Relatório de Assinaturas
de Ameaças

Aqui você encontra informações sobre as últimas
assinaturas de ameaças geradas por nossos especialistas.

Agosto/22

VMware Authentication Bypass

O VMware Workspace ONE Access, o Identity Manager e o vRealize Automation contêm uma vulnerabilidade de desvio de autenticação que afeta os usuários do domínio local. Um agente mal-intencionado com acesso de rede à interface do usuário pode obter acesso administrativo sem a necessidade de autenticação.

 

Assinatura gerada pela Blockbit:

sid: 2038475
ET EXPLOIT Attempted VMware Authentication Bypass (CVE-2022-31656) (emerging-exploit.rules)
 
Facebook Credential Theft

A assinatura corresponde a uma landing page do Facebook com capacidade de roubar credenciais de acesso.
Landing Page 2022-07-29 (emerging-current_events.rules)

 

Assinatura gerada pela Blockbit:

sid: 2037869
ET CURRENT_EVENTS Facebook Credential Theft Landing Page 2022-07-29 (emerging-current_events.rules)

ET TROJAN Lazarus APT

O Grupo Lazarus tem fortes ligações com a Coreia do Norte.  A Coreia do Norte se beneficia da realização de operações cibernéticas porque pode apresentar uma ameaça assimétrica com um pequeno grupo de operadores, especialmente para a Coreia do Sul.

 

Assinatura gerada pela Blockbit:

sid: 2037957
ET TROJAN Lazarus APT Related Activity (GET) (emerging-trojan.rules)
Patchwork APT Related Activity M3 (POST)

Este grupo de espionagem cibernética tem como alvo vários diplomatas e economistas de alto nível que têm relações internacionais com a China, usando um conjunto personalizado de ferramentas de ataque. Os ataques geralmente eram feitos por meio de campanha de spear phishing ou ataques de watering hole.

 

Assinatura gerada pela Blockbit:

sid: 2037963
ET TROJAN Patchwork APT Related Activity M3 (POST) (emerging-trojan.rules)
SHARPEXT CnC Domain
Assinaturas geradas pela Blockbit:
sid: 2037955
ET TROJAN SHARPEXT CnC Domain in DNS Lookup (gonamod .com) (emerging-trojan.rules)
 
sid: 2037956
ET TROJAN SHARPEXT CnC Domain in DNS Lookup (siekis .com) (emerging-trojan.rules)
Shuckworm CnC Domain

Assinaturas geradas pela Blockbit:

sid: 2038530
ET TROJAN Shuckworm CnC Domain (leonardis .ru) in DNS Lookup (emerging-trojan.rules)
 
sid: 2038531
ET TROJAN Shuckworm CnC Domain (destroy .asierdo .ru) in DNS Lookup (emerging-trojan.rules)
 
sid: 2038532
ET TROJAN Shuckworm CnC Domain (heato .ru) in DNS Lookup (emerging-trojan.rules)
 
sid: 2038533
ET TROJAN Shuckworm CnC Domain (motoristo .ru) in DNS Lookup (emerging-trojan.rules)
 
sid: 2038534
ET TROJAN Shuckworm CnC Domain (a0698649 .xsph .ru) in DNS Lookup (emerging-trojan.rules)
 
sid: 2038535
ET TROJAN Shuckworm CnC Domain (pasamart .ru) in DNS Lookup (emerging-trojan.rules)
TROJAN Observed DNS Query to UNC3890

Assinaturas geradas pela Blockbit:

sid: 2038558
ET TROJAN Observed DNS Query to UNC3890 Domain (pfizerpoll .com) (emerging-trojan.rules)
 
sid: 2038559
ET TROJAN Observed DNS Query to UNC3890 Domain (naturaldolls .store) (emerging-trojan.rules)
 
sid: 2038560
ET TROJAN Observed DNS Query to UNC3890 Domain (rnfacebook .com) (emerging-trojan.rules)
 
sid: 2038561
ET TROJAN Observed DNS Query to UNC3890 Domain (xxx-doll .com) (emerging-trojan.rules)
 
sid: 2038562
ET TROJAN Observed DNS Query to UNC3890 Domain (celebritylife .news) (emerging-trojan.rules)
 
sid: 2038563
ET TROJAN Observed DNS Query to UNC3890 Domain (office365update .live) (emerging-trojan.rules)
 
sid: 2038564
ET TROJAN Observed DNS Query to UNC3890 Domain (fileupload .shop) (emerging-trojan.rules)
Zimbra RCE Attempt Inbound (CVE-2022-27925)

O Zimbra Collaboration (também conhecido como ZCS) 8.8.15 e 9.0 possui a funcionalidade mboximport que recebe um arquivo ZIP e extrai arquivos dele. Um usuário autenticado com direitos de administrador tem a capacidade de fazer upload de arquivos arbitrários para o sistema, levando à travessia do diretório.


