PacificNews#209: The metamorphosis
Como Beijing atacou militares das Filipinas com nova ferramenta ofensiva
Uma Ameaça Persistente Avançada (APT) chinesa comprometeu uma companhia militar nas Filipinas usando um novo método de ataque: um framework de malware que não usa arquivos, chamado de “EggStreme Framework”. Este framework é extremamente low-profile e executado em múltiplos estágios, capaz de rodar código diretamente na memória e utilizar sequestro de DLL para executar seus payloads. Com seu agente de execução, chamado de EggStremeAgent, um backdoor completo é habilitado no sistema da vítima, permitindo o reconhecimento completo do sistema afetado, movimentação lateral e o roubo de informações através de um keylogger injetado.
Quem descobriu este framework foi a empresa Bitdefender, que destacou a facilidade com que o malware opera no sistema das vítimas, mantendo uma conexão resiliente na máquina comprometida. A Bitdefender também afirmou não saber como os atacantes infectam seus alvos com o EggStreme, mas descobriram um servidor executando o framework, que sugere um desenvolvimento bastante sofisticado.
Este desenvolvimento acontece com diversos componentes, como o “EggStremeFuel”, que é responsável por implementar uma ferramenta chamada “EggStremeLoader”, que estabelece uma conexão persistente entre a máquina da vítima e o servidor controlado por um atacante. Na sequência, um outro loader, chamado “EggStremeReflectiveLoader” executa o payload principal – “EggStremeAgent”, o backdoor que citamos anteriormente.
O EggStremeAgent possui cerca de 58 comandos diferentes, que permitem aos invasores executar lançar diversas ferramentas, incluindo um backdoor chamado EggStremeWizard, que utiliza um programa legítimo para carregar um arquivo malicioso de forma oculta e executar atividades como: coleta de informações detalhadas do sistema, mapeamento de recursos locais e de rede, aumento privilégios para ganhar mais controle, execução arbitrária de comandos, roubo de dados, manipulação de arquivos e pastas e até injeção de código em processos que já estão em execução.
A Bitdefender, ainda, afirma que todo o framework EggStreme é extremamente difícil de ser detectado uma vez que seu sistema é infectado, já que todos os seus componentes executam diretamente na memória e não possuem arquivos criados no sistema. Suas técnicas de evasão não são comuns no mundo dos malwares. Não se sabe ao certo que tipo de empresa militar nas Filipinas foi afetada com o EggStreme, mas se sabe que há uma nova ameaça no mundo cibernético.
Senador dos EUA acusa Microsoft por "negligência grave em segurança cibernética"
Ron Wyden, senador democrata dos EUA, solicitou na quarta-feira à Comissão Federal de Comércio (FTC) que investigue e responsabilize a Microsoft por seu papel em uma série de incidentes cibernéticos nos últimos anos. Segundo ele, a postura da empresa em relação à segurança “continua a ameaçar a segurança nacional dos EUA”, tendo contribuído para ataques de ransomware contra infraestruturas críticas, incluindo organizações de saúde, em parte devido às configurações padrão do sistema operacional Windows.
Wyden destacou como exemplo o ataque de ransomware de maio de 2024 à operadora hospitalar Ascension, que expôs dados médicos e de seguros privados de quase 5,6 milhões de pessoas. O senador relatou que a operadora informou à sua equipe que um contratado, usando um laptop da Ascension, clicou em um link malicioso exibido no mecanismo de busca Bing, da Microsoft. Esse acesso teria permitido que os agentes maliciosos penetrassem na rede da empresa e, posteriormente, no servidor Microsoft Active Directory da organização, utilizado para gerenciar contas de usuários.
De acordo com Wyden, o suporte da Microsoft a tecnologias de criptografia obsoletas, somado às configurações padrão definidas pela empresa, possibilitou o ataque no caso da Ascension. Em resposta, um porta-voz da Microsoft rebateu, afirmando que o RC4, o padrão de criptografia citado pelo senador, é antigo e representa “menos de 0,1% do nosso tráfego”, além de ser desencorajado junto aos clientes.
A empresa informou ainda que o RC4 será desativado por padrão em determinados produtos Windows a partir do primeiro trimestre de 2026 e que incluirá “mitigações adicionais” para implantações existentes.
Patches & Updates
SAP:
Nesta semana diversas vulnerabilidades foram corrigidas pela SAP, incluindo três vulnerabilidades críticas no NetWeaver, sendo elas: CVE-2025-42944, com CVSS de 10, uma vulnerabilidade de desserialização insegura que pode resultar em portas arbitrárias sendo abertas por atacantes; CVE-2025-42922, de CVSS 9.9, uma vulnerabilidade de upload arbitrário de arquivos e CVE-2025-42958, de CVSS 9.1, uma falha na autenticação no NetWeaver de séries IBM i, que permite leitura, acesso e modificação a informação sensível. Atualizem já!
