Openssh

Ataque cibernético revela falhas em segurança de pequenas empresas

Um ataque cibernético a uma pequena empresa automotiva na França, realizado por um invasor de língua francesa, expôs vulnerabilidades significativas em segurança. O atacante, identificado como ‘Poisson’, implantou um keylogger para roubar credenciais bancárias e de e-mail. O que se destacou foi a instalação de OpenSSH e Tailscale na máquina da vítima, criando um acesso persistente que não dependia do servidor de comando e controle (C2). Após o C2 ficar offline, o acesso do invasor permaneceu ativo, permitindo que ele se reconectasse automaticamente dias depois. O ataque foi documentado em detalhes por pesquisadores da Cato Networks, que capturaram 339 comandos executados ao longo de 33 dias. O invasor utilizou ferramentas comuns e deixou rastros, como a exposição de seu diretório pessoal e a nomeação de buckets de armazenamento com seu próprio nome. O ataque destaca a importância de não apenas desativar o C2, mas também de identificar e eliminar portas de acesso alternativas que possam ter sido criadas. Para pequenas empresas, a exposição financeira decorrente do roubo de credenciais é uma preocupação crítica.

Grupo ligado à China compromete sistema de login do Linux

Um grupo de cibercriminosos conhecido como Velvet Ant, vinculado à China, conseguiu se infiltrar no sistema de login do Linux, especificamente nos componentes PAM e OpenSSH, por quase uma década. Em vez de utilizar malware visível, os atacantes modificaram os programas de login confiáveis, permitindo acesso não detectado e a coleta de credenciais de usuários. A operação começou em 2016 e foi caracterizada por uma abordagem furtiva, onde o grupo utilizou servidores expostos à internet como ponte para acessar redes isoladas. A pesquisa revelou nove versões diferentes do módulo de login PAM comprometido, que registravam senhas e comandos sem que os usuários percebessem. A complexidade da situação é agravada pelo fato de que a simples reinicialização de senhas não é eficaz, uma vez que o sistema que valida as credenciais está sob controle do atacante. A recomendação para mitigar esses riscos inclui monitorar alterações nos arquivos de login e realizar verificações rigorosas de integridade. O caso destaca a necessidade de uma vigilância mais abrangente sobre sistemas que normalmente não estão sob monitoramento constante.

Campanha de Malware Foca em Setor de Defesa na Rússia e Bielorrússia

Recentemente, uma nova campanha de ciberespionagem, chamada Operação SkyCloak, foi identificada, visando o setor de defesa na Rússia e na Bielorrússia. Os atacantes utilizam e-mails de phishing com anexos maliciosos, disfarçados como documentos militares, para implantar um backdoor persistente em sistemas comprometidos. O malware utiliza OpenSSH e um serviço oculto Tor para ofuscação de tráfego, permitindo que os invasores mantenham controle remoto sobre as máquinas infectadas.

O ataque começa com um arquivo ZIP que contém um atalho do Windows (LNK) e um segundo arquivo compactado. Quando o atalho é aberto, comandos PowerShell são executados, iniciando uma cadeia de infecção. O malware realiza verificações para evitar ambientes de análise, como sandboxes, e, uma vez que as condições são atendidas, exibe um documento PDF como isca. Além disso, cria tarefas agendadas para garantir sua persistência e estabelece um serviço SSH que permite a transferência de arquivos e acesso remoto.