剣 KENSAI
← All posts · security · 2026-03-11

Roubo de credenciais FortiGate, botnet KadNap atinge 14.000 routers, Microsoft corrige 2 Zero-Days

← Voltar ao Blog

1. Firewalls FortiGate explorados para roubar credenciais AD

🚨 CRÍTICO — Campanha ativa visando saúde & governo

Atores de ameaças abusam de appliances FortiGate Next-Generation Firewall (NGFW) como pontos de entrada para comprometer redes de vítimas. A campanha visa ambientes de saúde, governo e provedores de serviços gerenciados, extraindo ficheiros de configuração que contêm credenciais de contas de serviço e dados de topologia de rede.

Segundo a SentinelOne, os atacantes exploram vulnerabilidades recentemente divulgadas — CVE-2025-59718, CVE-2025-59719 e CVE-2026-24858 — ou credenciais fracas para comprometer appliances FortiGate. Como estes dispositivos frequentemente se conectam ao Active Directory e LDAP para aplicação de políticas baseadas em funções, um appliance comprometido entrega aos atacantes as chaves de toda a infraestrutura de autenticação.

Num incidente documentado, os atacantes criaram uma conta de administrador local fraudulenta chamada "support", configuraram quatro políticas de firewall permissivas e posteriormente descifraram o ficheiro de configuração para extrair credenciais de conta de serviço LDAP em texto simples. Em seguida, registaram estações de trabalho fraudulentas no Active Directory antes de serem detetados.

Ações necessárias: Atualizar appliances FortiGate para o firmware mais recente imediatamente. Rotacionar todas as credenciais de contas de serviço conectadas ao FortiGate. Ativar MFA em todas as interfaces administrativas. Monitorizar criação não autorizada de contas e alterações nas políticas de firewall.


2. Botnet KadNap sequestra mais de 14.000 routers ASUS

🚨 CRÍTICO — Mais de 14.000 dispositivos comprometidos, 60% nos EUA

Um novo malware chamado KadNap infetou mais de 14.000 dispositivos de rede periférica — principalmente routers ASUS — para alimentar um botnet proxy furtivo. Mais de 60% das vítimas localizam-se nos Estados Unidos.

Descoberto pelo Black Lotus Labs na Lumen, o KadNap utiliza uma versão personalizada do protocolo Kademlia Distributed Hash Table (DHT) para ocultar a sua infraestrutura de comando e controlo numa rede peer-to-peer, tornando-o altamente resiliente a tentativas de desmantelamento.

Os dispositivos comprometidos são canalizados para um serviço proxy chamado Doppelgänger (um rebranding da rede proxy Faceless), que vende proxies residenciais "100% anónimos" em mais de 50 países. O malware visa processadores ARM e MIPS, estabelece persistência via cron jobs e fecha ativamente o acesso SSH na porta 22 para impedir a remediação.

DetalheInformação
Dispositivos infetadosMais de 14.000
Alvo principalRouters ASUS
Vítimas nos EUA60%+
Protocolo C2Kademlia DHT personalizado (P2P)
Serviço proxyDoppelgänger (rebranding do Faceless)
Ativo desdeAgosto 2025

Ações necessárias: Atualizar firmware dos routers ASUS imediatamente. Verificar cron jobs não autorizados e processos desconhecidos. Se comprometido, repor o dispositivo para definições de fábrica. Bloquear IP C2 conhecido 212.104.141.140.


3. Patch Tuesday de março 2026 da Microsoft: 2 Zero-Days, 79 falhas

⚠️ CORRIGIR AGORA — 2 Zero-Days divulgados publicamente

O Patch Tuesday de março 2026 da Microsoft aborda 79 falhas de segurança, incluindo 2 vulnerabilidades zero-day divulgadas publicamente e 3 problemas classificados como críticos. Dois bugs críticos de execução remota de código afetam o Microsoft Office e podem ser acionados pelo painel de pré-visualização.