Assinatura gerada pela Blockbit:

sid: 2038504
ET EXPLOIT Possible Zimbra RCE Attempt Inbound (CVE-2022-27925) (emerging-exploit.rules)

Julho/22

Exploit VMware


A vulnerabilidade é uma execução remota de código (RCE) crítica (CVSS: 9.8), que afeta o VMware Workspace ONE Access e o VMware Identity Manager, dois produtos de software amplamente utilizados.

 

Assinaturas geradas pela Blockbit

Sid:2035876
VMWare Server-side Template Injection RCE (CVE-2022-22954)
 
Sid:2035874
VMWare Server-side Template Injection RCE (CVE-2022-22954)

Sid:2035875
VMWare Server-side Template Injection RCE (CVE-2022-22954)
Exploit Adobe ColdFusion 11

Assinaturas geradas pela Blockbit

sid:2036731Adobe ColdFusion 11 – LDAP Java Object Deserialization RCE (GET) CVE-2018-15957

sid:2036732
Adobe ColdFusion 11 – LDAP Java Object Deserialization RCE (POST) CVE-2018-15957

Apache log4j RCE Attempt - HTTP URI Obfuscation

Assinatura gerada pela Blockbit

sid:2037046
Possible Apache log4j RCE Attempt – HTTP URI Obfuscation (CVE-2021-44228) (Inbound)
 
sid:2037047
Possible Apache log4j RCE Attempt – HTTP URI Obfuscation (CVE-2021-44228) (Outbound)
Exploit Attempted Mitel MiVoice Connect Data Validation RCE Inbound

Um ataque de ransomware foi implantado contra um alvo sem nome, usando o dispositivo VoIP da Mitel como ponto de entrada.

Assinatura gerada pela Blockbit

sid:2037121
Attempted Mitel MiVoice Connect Data Validation RCE Inbound (CVE-2022-29499)
Exploit Kramer VIAware
Todas as versões testadas do KramerAV VIAWare permitem o escalonamento de privilégios por meio da configuração incorreta do sudo, possibilitando a execução de vários comandos perigosos, incluindo unzip, systemctl e dpkg.
 
Assinatura gerada pela Blockbit:
sid:2036738
Kramer VIAware Remote Code Execution (CVE-2021-35064 CVE-2021-36356)
Exploit Zyxel NWA-1100-NH

Uma vulnerabilidade de injeção de comando na interface da web do firmware Zyxel NWA-1100-NH pode permitir que um invasor execute comandos arbitrários do sistema operacional do dispositivo.

 

Assinatura gerada pela Blockbit

sid:2036737
Zyxel NWA-1100-NH Command Injection Attempt (CVE-2021-4039)
Vulnerabilidade Follina

Considerada de alta gravidade, a vulnerabilidade em questão afeta a Ferramenta de Diagnóstico da Microsoft (MSDT), que pode ser explorada por cibercriminosos para a execução de códigos maliciosos remotamente.

Assinaturas geradas pela Blockbit

sid:2036726
Possible Microsoft Support Diagnostic Tool Exploitation Inbound (CVE-2022-30190)
 
sid:2037083
Possible Microsoft Support Diagnostic Tool Exploitation Inbound

Junho/22

Exploit dotCMS

Quando arquivos são carregados no dotCMS por meio de um API de conteúdo, o dotCMS grava o arquivo em um diretório temporário.  No caso desta vulnerabilidade, o dotCMS não limpa o nome do arquivo passado por meio do cabeçalho de solicitação de várias partes e, portanto, não limpa o nome do arquivo temporário.

 

Assinaturas geradas pela Blockbit

sid:2036457

dotCMS Arbitrary File Upload Attempt M1

 
sid:2036458
dotCMS Arbitrary File Upload Attempt M2
Exploit Zyxel Firewalls

Essa vulnerabilidade afeta firewalls Zyxel que suportam Zero Touch Provisioning (ZTP), que inclui as séries ATP, VPN e USG FLEX (incluindo USG20-VPN e USG20W-VPN). A vulnerabilidade, identificada como CVE-2022-30525, permite que um invasor remoto e não autenticado consiga a execução de código arbitrário como o usuário no dispositivo afetado.

