Análise baseada no SANS NewsBites Vol. 28, Num. 30. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE e EPSS: Como lidar com a enchente de CVEs usando o Exploit Prediction Scoring System para priorização baseada em risco real.Lumma Stealer + Sectop RAT: Cadeia de infecção combinando Lumma Stealer com o ArechClient2 (Sectop RAT) para roubo de credenciais e acesso remoto.QEMU Abuse: QEMU sendo abusado para evadir detecção e habilitar entrega de ransomware, usando virtualização como vetor.Windows Server 2025 Out of Band Patch: Patch extraordinário para Windows Server 2025.
Análise baseada no SANS NewsBites Vol. 28, Num. 30. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE e EPSS: Como lidar com a enchente de CVEs usando o Exploit Prediction Scoring System para priorização baseada em risco real.Lumma Stealer + Sectop RAT: Cadeia de infecção combinando Lumma Stealer com o ArechClient2 (Sectop RAT) para roubo de credenciais e acesso remoto.QEMU Abuse: QEMU sendo abusado para evadir detecção e habilitar entrega de ransomware, usando virtualização como vetor.Windows Server 2025 Out of Band Patch: Patch extraordinário para Windows Server 2025.Análise baseada no SANS NewsBites Vol. 28, Num. 30. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE e EPSS: Como lidar com a enchente de CVEs usando o Exploit Prediction Scoring System para priorização baseada em risco real.Lumma Stealer + Sectop RAT: Cadeia de infecção combinando Lumma Stealer com o ArechClient2 (Sectop RAT) para roubo de credenciais e acesso remoto.QEMU Abuse: QEMU sendo abusado para evadir detecção e habilitar entrega de ransomware, usando virtualização como vetor.Windows Server 2025 Out of Band Patch: Patch extraordinário para Windows Server 2025.
Análise baseada no SANS NewsBites Vol. 28, Num. 30. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE e EPSS: Como lidar com a enchente de CVEs usando o Exploit Prediction Scoring System para priorização baseada em risco real.Lumma Stealer + Sectop RAT: Cadeia de infecção combinando Lumma Stealer com o ArechClient2 (Sectop RAT) para roubo de credenciais e acesso remoto.QEMU Abuse: QEMU sendo abusado para evadir detecção e habilitar entrega de ransomware, usando virtualização como vetor.Windows Server 2025 Out of Band Patch: Patch extraordinário para Windows Server 2025.
Análise baseada no SANS NewsBites Vol. 28, Num. 30. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE e EPSS: Como lidar com a enchente de CVEs usando o Exploit Prediction Scoring System para priorização baseada em risco real.Lumma Stealer + Sectop RAT: Cadeia de infecção combinando Lumma Stealer com o ArechClient2 (Sectop RAT) para roubo de credenciais e acesso remoto.QEMU Abuse: QEMU sendo abusado para evadir detecção e habilitar entrega de ransomware, usando virtualização como vetor.Windows Server 2025 Out of Band Patch: Patch extraordinário para Windows Server 2025.
Análise baseada no SANS NewsBites Vol. 28, Num. 30. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE e EPSS: Como lidar com a enchente de CVEs usando o Exploit Prediction Scoring System para priorização baseada em risco real.Lumma Stealer + Sectop RAT: Cadeia de infecção combinando Lumma Stealer com o ArechClient2 (Sectop RAT) para roubo de credenciais e acesso remoto.QEMU Abuse: QEMU sendo abusado para evadir detecção e habilitar entrega de ransomware, usando virtualização como vetor.Windows Server 2025 Out of Band Patch: Patch extraordinário para Windows Server 2025.Análise baseada no SANS NewsBites Vol. 28, Num. 30. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE e EPSS: Como lidar com a enchente de CVEs usando o Exploit Prediction Scoring System para priorização baseada em risco real.Lumma Stealer + Sectop RAT: Cadeia de infecção combinando Lumma Stealer com o ArechClient2 (Sectop RAT) para roubo de credenciais e acesso remoto.QEMU Abuse: QEMU sendo abusado para evadir detecção e habilitar entrega de ransomware, usando virtualização como vetor.Windows Server 2025 Out of Band Patch: Patch extraordinário para Windows Server 2025.
Análise baseada no SANS NewsBites Vol. 28, Num. 30. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE e EPSS: Como lidar com a enchente de CVEs usando o Exploit Prediction Scoring System para priorização baseada em risco real.Lumma Stealer + Sectop RAT: Cadeia de infecção combinando Lumma Stealer com o ArechClient2 (Sectop RAT) para roubo de credenciais e acesso remoto.QEMU Abuse: QEMU sendo abusado para evadir detecção e habilitar entrega de ransomware, usando virtualização como vetor.Windows Server 2025 Out of Band Patch: Patch extraordinário para Windows Server 2025.
