Aws

Uma nova campanha de cibersegurança está atacando clientes da Amazon Web Services (AWS) utilizando credenciais comprometidas de Gerenciamento de Identidade e Acesso (IAM) para realizar mineração de criptomoedas. Detectada pela primeira vez em 2 de novembro de 2025 pelo serviço de detecção de ameaças GuardDuty da Amazon, a atividade emprega técnicas de persistência inovadoras para dificultar a resposta a incidentes. Os atacantes, operando de um provedor de hospedagem externo, rapidamente enumeraram recursos e permissões antes de implantar recursos de mineração em ECS e EC2. Em menos de 10 minutos após o acesso inicial, os mineradores estavam operacionais.

A segurança na nuvem enfrenta novos desafios, com atacantes explorando vulnerabilidades em configurações, identidades e códigos, em vez de realizar ataques diretos. Ferramentas de segurança convencionais frequentemente falham em detectar essas ameaças, que se disfarçam como atividades normais. O time Cortex Cloud da Palo Alto Networks realizará um webinar técnico para discutir três vetores de ataque que estão contornando a segurança tradicional: erros de configuração de identidade na AWS, ocultação de arquivos maliciosos em modelos de IA e permissões excessivas em Kubernetes. Durante a sessão, especialistas mostrarão como esses ataques são realizados e como as equipes podem melhorar a visibilidade e a detecção de ameaças. O evento promete fornecer insights práticos sobre como auditar logs de nuvem, corrigir permissões arriscadas e aplicar controles voltados para IA, ajudando as organizações a se protegerem antes que vulnerabilidades sejam exploradas. A participação é essencial para fechar as lacunas de segurança e evitar surpresas desagradáveis em relatórios de violação.

Um incidente significativo de segurança na nuvem foi identificado, revelando táticas avançadas de atores maliciosos que visam comprometer ambientes da AWS por meio de credenciais roubadas. Pesquisadores de segurança descobriram a campanha TruffleNet, que utiliza a ferramenta de código aberto TruffleHog para testar chaves de acesso comprometidas e realizar reconhecimento automatizado. A operação destaca o uso em larga escala do Amazon Simple Email Service (SES) para facilitar campanhas de Business Email Compromise (BEC), afetando mais de 800 hosts únicos em 57 redes Class C. Os atacantes validam credenciais através da API GetCallerIdentity da AWS e, após a confirmação, exploram o SES para criar novas identidades de envio de e-mails, permitindo a execução de fraudes. A análise revelou que os IPs de origem da TruffleNet careciam de sinalizações de reputação, indicando uma infraestrutura sob medida. Para mitigar essas ameaças, as organizações devem implementar políticas de IAM de menor privilégio e monitorar atividades anômalas no SES.

A Amazon Web Services (AWS) identificou a causa de uma grande interrupção que afetou milhões de clientes e suas operações em 19 e 20 de outubro de 2025. O problema foi causado por uma falha na resolução de DNS que afetou os pontos de serviço regionais do DynamoDB, um dos serviços de banco de dados de alto desempenho da Amazon. A interrupção começou às 23h49 PDT e durou cerca de duas horas e trinta e cinco minutos, resultando em um efeito dominó que afetou não apenas o DynamoDB, mas também a própria Amazon.com e diversos serviços subsidiários. A equipe da AWS agiu rapidamente, identificando o problema às 00h26 PDT e resolvendo a questão de DNS às 02h24 PDT. No entanto, a recuperação total levou cerca de quinze horas, com a normalização das operações ocorrendo apenas às 15h01 PDT do dia 20. Para evitar uma degradação adicional, a AWS adotou uma abordagem estratégica de controle, limitando deliberadamente o lançamento de novas instâncias do EC2, o que ajudou a estabilizar o sistema. A empresa publicou um resumo detalhado do evento, explicando as ações tomadas e as mudanças preventivas que serão implementadas para evitar incidentes semelhantes no futuro.