 

Assinatura gerada pela Blockbit

sid:2036596
[Rapid7] Zyxel ZTP setWanPortSt mtu Parameter Exploit Attempt (CVE 2022-30525)

Exploit Apache CouchDB

Recentemente, o Apache emitiu um aviso de risco para a vulnerabilidade de execução remota de código do Apache CouchDB, o número da vulnerabilidade é CVE-2022-24706 e a gravidade é crítica.

 

No Apache CouchDB anterior à versão 3.2.2, um invasor pode acessar uma instalação padrão inadequadamente protegida sem autenticação e obter privilégios de administrador.

 

Assinatura gerada pela Blockbit

sid:2036650
Default Apache CouchDB Erlang Cookie Observed (CVE-2022-24706)
Exploit Telesquare SDT-CW3B1 1.1.0

O Telesquare SDT-CW3B1 1.1.0 é afetado por uma vulnerabilidade de injeção de comando do sistema operacional que permite que um invasor remoto execute comandos do sistema operacional sem qualquer autenticação.

 

Assinatura gerada pela Blockbit

sid:2036663
Telesquare SDT-CW3B1 1.1.0 – OS Command Injection (CVE-2021-46422)
Exploit SolarView Compact
Foi descoberto que o SolarView Compact ver.6.00 contém uma vulnerabilidade de injeção de comando via conf_mail.php.
 
Assinatura gerada pela Blockbit:
sid:2036649
SolarView Compact Command Injection Inbound (CVE-2022-29303)
Exploit ThinkPHP

Considerando o impacto potencialmente extenso dessa vulnerabilidade, os usuários são aconselhados a ficar atentos e tomar as medidas necessárias para se proteger.

 

Assinaturas geradas pela Blockbit

sid:2036598
Attempted ThinkPHP < 5.2.x RCEInbound (CVE-2018-20062)
 
sid:2036599
Attempted ThinkPHP < 5.2.x RCE Outbound (CVE-2018-20062)
Exploit Sophos Firewall

Uma vulnerabilidade de desvio de autenticação no Portal do Usuário e no Webadmin permite que um invasor remoto execute código no Sophos Firewall na versão v18.5 MR3 e em versões anteriores.

 

Assinaturas geradas pela Blockbit

sid:2036548
Sophos Firewall Authentication Bypass (CVE-2022-1040)
 
sid:2036549
Sophos Firewall Authentication Bypass (CVE-2022-1040) Server Response M1
 
sid:2036550
Sophos Firewall Authentication Bypass (CVE-2022-1040) Server Response M2

Maio/22

Exploit VMware

A vulnerabilidade é uma execução remota de código (RCE) crítica (CVSS: 9.8), que afeta o VMware Workspace ONE Access e o VMware Identity Manager, dois produtos de software amplamente utilizados.

 

Assinaturas geradas pela Blockbit

Sid:2035876
VMWare Server-side Template Injection RCE (CVE-2022-22954)
 
Sid:2035874
VMWare Server-side Template Injection RCE (CVE-2022-22954)

Sid:2035875
VMWare Server-side Template Injection RCE (CVE-2022-22954)
Exploit F5 BIG-IP

Uma vulnerabilidade F5 BIG-IP recentemente divulgada foi usada em ataques destrutivos, tentando apagar o sistema de arquivos de um dispositivo e tornar o servidor inutilizável.

 

Assinaturas geradas pela Blockbit

sid:2036546
F5 BIG-IP iControl REST Authentication Bypass (CVE 2022-1388) M1
 
sid:2036547
F5 BIG-IP iControl REST Authentication Bypass Server Response (CVE 2022-1388)
Nginx Zero-Day

Um problema nginx Zero-Day RCE foi identificado na implementação do nginx LDAP-auth daemon, que vazou brevemente.

 

Assinatura gerada pela Blockbit

sid:2035897
Possible NGINX Reference LDAP Query Injection Attack
Exploit Redis RCE Attempt

Foi descoberto que o Redis, um banco de dados de chave-valor persistente, devido a um problema de empacotamento, é propenso a escapar do sandbox lua (específico do Debian), o que poderia resultar na execução remota de código.

