Sign in Subscribe
Newsletter

PacificNews#203: The interview

PacificNews#203: The interview

Warlock: do Microsoft Sharepoint até o domínio completo de sua infraestrutura

Não é segredo que o cenário de ameaças cibernéticas continua a evoluir a cada dia. E, conforme o tempo passa, mais complexos alguns ataques se demonstram. Um dos ataques mais recentes é o realizado pelo grupo de ransomware denominado Warlock, que exploraram versões on-premise dos servidores Microsoft SharePoint que estavam expostos para a internet – e sem as devidas atualizações. Grupos como o Linen Typhoon e Violet Typhoon também exploraram estas falhas, mas vamos entender como foi o modus operandi  do Warlock: um ataque de múltiplos estágios, aliados com técnicas sorrateiras de movimentação lateral e payloads avançados, que culminam com o domínio completo da infraestrutura de uma organização. 

Os primeiros sinais públicos do grupo Warlock começaram em junho de 2025, no fórum russo RAMP, com uma propaganda visando angariar potenciais afiliados dizendo: “se você quer uma Lamborghini, por favor me contate”. Após alguns poucos dias deste episódio, o grupo já somava impressionantes 16 ataques bem sucedidos. Existem sinais que apontam uma potencial ligação entre o Warlock e outro grupo proeminente em 2025, o Black Basta, mas esta ligação ainda não foi comprovada. O fato é que, pouco menos de 1 mês após a postagem inicial, o site do Warlock contavam com vazamentos de organizações de diversos continentes, como América do Norte, Europa, Ásia e África, em diversos setores econômicos. 

O acesso inicial utilizado pelo Warlock começa com a exploração de vulnerabilidades no Microsoft Sharepoint, onde o ofensor busca adentrar às redes de uma determinada organização pela primeira vez, onde, através de modificações de políticas de grupo (GPOs), estabelece a sua persistência no domínio. Além de modificar GPOs, o atacante também ativa uma conta “convidado” nas máquinas Windows, que, posteriormente, é adicionada ao domínio e ao grupo de administradores locais, mantendo um acesso privilegiado e persistente.

Grande parte dos scripts do Warlock são executados no cmd, especialmente para se conectar a diretórios compartilhados e, concomitantemente, subir arquivos maliciosos que serão utilizados para exploração na, como o binário do Ransomware, por exemplo. Uma ferramenta, denominada “vmtools.exe”, tem a função de enumerar e terminar processos entendidos como produtos de segurança, também instalndo um driver como um serviço chamado googleApiUtil64 e, em seguida, iniciando uma rotina que irá matar processos-alvo a cada dois segundos, mantendo essa ação por cerca de dez minutos. 

Uma posterior fase de reconhecimento extensivo é iniciada com o levantamento de aspectos como enumerações de domínios, mapeamento de relações de domínio e limites de confiança. Também são elencadas aplicações instaladas, registros de DNS, caminhos pertinentes, contas privilegiadas, usuários ativos e outros tópicos relevantes. Nesta fase também é executado um dump de credenciais através do Mimikatz.

Neste ponto o agente executa movimentações laterais no ambiente, utilizando-se de serviços remotos como o SMB e compartilhamento administrativo. A ideia é copiar diversos payloads no maior número possível de máquinas – incluindo o binário do ransomware. Medidas como o ativamento de RDP e desabilitação do NLA também são executadas. 

 Após a cópia dos binários, a fase de execução do ransomware se inicia, culminando com a criptografia dos arquivos, adicionando a extensão .x2anylock – motivo pelo qual também é chamado de “X2anylock”. Por fim, um arquivo de instruções de resgate chamado “How to decrypt my data.txt” é deixado nos diretórios afetados. O agente também habilita um servidor de comando e controle (C2) no ambiente comprometido, aliado à uma rotina de exfiltração de arquivos através do RClone.

Nota-se, a partir da atuação deste agente, que o cenário de ameaças segue em constante evolução. Para se defender do ransomware Warlock e de ameaças semelhantes, as organizações devem aplicar rapidamente os patches em seus servidores SharePoint on-premises, além de manter as atualizações de segurança da Microsoft sempre em dia.

Leia mais

Hackers expõem suposto cibercriminoso do governo norte-coreano

No início deste ano, dois hackers invadiram um computador e fizeram uma descoberta surpreendente: haviam acessado a máquina de um cibercriminoso supostamente a serviço do governo norte-coreano.

Saber, um dos envolvidos, revelou ao site TechCrunch que eles mantiveram o acesso ao computador do agente malicioso por cerca de quatro meses. No entanto, ao compreenderem a natureza dos dados que encontraram, decidiram que era crucial vazar as informações e expor suas descobertas.

“Esses cibercriminosos patrocinados por Estados-nação estão agindo pelos motivos errados. Espero que mais deles sejam expostos; é o que merecem”, afirmou Saber. Ele conversou com o TechCrunch logo após ele e seu parceiro, conhecido como "cyb0rg", publicarem um artigo na lendária revista eletrônica de hacking Phrack, detalhando suas descobertas.

"Manter isso em segredo não teria ajudado muito", disse Saber. "Ao tornar tudo público, esperamos fornecer aos pesquisadores mais ferramentas para detectá-los." Ele acrescentou: "Espero que isso também leve à descoberta de muitas de suas vítimas atuais e, consequentemente, à interrupção do acesso [dos agentes maliciosos norte-coreanos]".

Em uma mensagem repassada por Saber, cyb0rg complementou: "Ilegal ou não, esta ação trouxe evidências concretas para a comunidade, e isso é o mais importante".