Análise baseada no SANS NewsBites Vol. 28, Num. 30. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Esta edição do SANS NewsBites cobre desde um breach massivo na Vercel via supply chain até a adição de uma vulnerabilidade de 13 anos do Apache ActiveMQ ao catálogo KEV da CISA, passando por zero-days do Microsoft Defender sendo ativamente explorados. Abaixo, os destaques técnicos da semana.
Vercel Breached via Context.ai: Ataque na Supply Chain OAuth
A Vercel, mantenedora do framework Next.js e plataforma cloud PaaS, publicou um boletim de segurança em 19 de abril revelando um incidente de segurança. Um atacante assumiu o controle da conta Google Workspace de um funcionário da Vercel por meio de um comprometimento em um aplicativo OAuth de terceiros da Context.ai, um fornecedor de agentes de IA empresariais. A partir daí, o acesso foi escalado para sistemas internos da Vercel.
Embora o CEO da Vercel tenha afirmado que “a Vercel armazena todas as variáveis de ambiente dos clientes totalmente criptografadas em repouso”, o acesso não autorizado incluiu ambientes e variáveis “não sensíveis”. Um relatório paralelo da Hudson Rock avalia que um ataque Lumma infostealer na Context.ai em fevereiro de 2026 pode ter precipitado esta violação. Recomenda-se que todos os usuários do Context.ai no Google Workspace busquem pelo ID do aplicativo malicioso no console de administração do Google e revoguem o acesso imediatamente.
Lições: Este é um ataque clássico de supply chain habilitado por roubo de credenciais. A Vercel recomenda que os usuários configurem Deployment Protection como “Standard” ou superior, rotacionem tokens e variáveis de ambiente, designem secrets como “sensitive” e revisem logs de atividade e deployments recentes.
Apache ActiveMQ Classic Adicionado ao KEV — Vulnerabilidade de 13 Anos
A CISA adicionou uma vulnerabilidade de 13 anos no Apache ActiveMQ Classic ao catálogo Known Exploited Vulnerabilities (KEV). O CVE-2026-34197 é uma falha de validação de entrada/injeção de código que afeta o ActiveMQ Broker e o ActiveMQ Classic. O Jolokia JMX-HTTP bridge é exposto em /api/jolokia/ no console web. Pesquisadores da Horizon3 descobriram que a falha permite que “um atacante invoque uma operação de gerenciamento através da API Jolokia do ActiveMQ para enganar o broker e fazê-lo buscar um arquivo de configuração remoto e executar comandos arbitrários do sistema operacional”.
O ataque requer credenciais, mas credenciais padrão (admin:admin) são comuns em muitos ambientes, efetivamente tornando-o um ataque não autenticado. Os pesquisadores da Horizon3 usaram o assistente de IA Claude da Anthropic para detectar a vulnerabilidade, que estava “escondida à vista por 13 anos”.
Ação: Atualizar para ActiveMQ 5.19.4 ou 6.2.3 e eliminar credenciais padrão. Agências do Poder Executivo Civil Federal dos EUA (FCEB) têm até 20 de abril para mitigar.
Microsoft Defender Zero-Days: BlueHammer, RedSun e UnDefend
Três vulnerabilidades zero-day no Microsoft Defender estão sendo ativamente exploradas. Os pesquisadores da Huntress confirmaram que estão “observando o uso das técnicas de exploração BlueHammer, RedSun e UnDefend”. BlueHammer e RedSun são vulnerabilidades de escalação de privilégio local; UnDefend pode ser explorada para causar negação de serviço e bloquear atualizações de definições.
O PoC do BlueHammer foi lançado em 3 de abril, e a Microsoft o corrigiu no Patch Tuesday da semana passada (CVE-2026-33825, CVSS 7.8, “granularidade insuficiente de controle de acesso”). Os PoCs do RedSun e UnDefend foram lançados em 16 de abril.
Ação: A correção do CVE-2026-33825 está no Defender 4.18.26030.3011 e superiores, lançado em 14 de abril com atualização automática. Verifique se a atualização foi aplicada.
Bluesky Sob Ataque DDoS
A plataforma social Bluesky reportou em 16 de abril que “quedas intermitentes do aplicativo” iniciadas na noite anterior foram resultado de um ataque DDoS. Usuários experimentaram interrupções intermitentes em feeds, notificações, threads e funções de busca. Os ataques continuam, mas o aplicativo permanece estável desde 9pm PDT em 16 de abril, sem evidências de acesso não autorizado a dados privados de usuário.
Operation PowerOFF: Takedown Internacional de DDoS-for-Hire
Durante a semana de 13 de abril, a Operation PowerOFF da Europol realizou quatro prisões, derrubou 53 domínios, emitiu 25 mandados de busca e enviou mais de 75.000 advertências a usuários de plataformas de DDoS como serviço. Autoridades de 21 países apreenderam a infraestrutura de serviços booter, interrompendo operações e obtendo informações sobre mais de três milhões de usuários dos serviços. Domínios removidos incluem Quantum-stress, Stresse, Unknownstresser, Vacstresser, dreams-stresser e Mythicalstress.
