Relatório de Assinaturas de Ameaças

Aqui você encontra informações sobre as últimas
assinaturas de ameaças geradas por nossos especialistas.

Agosto/2022

O VMware Workspace ONE Access, o Identity Manager e o vRealize Automation contêm uma vulnerabilidade de desvio de autenticação que afeta os usuários do domínio local. Um agente mal-intencionado com acesso de rede à interface do usuário pode obter acesso administrativo sem a necessidade de autenticação.

Assinatura gerada pela Telle:
sid: 2038475
ET EXPLOIT Attempted VMware Authentication Bypass (CVE-2022-31656) (emerging-exploit.rules)

A assinatura corresponde a uma landing page do Facebook com capacidade de roubar credenciais de acesso.
Landing Page 2022-07-29 (emerging-current_events.rules)

Assinatura gerada pela Telle:
sid: 2037869
ET CURRENT_EVENTS Facebook Credential Theft Landing Page 2022-07-29 (emerging-current_events.rules)

O Grupo Lazarus tem fortes ligações com a Coreia do Norte.  A Coreia do Norte se beneficia da realização de operações cibernéticas porque pode apresentar uma ameaça assimétrica com um pequeno grupo de operadores, especialmente para a Coreia do Sul.

Assinatura gerada pela Telle:
sid: 2037957
ET TROJAN Lazarus APT Related Activity (GET) (emerging-trojan.rules)

Este grupo de espionagem cibernética tem como alvo vários diplomatas e economistas de alto nível que têm relações internacionais com a China, usando um conjunto personalizado de ferramentas de ataque. Os ataques geralmente eram feitos por meio de campanha de spear phishing ou ataques de watering hole.

Assinatura gerada pela Telle: sid: 2037963
ET TROJAN Patchwork APT Related Activity M3 (POST) (emerging-trojan.rules)

Assinaturas geradas pela Telle:
sid: 2037955
ET TROJAN SHARPEXT CnC Domain in DNS Lookup (gonamod .com) (emerging-trojan.rules)
 
sid: 2037956
ET TROJAN SHARPEXT CnC Domain in DNS Lookup (siekis .com) (emerging-trojan.rules)

O Zimbra Collaboration (também conhecido como ZCS) 8.8.15 e 9.0 possui a funcionalidade mboximport que recebe um arquivo ZIP e extrai arquivos dele. Um usuário autenticado com direitos de administrador tem a capacidade de fazer upload de arquivos arbitrários para o sistema, levando à travessia do diretório.

Assinatura gerada pela Telle:

sid: 2038504
ET EXPLOIT Possible Zimbra RCE Attempt Inbound (CVE-2022-27925) (emerging-exploit.rules)

Assinaturas geradas pela Telle:

sid: 2038530
ET TROJAN Shuckworm CnC Domain (leonardis .ru) in DNS Lookup (emerging-trojan.rules)
 
sid: 2038531
ET TROJAN Shuckworm CnC Domain (destroy .asierdo .ru) in DNS Lookup (emerging-trojan.rules)
 
sid: 2038532
ET TROJAN Shuckworm CnC Domain (heato .ru) in DNS Lookup (emerging-trojan.rules)
 
sid: 2038533
ET TROJAN Shuckworm CnC Domain (motoristo .ru) in DNS Lookup (emerging-trojan.rules)
 
sid: 2038534
ET TROJAN Shuckworm CnC Domain (a0698649 .xsph .ru) in DNS Lookup (emerging-trojan.rules)
 
sid: 2038535
ET TROJAN Shuckworm CnC Domain (pasamart .ru) in DNS Lookup (emerging-trojan.rules)

Assinaturas geradas pela Telle:

sid: 2038558
ET TROJAN Observed DNS Query to UNC3890 Domain (pfizerpoll .com) (emerging-trojan.rules)
 
sid: 2038559
ET TROJAN Observed DNS Query to UNC3890 Domain (naturaldolls .store) (emerging-trojan.rules)
 
sid: 2038560
ET TROJAN Observed DNS Query to UNC3890 Domain (rnfacebook .com) (emerging-trojan.rules)
 
sid: 2038561
ET TROJAN Observed DNS Query to UNC3890 Domain (xxx-doll .com) (emerging-trojan.rules)
 
sid: 2038562
ET TROJAN Observed DNS Query to UNC3890 Domain (celebritylife .news) (emerging-trojan.rules)
 
sid: 2038563
ET TROJAN Observed DNS Query to UNC3890 Domain (office365update .live) (emerging-trojan.rules)
 
sid: 2038564
ET TROJAN Observed DNS Query to UNC3890 Domain (fileupload .shop) (emerging-trojan.rules)
___

O VMware Workspace ONE Access, o Identity Manager e o vRealize Automation contêm uma vulnerabilidade de desvio de autenticação que afeta os usuários do domínio local. Um agente mal-intencionado com acesso de rede à interface do usuário pode obter acesso administrativo sem a necessidade de autenticação.