Destaques principais deste ciclo de patches:

  • Zero-Day SQL Server EoP: Controlo de acesso inadequado concede privilégios SQLAdmin pela rede
  • Zero-Day .NET DoS: Leitura fora dos limites permite negação de serviço não autorizada pela rede
  • CVE-2026-26110 & CVE-2026-26113: Bugs críticos de RCE no Office exploráveis pelo painel de pré-visualização
  • CVE-2026-26144: Falha de divulgação de informações no Excel que pode exfiltrar dados via Microsoft Copilot — permitindo roubo de dados zero-click através do modo agente IA

A vulnerabilidade relacionada com o Copilot (CVE-2026-26144) é particularmente notável — representa um novo vetor de ataque onde assistentes de IA podem ser transformados em armas para exfiltrar dados sem interação do utilizador. Este é um prenúncio da superfície de ataque baseada em IA que as organizações agora enfrentam.

Ações necessárias: Implementar todos os patches de março 2026 imediatamente. Priorizar atualizações do Office devido à exploração do painel de pré-visualização. Rever permissões do Copilot Agent e restringir capacidades de saída de rede.


4. BlackSanta EDR killer visa departamentos de RH

⚠️ CAMPANHA ATIVA — Ator de ameaças russófono

Uma campanha sofisticada em curso há mais de um ano entrega um novo EDR killer denominado BlackSanta a departamentos de recursos humanos via e-mails de spear-phishing com ficheiros ISO maliciosos disfarçados de currículos.

A cadeia de ataque é altamente evasiva: os ficheiros ISO contêm um atalho Windows disfarçado de PDF, um script PowerShell e uma imagem que esconde código malicioso via esteganografia. O código extraído utiliza DLL sideloading através de um executável legítimo do SumatraPDF, realiza deteção extensiva de sandbox e VM e depois implementa o BlackSanta.

O BlackSanta desativa sistematicamente a deteção de endpoints através de:

  • Adição de exclusões do Microsoft Defender para ficheiros .dls e .sys
  • Redução da telemetria e submissão automática de amostras para a cloud da Microsoft
  • Supressão de notificações do Windows para evitar alertar o utilizador
  • Utilização de process hollowing para executar payloads dentro de processos legítimos

Ações necessárias: Alertar equipas de RH sobre ataques de phishing com currículos. Bloquear anexos ISO na gateway de e-mail. Monitorizar alterações não autorizadas nas exclusões do Defender. Implementar allowlisting de aplicações.


5. Bypass de autenticação crítico HPE AOS-CX

🚨 CRÍTICO — Reset de password de admin sem autenticação

A HPE corrigiu o CVE-2026-23813, um bypass de autenticação crítico no sistema operativo Aruba Networking AOS-CX que permite a atacantes remotos não autenticados repor passwords de administrador em switches campus e datacenter da série CX.

A vulnerabilidade existe na interface de gestão web e requer apenas ataques de baixa complexidade para ser explorada. Qualquer organização que execute switches HPE AOS-CX com interfaces de gestão expostas está em risco imediato.

Mitigações se o patching estiver atrasado:

  • Isolar interfaces de gestão numa VLAN dedicada
  • Implementar controlos de acesso rigorosos de camada 3+ para tráfego de gestão
  • Desativar interfaces HTTP(S) em SVIs e portas roteadas onde não necessário
  • Aplicar ACLs de plano de controlo em endpoints de gestão REST/HTTP

6. APT28 implementa BEARDSHELL & COVENANT contra militares ucranianos

O grupo russo APT28 (Fancy Bear / Unidade GRU 26165) continua a sua campanha de ciberespionagem contra a Ucrânia, implementando dois implantes — BEARDSHELL e COVENANT — para vigilância a longo prazo do pessoal militar ucraniano desde abril de 2024.

A ESET reporta que o arsenal também inclui o SLIMAGENT, capaz de keylogging, captura de ecrã e recolha de dados da área de transferência. A campanha sublinha a dimensão cibernética contínua do conflito russo-ucraniano e o targeting persistente das comunicações militares.


7. Técnica Zombie ZIP contorna ferramentas de segurança

Uma nova técnica denominada "Zombie ZIP" permite aos atacantes ocultar payloads maliciosos em ficheiros comprimidos especialmente criados que contornam a deteção antivírus e EDR. A técnica explora diferenças na forma como as ferramentas de segurança e o software de arquivo legítimo analisam ficheiros ZIP, criando pontos cegos por onde o malware pode passar.