Saber afirmou estar convencido de que, embora o agente — apelidado de "Kim" — atue para o regime norte-coreano, ele poderia ser, na verdade, chinês e trabalhar para ambos os governos. Essa suspeita se baseia em evidências como o fato de Kim não ter trabalhado durante feriados chineses, sugerindo uma possível base de operações na China. Além disso, segundo Saber, Kim ocasionalmente usava o Google Tradutor para traduzir documentos do coreano para o chinês simplificado.

A dupla se recusou a revelar como obteve acesso ao computador de Kim, afirmando que pretendem utilizar as mesmas técnicas para "obter acesso a outros sistemas". Durante a investigação, Saber e cyb0rg encontraram provas de ataques cibernéticos em andamento contra empresas sul-coreanas e taiwanesas, as quais eles afirmam ter contatado e alertado.

Leia mais

Patches & Updates

Apple:
Uma atualização de emergência foi lançada para corrigir uma falha crítica de zero-day no framework ImageIO, presente no macOS e iOS, da Apple. Catalogada como CVE-2025-43300, a vulnerabilidade está relacionada a um erro de escrita fora dos limites no componente de processamento de formatos de imagem, que poderia permitir o sequestro de dispositivos e a corrupção da memória. As correções já estão disponíveis nos seguintes versionamentos: iOS e iPadOS com a versão 18.6.2, no macOS Sequoia com a 15.6.1, no Sonoma com a 14.7.8 e no Ventura com a 13.7.8. Para modelos mais antigos de iPad, a atualização chegou na versão 17.7.10 do iPadOS. Segundo a própria Apple, a falha já vinha sendo explorada em ataques direcionados no mundo real, o que reforça a urgência da instalação imediata das atualizações.

Scattered Spider:
Um indivíduo de 20 anos, integrante do grupo cibercriminoso Scattered Spider, que ficou conhecido por diversos ataques como ao Resort MGM, foi sentenciado a 10 anos de prisão nos Estados Unidos. Noah Michael Urban se declarou culpado das acusações referentes a roubo de identidade e fraude eletrônica e, após os 120 meses de reclusão em prisão federal, Noah enfrentará 3 anos de liberdade condicional, além de uma pena pecuniária na casa dos 13 milhões de dólares em restituição às vítimas. Noah Urban, que também usou os pseudônimos de Sosa, Elijah, King Bob, Gustavo Fring e Anthony Ramirez, foi encontrado e capturado pelas autoridades em janeiro de 2024, na Flórida. 

GPT-5:
Pesquisadores de segurança da empresa Adversa AI descobriram uma grave vulnerabilidade no novo GPT-5, batizada de PROMISQROUTE, que permite manipular seu roteador interno o mecanismo que decide qual modelo de IA (GPT-5 Pro, GPT-4o, etc.) deve responder a uma solicitação. Através da inserção de frases-gatilho específicas no prompt, um usuário consegue burlar o sistema e forçar o uso de um modelo de sua preferência, em vez daquele selecionado automaticamente. A falha, conceitualmente semelhante a um ataque do tipo SSRF (Server-Side Request Forgery), foi descrita como um "ataque de evasão" que explora o processo de tomada de decisão do sistema.

Destaques pelo mundo

Gerenciadores de Senha:
O pesquisador de cibersegurança Marek Tóth testou uma vulnerabilidade específica em diversas extensões de gerenciamento de senha, visando a extração de informações sensíveis armazenadas, como senhas, nomes de usuários, chaves secretas e outros. Foram testadas as extensões do 1Password, Bitwarden, Dashlane, Enpass, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass, RoboForm e iCloud Passwords. Através de uma técnica de Clickjacking, Tóth mostrou como um atacante pode aproveitar-se de extensões que usam DOM, em conjunto com a funcionalidade de “autofill”, para exfiltrar as informações armazenadas por estas aplicações. A maioria dos ataques precisava somente de 1 clique em um elemento aparentemente inofensivo de uma página web para funcionar – envolvendo a exploração de vulnerabilidades como XSS, por exemplo. De acordo com Tóth, muitos dos fabricantes já atualizaram suas extensões contra esta técnica. O estudo completo pode ser conferido no blog do autor Marek Tóth

US border:
Dados recentes mostram que a Agência de Alfândega e Proteção de Fronteiras dos EUA (CBP), responsável pelo controle de fronteiras e imigração, revistou 14.899 dispositivos eletrônicos de viajantes internacionais entre abril e junho. O número representa um aumento de 17% em relação ao recorde anterior, registrado no início de 2022. As regras para essas inspeções variam: embora cidadãos americanos não possam ser impedidos de entrar no país, seus aparelhos podem ser apreendidos por tempo indeterminado caso se recusem a permitir a revista. Já os visitantes estrangeiros que se recusam à inspeção podem ter sua entrada nos EUA negada. A constitucionalidade dessas revistas de dispositivos na fronteira continua a ser um tema intensamente debatido, com decisões judiciais divergentes por todo o país. No entanto, é uma questão que a Suprema Corte dos EUA ainda não analisou.

Nigeria:
O país deportou 50 cidadãos chineses e um tunisiano condenados por terrorismo cibernético e fraude na internet como parte de uma repressão às redes de crimes cibernéticos lideradas por estrangeiros, informou a agência anticorrupção do país na quinta-feira. No final do ano passado, a EFCC prendeu quase 800 pessoas em um prédio em Lagos, considerado um pólo de fraudadores que atraíam as vítimas com ofertas românticas e as pressionavam a entregar dinheiro para investimentos falsos em criptomoedas.

Quer saber mais? Siga-nos nas redes sociais: LinkedinInstagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!

Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!

Escrito por: Thaís Hudari Abib e Murilo Lopes
Arte: George Lopes e Anselmo Costa

Read more