicou amostras dos dados roubados em seu site de vazamento. A AkzoNobel está trabalhando com as autoridades relevantes para notificar e apoiar as partes afetadas. É importante que as empresas tomem medidas para proteger seus dados contra ameaças de ransomware.
Fonte de Referência: bleepingcomputer.com.
Curadoria e Adaptação: Redação Yassutaro Security.
Redação YTI&W-News
Cobertura das últimas notícias do universo da Segurança da Informação e lançamentos de soluções em TI.
- Hacktivistas e Exploits: Uma Ameaça Global 4 de Março, 2026
- Fake Tech Support Spam e Data Breach: Ameaças em Ação 3 de Março, 2026
- Boletim de Segurança Cibernética: Alertas e Soluções 3 de Março, 2026
- Zero-Day Exploits Threaten Global Networks 2 de Março, 2026
- Windows 11 e APT28: Ameaças Globais 2 de Março, 2026