 

Assinaturas geradas pela Blockbit

sid:2035718
Redis RCE Attempt (CVE-2022-0543) M1
 
sid:2035719
Redis RCE Attempt (CVE-2022-0543) M2
 
sid:20357120
Possible Redis RCE Attempt – Dynamic Importing of liblua
Exploit Gitlab: Tentativa de login com senha hardcoded
Uma senha hardcoded foi definida para contas utilizando um provedor OmniAuth (e.g. OAuth, LDAP, SAML) nas versões GitLab CE/EE 14.7 até 14.7.7, 14.8 até 14.8.5 e 14.9 até 14.9.2, permitindo que atacantes tomassem tais contas.
 
Assinaturas geradas pela Blockbit:
 
sid: 2035751
Gitlab Login Attempt with hard-coded password (CVE-2022-1162)
 
sid: 2035750
Gitlab Login Attempt with hard-coded password (CVE-2022-1162)
Exploit Psychic Signatures em Java

Trata-se de uma vulnerabilidade de desvio de assinatura digital em Java que se deve à má implementação do Algoritmo de Assinatura Digital de Curva Elíptica em Java. Essa vulnerabilidade de desvio de assinatura faz com que o Java aceite uma assinatura em branco como uma assinatura válida.

 

Assinaturas geradas pela Blockbit

sid:2036377
[ConnectWise CRU] Java ECDSA (Psychic) TLS Signature (CVE-2022-21449)
 
sid:2036392
[ConnectWise CRU] Java ECDSA (Psychic) Signed JWT Bypass (CVE-2022-21449)

Abril/22

KwampirsRAT

O Kwampirs é um trojan de acesso remoto capaz de obter acesso a máquinas e redes.

Assinatura gerada pela Blockbit

Sid 2023595 TROJAN Trojan.Kwampirs Outbound GET request

TrickBot

O Trickbot surgiu como um trojan bancário e se tornou um malware poderoso com capacidade para roubar dados, lançar ataques de ransomware e destruir arquivos.

Assinaturas geradas pela Blockbit

Sid 2023727 TROJAN ABUSE.CH SSL Blacklist Malicious SSL certificate detected (TrickBot CnC)

Sid 2033659 TROJAN Win32/TrickBot CnC Initial Checkin M2

Loki Locker

O Loki Locker se trata de uma ameaça capaz de infectar sistemas, criptografar arquivos armazenados e extorquir dinheiro de suas vítimas.

Assinatura gerada pela Blockbit

Sid 2035510 MALWARE Loki Locker Ransomware User-Agent

DarkHotel

O DarkHotel é uma campanha de espionagem que utiliza certificados falsos na rede Wi-Fi para ludibriar executivos hospedados em hotéis de luxo.

Assinatura gerada pela Blockbit

Sid 2021609 TROJAN Possible DarkHotel Landing M1

CaddyWiper

O CaddyWiper é um software malicioso projetado para limpar os dados armazenados em dispositivos infectados. Embora também seja do tipo wiper, o CaddyWiper não possui semelhanças significativas com o HermeticWiper ou o IsaacWiper.

Assinatura gerada pela Blockbit

Sid 59268 MALWARE-OTHER Win.Trojan.CaddyWiper download attempt Rule

Mustang Panda

Grupo de cibercriminosos responsáveis por ataques APT (Advanced Persistent Threat).

Assinaturas geradas pela Blockbit

Sid 2035551 TROJAN Suspected Mustang Panda APT Related Activity (GET)

Sid 2035552 TROJAN Suspected Mustang Panda APT Related Activity (GET)

Scarab

O Scarab se trata de um tipo de ransomware que se infiltra no sistema e para roubar vários dados.

Assinatura gerada pela Blockbit

Sid 2035557 TROJAN Scarab APT Related Domain in DNS Lookup

Verblecon

Verblecon é uma ameaça que funciona como um carregador, lançando outros conteúdos maliciosos nos dispositivos infectados por ele.

Assinaturas geradas pela Blockbit

Sid 2035659 TROJAN Trojan.Verblecon User Agent Observed

Sid 2035660 TROJAN Trojan.Verblecon Related Domain in DNS Lookup (gaymers .ax)

Sid 2035661 TROJAN Observed Trojan.Verblecon Related Domain (gaymers .ax in TLS SNI)

Sid 2035662 TROJAN Trojan.Verblecon Related Domain in DNS Lookup (jonathanhardwick .me)

Sid 2035663 TROJAN Observed Trojan.Verblecon Related Domain (jonathanhardwick .me in TLS SNI)

Sid 2035664 TROJAN Trojan.Verblecon Related Domain in DNS Lookup (.verble .rocks)

Sid 2035665 TROJAN Observed Trojan.Verblecon Related Domain (.verble .rocks in TLS SNI)

Sid 2035666 TROJAN Trojan.Verblecon Related Domain in DNS Lookup (verble .software)

Sid 2035667 TROJAN Observed Trojan.Verblecon Related Domain (verble .software in TLS SNI)

CrimsonRAT

O CrimsonRAT é um trojan de acesso remoto, que foi encontrado em e-mails de spearphishing com documentos mal-intencionados do Microsoft Office.