O Gabinete de Segurança Institucional (GSI) do Brasil anunciou um acordo com a Amazon para a hospedagem de dados governamentais, incluindo informações classificadas e sigilosas, na Amazon Web Services (AWS). A nova normativa, que substitui uma proibição anterior de 2021, permite que dados sejam armazenados em nuvens de empresas privadas, desde que os data centers estejam localizados no Brasil. Especialistas levantam preocupações sobre a segurança e a soberania dos dados, citando legislações americanas, como o Cloud Act, que podem exigir que empresas entreguem dados sob ordens judiciais, mesmo que estejam fora dos EUA. A AWS, por sua vez, afirma que os clientes têm controle total sobre seus dados e que não pode acessá-los sem autorização. A Agência Nacional de Proteção de Dados (ANPD) não participou da elaboração do acordo, mas poderá intervir para garantir a conformidade com a legislação brasileira. Além disso, um recente apagão nos servidores da AWS levantou questões sobre a confiabilidade do serviço, o que poderia afetar a segurança de informações sensíveis do governo brasileiro.

Na madrugada de 20 de outubro de 2025, a Amazon Web Services (AWS) sofreu uma queda massiva que afetou a infraestrutura digital global. O problema começou por volta de 12h11 PDT, com falhas no serviço de banco de dados DynamoDB, que rapidamente se espalharam para outros serviços essenciais como EC2 e S3. Isso resultou em interrupções em plataformas populares como Snapchat, Amazon Prime Video e Canva, deixando milhões de usuários sem acesso a seus aplicativos e serviços. A AWS, que detém cerca de um terço do mercado global de nuvem, enfrentou críticas sobre a fragilidade da centralização de sua infraestrutura. Embora a empresa tenha declarado que o problema foi resolvido ao meio-dia, o impacto da queda ainda era sentido, com usuários relatando lentidão em serviços e gerando discussões sobre a necessidade de diversificação entre provedores de nuvem. A falha foi atribuída a um problema de resolução de DNS, que cortou a conexão entre os clientes e os gateways da AWS, evidenciando a vulnerabilidade de depender de um único provedor para operações críticas. O incidente levantou preocupações sobre a segurança e a resiliência das infraestruturas digitais, especialmente em setores críticos como saúde e finanças.

Uma investigação sobre a violação de uma infraestrutura hospedada na Amazon Web Services (AWS) revelou um novo rootkit para GNU/Linux, denominado LinkPro, conforme relatado pela empresa de cibersegurança Synacktiv. O ataque começou com a exploração de um servidor Jenkins exposto, vulnerável à CVE-2024–23897, que permitiu a implantação de uma imagem Docker maliciosa chamada ‘kvlnt/vv’ em vários clusters Kubernetes. Essa imagem continha um sistema baseado em Kali Linux e arquivos que permitiam a instalação de um servidor VPN e um downloader que se comunicava com um servidor de comando e controle (C2).

Um novo grupo de hackers, denominado Crimson Collective, representa uma ameaça significativa à infraestrutura de nuvem, com foco especial em ambientes da Amazon Web Services (AWS). De acordo com a pesquisa da Rapid7, o grupo se especializa em operações de roubo de dados e extorsão, utilizando credenciais de acesso de longo prazo comprometidas e políticas IAM excessivamente permissivas para infiltrar sistemas corporativos.

Os ataques começam com a exploração de chaves de acesso AWS vazadas, frequentemente obtidas de repositórios expostos ou ambientes mal configurados. Utilizando a ferramenta TruffleHog, os atacantes localizam e validam credenciais utilizáveis. Uma vez dentro do sistema, eles estabelecem persistência e elevam privilégios, ganhando controle administrativo total sobre o ambiente da vítima.

Um novo framework chamado XRayC2 demonstra como atacantes podem transformar o serviço de rastreamento distribuído AWS X-Ray em um canal de comando e controle (C2) furtivo, contornando os controles de segurança de rede convencionais ao utilizar tráfego legítimo da API da AWS. Ao explorar a infraestrutura da nuvem, o XRayC2 utiliza a funcionalidade de anotação do AWS X-Ray para embutir dados criptografados em segmentos de rastreamento, roteando todas as comunicações através de domínios legítimos da AWS, como xray..amazonaws.com. Essa técnica mistura cargas maliciosas com dados de monitoramento padrão, dificultando a detecção por ferramentas que se concentram apenas na origem ou volume do tráfego.