Assinatura gerada pela Telle:
sid: 2038475
ET EXPLOIT Attempted VMware Authentication Bypass (CVE-2022-31656) (emerging-exploit.rules)

A assinatura corresponde a uma landing page do Facebook com capacidade de roubar credenciais de acesso.
Landing Page 2022-07-29 (emerging-current_events.rules)

Assinatura gerada pela Telle:
sid: 2037869
ET CURRENT_EVENTS Facebook Credential Theft Landing Page 2022-07-29 (emerging-current_events.rules)

O Grupo Lazarus tem fortes ligações com a Coreia do Norte.  A Coreia do Norte se beneficia da realização de operações cibernéticas porque pode apresentar uma ameaça assimétrica com um pequeno grupo de operadores, especialmente para a Coreia do Sul.

Assinatura gerada pela Telle:
sid: 2037957
ET TROJAN Lazarus APT Related Activity (GET) (emerging-trojan.rules)

Este grupo de espionagem cibernética tem como alvo vários diplomatas e economistas de alto nível que têm relações internacionais com a China, usando um conjunto personalizado de ferramentas de ataque. Os ataques geralmente eram feitos por meio de campanha de spear phishing ou ataques de watering hole.

Assinatura gerada pela Telle: sid: 2037963
ET TROJAN Patchwork APT Related Activity M3 (POST) (emerging-trojan.rules)

Assinaturas geradas pela Telle:
sid: 2037955
ET TROJAN SHARPEXT CnC Domain in DNS Lookup (gonamod .com) (emerging-trojan.rules)
 
sid: 2037956
ET TROJAN SHARPEXT CnC Domain in DNS Lookup (siekis .com) (emerging-trojan.rules)
___

O VMware Workspace ONE Access, o Identity Manager e o vRealize Automation contêm uma vulnerabilidade de desvio de autenticação que afeta os usuários do domínio local. Um agente mal-intencionado com acesso de rede à interface do usuário pode obter acesso administrativo sem a necessidade de autenticação.

Assinatura gerada pela Telle:
sid: 2038475
ET EXPLOIT Attempted VMware Authentication Bypass (CVE-2022-31656) (emerging-exploit.rules)

A assinatura corresponde a uma landing page do Facebook com capacidade de roubar credenciais de acesso.
Landing Page 2022-07-29 (emerging-current_events.rules)

Assinatura gerada pela Telle:
sid: 2037869
ET CURRENT_EVENTS Facebook Credential Theft Landing Page 2022-07-29 (emerging-current_events.rules)

O Grupo Lazarus tem fortes ligações com a Coreia do Norte.  A Coreia do Norte se beneficia da realização de operações cibernéticas porque pode apresentar uma ameaça assimétrica com um pequeno grupo de operadores, especialmente para a Coreia do Sul.

Assinatura gerada pela Telle:
sid: 2037957
ET TROJAN Lazarus APT Related Activity (GET) (emerging-trojan.rules)

Este grupo de espionagem cibernética tem como alvo vários diplomatas e economistas de alto nível que têm relações internacionais com a China, usando um conjunto personalizado de ferramentas de ataque. Os ataques geralmente eram feitos por meio de campanha de spear phishing ou ataques de watering hole.

Assinatura gerada pela Telle: sid: 2037963
ET TROJAN Patchwork APT Related Activity M3 (POST) (emerging-trojan.rules)

Assinaturas geradas pela Telle:
sid: 2037955
ET TROJAN SHARPEXT CnC Domain in DNS Lookup (gonamod .com) (emerging-trojan.rules)
 
sid: 2037956
ET TROJAN SHARPEXT CnC Domain in DNS Lookup (siekis .com) (emerging-trojan.rules)

Tellegroup ® Todos os direitos reservados.