Assinaturas geradas pela Blockbit

Sid 2035598 TROJAN Win32/CrimsonRAT Variant Sending Command (inbound)

Sid 2035599 TROJAN Win32/CrimsonRAT Variant Sending Command M2 (inbound)

Sid 2035600 TROJAN Win32/CrimsonRAT Variant Sending System Information (outbound)

Log4Shell

Considerado o maior zero day da última década, o Log4Shell é uma vulnerabilidade detectada na biblioteca de código aberto Apache Log4j.

Assinaturas geradas pela Blockbit

DNS Query for Observed CVE-2021-44228 Security Scanner Domain (log4shell .huntress .com)

VMWare vSphere log4shell exploit attempt

Sid 2034820

Sid 58811

Sid 58812

Sid 58813

CVE-2021-44228

CVE-2021-44832

CVE-2021-45046

CVE-2021-45105

SpringCore

Considerado como o novo Log4j, o Spring4Shell é uma vulnerabilidade que afeta o SpringCore, uma estrutura amplamente usada em aplicativos Java.

Assinaturas geradas pela Blockbit

Sid 2035670 Possible Spring Cloud Connector RCE Inbound (CVE-2022-22963)

Sid 2035674 Possible SpringCore RCE/Spring4Shell Stage 1 Pattern Set Inbound (Unassigned)

Sid 2035675 Possible SpringCore RCE/Spring4Shell Stage 2 Suffix Set Inbound (Unassigned)

Sid 2035676 Possible SpringCore RCE/Spring4Shell Stage 3 Directory Set Inbound (Unassigned)

Sid 2035677 Possible SpringCore RCE/Spring4Shell Stage 4 Prefix Set Inbound (Unassigned)

Sid 2035678 Possible SpringCore RCE/Spring4Shell Inbound (Unassigned)

Março/22

HermeticWiper

Este tipo de malware foi detectado em órgãos governamentais e estruturas empresariais na Ucrânia no final de fevereiro. O HermeticWiper corrompe os dados de um sistema e impede que as máquinas respondam ou funcionem completamente.

Assinatura de código gerada pela Blockbit:

Sid 59099 malware-other – MALWARE-OTHER Win.Malware.HermeticWiper binary download attempt

Sid 59100 malware-other – MALWARE-OTHER Win.Malware.HermeticWiper binary download attempt

Acredita-se que o Cyclops Blink seja uma variação do malware VPNFilter, exposto em 2018, que infectou roteadores com o objetivo de manipular sites visitados por usuários na mesma rede Wi-Fi.


Assinatura de código gerada pela Blockbit:


Sid 59095-59098 malware-other – MALWARE-OTHER

Unix.Trojan.CyclopsBlink download attempt

IsaacWiper

Semelhante ao HermeticWiper, também é um malware destruidor de dados que tem afetado organizações ucranianas. É o mais recente entre os malwares citados neste artigo.

Assinatura de código gerada pela Blockbit:

Sid 59163 – MALWARE-TOOLS Win.Malware.IsaacWiper variant download attempt Rule

Sid 59164 – MALWARE-TOOLS Win.Malware.IsaacWiper variant download attempt Rule

Dirty Pipe

O Dirty Pipe permite que um atacante substitua dados em arquivos somente de leitura. A ameaça também possibilita a alteração de privilégios por meio de códigos adicionados nos processos raiz.

Assinaturas geradas pela Blockbit

Sid 59256 OS-LINUX Linux Kernel Dirty Pipe privilege escalation attempt

Sid 59257 OS-LINUX Linux Kernel Dirty Pipe privilege escalation attempt

B1txor20

Esse tipo de malware infecta os computadores utilizando um método conhecido como “DNS Tunneling”, explorando a vulnerabilidade do Log4j.

Assinatura gerada pela Blockbit

Sid 2035458 TROJAN Linux/B1txor20 Backdoor Related Domain in DNS Lookup

Assinaturas geradas pela Blockbit

Sid 2023727 TROJAN ABUSE.CH SSL Blacklist Malicious SSL certificate detected (TrickBot CnC)

Sid 2033659 TROJAN Win32/TrickBot CnC Initial Checkin M2