Chaosbot usa senhas do CiscoVPN e Active Directory para comandos de rede

BR Defense Center (By River de Morais e Silva)
malware

Em setembro de 2025, a unidade de resposta a ameaças da eSentire, conhecida como TRU, identificou um sofisticado backdoor em Rust, chamado ‘ChaosBot’, que visa ambientes de serviços financeiros. Este malware inova ao utilizar credenciais comprometidas do CiscoVPN e uma conta de Active Directory com privilégios excessivos para implantar e controlar sistemas infectados. O ataque se inicia com a obtenção de credenciais válidas ou por meio de arquivos de atalho maliciosos que executam comandos PowerShell para baixar o payload principal. O ChaosBot se esconde utilizando componentes legítimos do Microsoft Edge para evitar detecções iniciais e se comunica com os atacantes via Discord, demonstrando técnicas avançadas de evasão e persistência. As recomendações incluem a implementação de autenticação multifatorial e a limitação de privilégios de contas de serviço, além de manter patches atualizados e soluções de EDR/NGAV para detectar atividades suspeitas. A análise da TRU isolou a máquina infectada para conter a violação e orientar os esforços de remediação.

Fonte: https://cyberpress.org/chaosbot-ciscovpn-attack/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
10/10/2025 • Risco: ALTO
MALWARE

Chaosbot usa senhas do CiscoVPN e Active Directory para comandos de rede

RESUMO EXECUTIVO
O ChaosBot representa uma ameaça significativa para organizações que utilizam CiscoVPN e Active Directory, com técnicas de evasão que dificultam a detecção. A exploração de credenciais e a capacidade de executar comandos remotamente aumentam o risco de compromissos de segurança e violações de dados.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras significativas devido a violações de dados e interrupções operacionais.
Operacional
Infiltração em sistemas e controle remoto através do Discord.
Setores vulneráveis
['Serviços financeiros', 'Tecnologia da informação']

📊 INDICADORES CHAVE

Uso de credenciais do CiscoVPN e Active Directory. Indicador
Comunicação via Discord para controle remoto. Contexto BR
Execução de comandos em múltiplos hosts sem login interativo. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de acesso e autenticação do CiscoVPN e Active Directory.
2 Implementar autenticação multifatorial em todas as contas de acesso remoto.
3 Monitorar tráfego de rede para atividades suspeitas, especialmente comunicações com Discord.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a capacidade do ChaosBot de explorar credenciais comuns e a facilidade de controle remoto que ele oferece aos atacantes.

⚖️ COMPLIANCE

Implicações para a LGPD, especialmente em relação à proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).