Ações necessárias: Garantir que as ferramentas de segurança conseguem inspecionar formatos de arquivo aninhados e malformados. Considerar o sandboxing de todos os anexos comprimidos antes da entrega aos utilizadores finais.


8. CISA: Falha Ivanti EPM sob exploração ativa

A CISA adicionou uma vulnerabilidade recentemente corrigida do Ivanti Endpoint Manager (EPM) ao seu catálogo de vulnerabilidades exploradas conhecidas (KEV) após confirmar exploração ativa no mundo real. As organizações que executam o Ivanti EPM devem priorizar o patching imediatamente.

O padrão de vulnerabilidades Ivanti rapidamente armamentizadas continua — esta é a mais recente numa longa série de falhas críticas Ivanti que passam da divulgação à exploração em dias.


9. Malware Android BeatBanker faz-se passar pela app Starlink

Um novo trojan bancário Android chamado BeatBanker está a ser distribuído através de websites falsos da Google Play Store, fazendo-se passar por uma aplicação Starlink. Uma vez instalado, o malware sequestra dispositivos para intercetar credenciais bancárias e transações financeiras.

Ações necessárias: Instalar aplicações apenas a partir da Google Play Store oficial. Ativar o Google Play Protect. Educar os utilizadores sobre lojas de aplicações falsas.


10. Suporte de Passkeys do Microsoft Entra para Windows

Numa nota positiva, a Microsoft está a implementar o suporte de passkeys para o Microsoft Entra em dispositivos Windows, permitindo autenticação sem password resistente a phishing via Windows Hello. Este é um passo significativo para eliminar ataques baseados em passwords — as organizações devem começar a planear a implementação de passkeys do Entra.


Mais manchetes

NotíciaImpacto
Grupo norte-coreano UNC4899 compromete empresa cryptoFicheiro AirDrop trojanizado + técnicas living-off-the-cloud roubam milhões em criptomoeda
Windows 10 KB5078885 ESU lançadoAtualização de segurança estendida para Windows 10 aborda vulnerabilidades do Patch Tuesday de março incluindo 2 zero-days
Pacote npm malicioso imita o OpenClawPacote implementa RAT e rouba credenciais macOS, chaves SSH, carteiras crypto e histórico do iMessage

Como a KENSAI o protege

Monitorização de dispositivos periféricos — Detete dispositivos FortiGate, ASUS e HPE comprometidos antes que os atacantes pivotem mais fundo

Inteligência de patches — Rastreamento priorizado de CVEs para Microsoft, Ivanti e infraestrutura de rede em horas após divulgação

Verificações de integridade EDR — Identifique manipulação tipo BlackSanta nas configurações de segurança de endpoints

Postura de segurança IA — Monitorize permissões do Copilot e agentes IA para prevenir vetores de exfiltração de dados como CVE-2026-26144


Ações recomendadas

  1. Imediato: Corrigir FortiGate para firmware mais recente. Implementar patches Microsoft de março 2026. Atualizar switches HPE AOS-CX.
  2. Hoje: Verificar routers ASUS para indicadores KadNap. Rotacionar todas as credenciais de contas de serviço conectadas ao FortiGate. Rever configurações de saída de rede do Copilot Agent.
  3. Esta semana: Bloquear anexos ISO nas gateways de e-mail. Auditar implementações Ivanti EPM. Planear implementação de passkeys do Entra.
  4. Contínuo: Monitorizar padrões de manipulação de EDR. Informar equipas de RH sobre phishing com currículos. Implementar zero-trust para gestão de appliances de rede.

Proteja a sua organização com a KENSAI

Scan de vulnerabilidades alimentado por IA e monitorização de segurança contínua. Inicie o seu scan gratuito hoje.

Iniciar scan gratuito →

Mantenha-se seguro. Mantenha-se vigilante.

🗡️ Equipa de Segurança KENSAI

🛡️ Seu site está seguro?

Descubra vulnerabilidades antes dos invasores.

Escaneie seu site grátis →

All posts · Permalink