A empresa de segurança em nuvem Wiz revelou a exploração ativa de uma vulnerabilidade no utilitário Linux Pandoc, que pode comprometer o Amazon Web Services (AWS) Instance Metadata Service (IMDS). A falha, identificada como CVE-2025-51591, possui uma pontuação CVSS de 6.5 e se refere a um caso de Server-Side Request Forgery (SSRF). Essa vulnerabilidade permite que atacantes injetem elementos HTML iframe, possibilitando o acesso a credenciais temporárias do IAM associadas a instâncias EC2. O IMDS é crucial para fornecer informações sobre instâncias em execução e credenciais temporárias, que podem ser usadas para interagir com outros serviços da AWS. A Wiz observou tentativas de exploração desde agosto de 2025, embora os ataques tenham sido mitigados pela implementação do IMDSv2, que requer um token para acessar o IMDS. Para mitigar os riscos associados à CVE-2025-51591, recomenda-se o uso de opções específicas no Pandoc para evitar a inclusão de iframes. A Mandiant também alertou que instâncias EC2 que utilizam IMDSv1 e software de terceiros vulnerável estão em risco. A adoção do IMDSv2 e a aplicação do princípio do menor privilégio são essenciais para proteger as infraestruturas na nuvem.

Pesquisadores de cibersegurança revelaram detalhes sobre a nova botnet ShadowV2, que permite a locação de acesso para realizar ataques de negação de serviço distribuído (DDoS). Essa botnet, identificada pela empresa Darktrace, foca principalmente em containers Docker mal configurados em servidores da Amazon Web Services (AWS). O malware, escrito em Go, transforma sistemas infectados em nós de ataque, integrando-os a uma rede maior de DDoS. A campanha utiliza um framework de comando e controle (C2) baseado em Python, hospedado no GitHub Codespaces, e se destaca pela sofisticação de suas ferramentas de ataque, incluindo métodos avançados como HTTP/2 Rapid Reset e bypass do modo Under Attack da Cloudflare.

A Salesloft confirmou um vazamento de dados relacionado ao seu aplicativo Drift, que teve início com a violação de sua conta no GitHub. A investigação conduzida pela Mandiant, subsidiária do Google, revelou que o ator de ameaças identificado como UNC6395 teve acesso à conta do GitHub da Salesloft entre março e junho de 2025. Durante esse período, o invasor conseguiu baixar conteúdos de múltiplos repositórios, adicionar um usuário convidado e estabelecer fluxos de trabalho. Além disso, foram realizadas atividades de reconhecimento nas aplicações Salesloft e Drift. Embora não haja evidências de atividades além do reconhecimento, os atacantes conseguiram acessar o ambiente da Amazon Web Services (AWS) do Drift e obter tokens OAuth, que foram utilizados para acessar dados de integrações tecnológicas de clientes do Drift. Em resposta ao incidente, a Salesloft isolou a infraestrutura do Drift e tomou medidas de segurança, como a rotação de credenciais e a melhoria do controle de segmentação entre as aplicações. A Salesforce, que havia suspenso temporariamente a integração com a Salesloft, reestabeleceu a conexão, exceto para o aplicativo Drift, que permanecerá desativado até nova ordem.

Pesquisadores de cibersegurança da Wiz descobriram uma campanha de phishing sofisticada que explora o Amazon Simple Email Service (SES) para realizar ataques em larga escala. Identificada em maio de 2025, a campanha começou com chaves de acesso da AWS roubadas, um vetor de ataque comum. O que a tornou particularmente perigosa foi a capacidade do atacante de escalar suas permissões de envio de e-mails, passando do modo ‘sandbox’ restrito para acesso de produção sem limitações.

Pesquisadores de cibersegurança da Trustwave SpiderLabs identificaram um aumento alarmante em ataques de phishing, onde criminosos cibernéticos estão explorando plataformas de marketing por e-mail e serviços em nuvem legítimos para contornar controles de segurança e enganar vítimas. O sistema de escaneamento de URLs da empresa detectou um aumento significativo em campanhas sofisticadas que utilizam a reputação de plataformas populares para evitar detecções e roubar credenciais corporativas.

Os atacantes estão abusando de serviços de marketing por e-mail, como o domínio de rastreamento ‘klclick3.com’, para criar e-mails de phishing que disfarçam URLs maliciosos como notificações de correio de voz. Além disso, a infraestrutura da Amazon Web Services (AWS) está sendo utilizada para hospedar conteúdo malicioso, explorando a confiança inerente à plataforma. As campanhas recentes incluem e-mails com temas de “Pagamento” que redirecionam para sites de phishing que imitam serviços legítimos, como o Roundcube Webmail.