IA:
O K2 Think, sistema de IA lançado recentemente nos Emirados Árabes Unidos e desenvolvido para raciocínio avançado, foi alvo de jailbreak por meio da exploração de sua própria transparência. Pesquisadores se aproveitaram da explicabilidade integrada do K2 Think para desmantelar suas proteções de segurança, levantando novas questões sobre a real possibilidade de coexistência entre transparência e segurança em sistemas de IA. A Lei de IA da União Europeia, por exemplo, estabelece requisitos específicos de transparência, incluindo a explicabilidade: os usuários devem ser capazes de compreender como o modelo chegou às suas conclusões. A intenção é proteger os consumidores, evitar vieses e garantir a responsabilização – em outras palavras, transformar a tradicional natureza de “caixa-preta” do raciocínio da IA em algo auditável.
CarPlay:
A Oligo Security compartilhou detalhes sobre uma vulnerabilidade no Apple CarPlay. Segundo os pesquisadores, um invasor poderia explorar a falha tanto por meio de conexão via cabo USB quanto de forma sem fio por Bluetooth. Se o pareamento por PIN estiver habilitado, o atacante pode visualizar o código de 4 dígitos exibido na tela do sistema de infoentretenimento do veículo. Em alguns casos, no entanto, o chamado modo de pareamento “simply works” (“simplesmente funciona”) está ativado, permitindo a conexão ao sistema sem qualquer interação do usuário. O ataque explora o protocolo iAP2, usado pelo CarPlay para estabelecer conexões sem fio. Esse protocolo utiliza autenticação unidirecional: o telefone autentica a unidade principal do veículo, mas a unidade não autentica o telefone — o que abre brechas para exploração. A Apple corrigiu a vulnerabilidade CVE-2025-24132 no final de abril. No entanto, apenas alguns fornecedores já integraram o patch em seus produtos, deixando muitos sistemas ainda expostos.
Destaques pelo mundo
WAF:
De acordo com uma pesquisa feita pela CyCognito, mais da metade dos ativos expostos na rede por empresas Forbes Global 2000 não estão protegidos por Web Application Firewalls, ou WAFs. O estudo foi realizado em mais de 500.000 dispositivos externos entre janeiro e junho de 2025 e o resultado é que, dos dispositivos avaliados, 52.3% dos que são baseados em nuvem e 66.4% dos que são on-premise não possuem qualquer tipo de proteção por WAF. Estamos falando de uma camada de proteção que é para ser considerada básica. O maior motivo para isso, segundo a CyCognito, não é falta de verba, mas falta de visibilidade sobre todos os ativos da organização expostos na internet, além do uso exagerado de muitas ferramentas distribuídas entre estes hosts, que ocasiona buracos na cobertura. Outro fato que chamou a atenção: muitas empresas usam diversas soluções de WAF distribuídas entre seus diversos ativos, com algumas empresas usando 30 soluções diferentes de uma só vez.
SonicWall:
Atacantes cibernéticos afiliados ao grupo de ransomware Akira estão alvejando dispositivos SonicWall para garantir acesso inicial a sistemas ao redor do mundo. De acordo com o observado pela empresa de cibersegurança Rapid7, houve um pico em intrusões envolvendo produtos SonicWall neste último mês. Paralelamente, a SonicWall confirmou que muitas destas atividades ocorreram em seu produto SSL VPN, envolvendo uma falha de segurança revelada ano passado, onde senhas locais continuavam válidas após a migração das appliances. Além de relatar o fato, a SonicWall também fez um apelo aos administradores para rever os grupos padrão do LDAP SSL VPN, descrevendo-os como um ponto crítico de segurança caso estejam mal configurados, de forma a, efetivamente, contornar as ACLs do Active Directory, dando acesso direto aos atacantes para o perímetro da organização. Para reduzir os riscos, as organizações devem trocar as senhas de todas as contas locais do SonicWall, remover aquelas que estão inativas ou sem uso, garantir que a autenticação em múltiplos fatores esteja configurada e limitar o acesso ao portal Virtual Office apenas a partir da rede interna.
Petróleo:
Pesquisadores afirmam que um provável APT russo usou a conta de e-mail de um funcionário comprometido para atacar a KMG, a maior empresa do Cazaquistão. A própria companhia, no entanto, sustenta que se tratou apenas de um teste de segurança. A atividade maliciosa tem implicações geopolíticas. A KMG é uma estatal de petróleo e gás, cuja base de clientes está majoritariamente na Europa. Nesse contexto, em meio às ameaças de Putin à segurança da União Europeia (UE) e da Ucrânia, alguns países têm buscado reduzir sua dependência do gás russo.
Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!
Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!
Escrito por: Thaís Hudari Abib e Murilo Lopes
Arte: George Lopes e Anselmo Costa