NY Financial Institutions: Prazo Final para Atestado de Cibersegurança
Instituições financeiras que operam no estado de Nova York enfrentaram o prazo de 15 de abril para atestar a adoção de autenticação multifator (MFA) e manter inventários precisos de seus ativos de TI, incluindo listas atualizadas de dispositivos e planos de gerenciamento de fim de vida. O prazo é o último de vários requisitos estabelecidos por emendas de 2023 à Regra de Cibersegurança de Nova York, que já incluíam janela de 72 horas para relatar incidentes, melhores práticas de gerenciamento de vulnerabilidades e governança mais forte.
Forescout: 23 Vulnerabilidades em Conversores Serial-to-IP
Pesquisadores da Forescout apresentarão no Black Hat Asia descobertas sobre vulnerabilidades em conversores serial-to-IP, dispositivos críticos em ambientes de OT e healthcare. A análise de firmware de cinco grandes fornecedores encontrou “componentes desatualizados, n-days e falta de hardening binário”. Oito vulnerabilidades foram encontradas nos Lantronix EDS3000PS e EDS5000 (com aviso da CISA em 10 de março), e 12 nos Silex SD-330AC. CVSS scores chegam a 10.0.
Ação: Esses dispositivos devem cair sob proteções IoT/OT, ser isolados, não acessíveis pela internet, e monitorados quanto a casos de uso legítimos.
Scattered Spider: Plea Guilty de Tyler Buchanan
Tyler Robert Buchanan, 24 anos, membro do grupo Scattered Spider, se declarou culpado em tribunal da Califórnia por conspiração para cometer fraude eletrônica e roubo de identidade agravado. O grupo utilizou phishing via SMS para comprometer sistemas corporativos, realizou SIM swapping para contornar autenticação de dois fatores e roubou pelo menos US$ 8 milhões em ativos de criptomoedas. Um co-conspirador já cumpre 10 anos de prisão federal e pagará US$ 13 milhões em restituição. A sentença de Buchanan está marcada para 21 de agosto de 2026, com pena máxima de 22 anos.
Bluetooth Tracker Revela Localização de Navio Militar Holandês
A localização de um navio da marinha holandesa foi exposta por aproximadamente 24 horas depois que um cartão-postal contendo um rastreador Bluetooth foi enviado ao navio. O rastreador permaneceu ativo por um dia. O Ministério da Defesa holandês afirma que o dispositivo foi detectado e desativado durante a triagem de correspondência, mas que pacotes enviados a membros das forças armadas são rotineiramente escaneados — envelopes não eram. A política será alterada para banir cartões contendo baterias.
Tech Corner: CVE/EPSS, Lumma Stealer e QEMU Abuse
Lumma Stealer + Sectop RAT: Cadeia de infecção combinando Lumma Stealer com o ArechClient2 (Sectop RAT) para roubo de credenciais e acesso remoto.QEMU Abuse: QEMU sendo abusado para evadir detecção e habilitar entrega de ransomware, usando virtualização como vetor.Windows Server 2025 Out of Band Patch: Patch extraordinário para Windows Server 2025.Análise baseada no SANS NewsBites Vol. 28, Num. 30. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE e EPSS: Como lidar com a enchente de CVEs usando o Exploit Prediction Scoring System para priorização baseada em risco real.Lumma Stealer + Sectop RAT: Cadeia de infecção combinando Lumma Stealer com o ArechClient2 (Sectop RAT) para roubo de credenciais e acesso remoto.QEMU Abuse: QEMU sendo abusado para evadir detecção e habilitar entrega de ransomware, usando virtualização como vetor.Windows Server 2025 Out of Band Patch: Patch extraordinário para Windows Server 2025.Análise baseada no SANS NewsBites Vol. 28, Num. 30. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE e EPSS: Como lidar com a enchente de CVEs usando o Exploit Prediction Scoring System para priorização baseada em risco real.Lumma Stealer + Sectop RAT: Cadeia de infecção combinando Lumma Stealer com o ArechClient2 (Sectop RAT) para roubo de credenciais e acesso remoto.QEMU Abuse: QEMU sendo abusado para evadir detecção e habilitar entrega de ransomware, usando virtualização como vetor.Windows Server 2025 Out of Band Patch: Patch extraordinário para Windows Server 2025.
Análise baseada no SANS NewsBites Vol. 28, Num. 30. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE e EPSS: Como lidar com a enchente de CVEs usando o Exploit Prediction Scoring System para priorização baseada em risco real.Lumma Stealer + Sectop RAT: Cadeia de infecção combinando Lumma Stealer com o ArechClient2 (Sectop RAT) para roubo de credenciais e acesso remoto.QEMU Abuse: QEMU sendo abusado para evadir detecção e habilitar entrega de ransomware, usando virtualização como vetor.Windows Server 2025 Out of Band Patch: Patch extraordinário para Windows Server 2025.
Análise baseada no SANS NewsBites Vol. 28, Num. 30. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário