Redação YTI&W-News
Este é o Boletim de Inteligência do Yassutaro Security. Uma curadoria executiva das ameaças e incidentes mais críticos registrados nas últimas horas.
🌐 CVE-2025-0282: Ameaça ao Ivanti Connect Secure
Resumo da Ameaça
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou novas informações sobre RESURGE, um implantado malicioso utilizado em ataques zero-day que exploram a vulnerabilidade CVE-2025-0282 para invadir dispositivos Ivanti Connect Secure.
O implantado é descrito como um comando e controle (C2) passivo com capacidades de rootkit, bootkit, backdoor, dropper, proxying e tunneling. Em vez de enviar sinais para o C2, ele espera indefinidamente por uma conexão TLS específica, evitando a monitorização de rede, segundo a CISA.
Impacto e Mitigação
A CISA destaca que o implantado pode sobreviver a reinicializações, criar webshells para roubar credenciais, criar contas, resetar senhas e elevar privilégios. Além disso, o implantado pode permanecer latente em sistemas até que um ator remoto tente se conectar ao dispositivo comprometido.
A CISA sugere que administradores de sistemas usem os indicadores de comprometimento atualizados para descobrir infecções dormantes de RESURGE e removê-las dos dispositivos Ivanti.
Fonte de Referência: bleepingcomputer.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🌐 Vulnerabilidade Ruby Jumper
Resumo da Ameaça
A equipe de segurança da Zscaler identificou uma campanha maliciosa chamada Ruby Jumper, atribuída ao grupo de ameaças estatais APT37, também conhecido como ScarCruft, Ricochet Chollima e InkySquid. A campanha envolve a utilização de ferramentas maliciosas para transferir dados entre sistemas conectados à internet e sistemas aéreos, disseminar-se por meio de drives removíveis e realizar vigilância oculta.
Impacto e Mitigação
A infecção começa quando o vítima abre um arquivo de atalho malicioso (LNK) no Windows, que deploys um script do PowerShell que extraí o payloads embutidos no arquivo LNK. Embora os pesquisadores não tenham especificado vítimas, eles notaram que o documento é uma tradução árabe de um artigo de um jornal norte-coreano sobre o conflito Palestina-Israel.
Para mitigar essa ameaça, é importante:
* Evitar abrir arquivos de atalho desconhecidos;
* Manter os sistemas atualizados com as últimas atualizações de segurança;
* Utilizar software de segurança de confiança para proteger contra malware;
* Monitorar a atividade de rede e detectar possíveis tentativas de infecção.
Fonte de Referência: bleepingcomputer.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🌐 CVE-2025-64328: Vulnerabilidade de Injeção de Comando em FreePBX
Resumo da Ameaça
A Shadowserver Foundation revelou que mais de 900 instâncias do FreePBX ainda estão infectadas com shells web como parte de ataques que exploraram uma vulnerabilidade de injeção de comando desde dezembro de 2025. As instâncias afetadas estão localizadas nos EUA, Brasil, Canadá, Alemanha e França.
Impacto e Mitigação
A vulnerabilidade, CVE-2025-64328 (CVSS score: 8.6), é uma falha de segurança de alta gravidade que pode permitir a injeção de comandos após a autenticação. Isso permite que um atacante execute comandos arbitrários no host subjacente e obtenha acesso remoto ao sistema como o usuário asterisk.
Para mitigar a vulnerabilidade, é recomendado adicionar controles de segurança para garantir que apenas usuários autorizados tenham acesso ao Painel de Controle de Administração do FreePBX (ACP), restringir o acesso do ACP a partir de redes hostis e atualizar o módulo de arquivo para a versão mais recente. Além disso, é recomendado atualizar as instâncias do FreePBX para a versão mais recente o mais rápido possível para contrariar ameaças ativas.
Fonte de Referência: thehackernews.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🌐 Web: Tether Sequestrado em Operação Contra Esquemas de Investimento de Criptomoedas
Resumo da Ameaça
A U.S. Department of Justice (DoJ) anunciou a sequestro de US$ 61 milhões em Tether associados a esquemas de criptomoedas falsas conhecidos como “porco-esfregão”. Os fundos confiscados foram rastreados para endereços de criptomoedas usados para lavagem de dinheiro de procedimentos criminosos roubados de vítimas de esquemas de investimento de criptomoedas.
Impacto e Mitigação
Os atores ameaçadores alvos são indivíduos que são traficados para comparações de escamadas operando principalmente na Ásia do Sudeste com promessas de empregos de alta remuneração. Eles são coagidos a enganar vítimas online, apresentando-se como estranhos charmosos ou corretoras de plataformas de investimento, ou enfrentando consequências brutais. A finalidade é coagir usuários inocentes a repartir seus fundos em esquemas de investimento de criptomoedas fraudulentos.
A DoJ informou que as plataformas falsas exibiam portfólios de investimento fictícios com retornos anormalmente altos, com o objetivo de fazer com que as vítimas investissem mais de seus fundos. A realidade bate quando os usuários tentam retirar seus fundos, no qual eles são solicitados a pagar uma taxa adicional como forma de extrair mais dinheiro deles.
A Tether anunciou que congelou cerca de US$ 4,2 bilhões em ativos relacionados a atividades ilícitas até o momento, incluindo quase US$ 250 milhões relacionados a redes de escamadas desde junho de 2025.
Fonte de Referência: thehackernews.com.
Curadoria e Adaptação: Redação Yassutaro Security.
Redação YTI&W-News
Cobertura das últimas notícias do universo da Segurança da Informação e lançamentos de soluções em TI.
- Boletim de Segurança Cibernética: Alertas e Soluções 27 de Fevereiro, 2026
- Tendências Críticas: C2 Botnet e Dohdoor Backdoor 26 de Fevereiro, 2026
- Boletim de Segurança Cibernética: Proteja sua Rede 26 de Fevereiro, 2026
- Boletim de Segurança Cibernética: Proteja sua Rede 25 de Fevereiro, 2026
- SolarWinds e L3Harris Exécutas Zero-Days para Rússia 25 de Fevereiro, 2026
