Inteligência de Ameaças Diária
⛓️ Ataque à Cadeia de Suprimentos — Scanner Trivy Comprometido
Scanner de Vulnerabilidades Trivy com Backdoor — Propagação via Docker e GitHub
O grupo de hackers TeamPCP comprometeu o popular scanner de vulnerabilidades de código aberto Trivy da Aqua Security. Versões maliciosas (0.69.4–0.69.6) foram publicadas no Docker Hub contendo malware de roubo de informações. O ataque se expandiu além do Docker — o TeamPCP sequestrou a organização do GitHub da Aqua Security para adulterar dezenas de repositórios. A última versão limpa conhecida é a 0.69.3. As imagens maliciosas foram removidas, mas o raio de impacto em ambientes de desenvolvimento permanece significativo.
Este é exatamente o tipo de comprometimento de cadeia de suprimentos que a análise SBOM e a varredura de dependências do KENSAI podem detectar. Se seu CI/CD baixou imagens do Trivy durante a janela comprometida, você precisa de uma auditoria imediata. Organizações que utilizam o monitoramento contínuo do KENSAI teriam sido alertadas sobre as mudanças inesperadas nos binários.
Fontes: BleepingComputer, The Hacker News, SecurityWeek — Mar 23
TeamPCP Implanta Wiper para Kubernetes Direcionado ao Irã
O mesmo grupo TeamPCP por trás do comprometimento do Trivy também está atacando clusters Kubernetes com um wiper destrutivo. O script malicioso detecta se os sistemas estão configurados para infraestrutura baseada no Irã e destrói todas as máquinas se a condição for atendida. Isso representa uma escalada significativa do roubo de dados para a capacidade destrutiva total em ambientes conteinerizados.
Fonte: BleepingComputer — Mar 23
🔴 Vulnerabilidades Críticas
CVE-2026-21992 — RCE no Oracle Identity Manager (Patch de Emergência)
A Oracle lançou um patch de emergência fora do ciclo para CVE-2026-21992, uma vulnerabilidade crítica no Oracle Identity Manager. A falha permite execução remota de código sem autenticação e pode já ter sido explorada ativamente. Organizações que executam o Oracle Identity Manager devem aplicar o patch imediatamente — trata-se de RCE pré-autenticação em um sistema de gerenciamento de identidades, tornando-o um alvo de altíssimo valor para atacantes.
Fonte: SecurityWeek — Mar 23
CVE-2025-32975 (CVSS 10.0) — Quest KACE SMA Sob Ataque Ativo
Uma vulnerabilidade de severidade máxima no Quest KACE Systems Management Appliance está sendo ativamente explorada, particularmente contra o setor educacional. A Arctic Wolf observou atividade de exploração a partir da semana de 9 de março em sistemas SMA sem patch expostos à internet. Dado o score CVSS 10.0 e a exploração confirmada, isso exige correção imediata.
Fonte: The Hacker News, SecurityWeek — Mar 23
Cadeia de Exploits DarkSword para iOS — Adicionado ao KEV do CISA
O CISA adicionou três vulnerabilidades DarkSword (CVE-2025-31277, CVE-2025-43510, CVE-2025-43520) ao seu catálogo de Vulnerabilidades Exploradas Conhecidas. O DarkSword é um sofisticado kit de exploits para iOS que encadeia 6 vulnerabilidades para escape de sandbox, escalada de privilégios e RCE em iPhones (iOS 18.4–18.7). Vinculado ao fornecedor de vigilância comercial turco PARS Defense (UNC6748) e ao grupo de espionagem russo UNC6353. Três famílias de malware são implantadas: GhostBlade, GhostKnife, GhostSaber. As agências federais têm até 3 de abril para aplicar os patches.
Fonte: BleepingComputer, CISA — Mar 23
QNAP Corrige Quatro Vulnerabilidades do Pwn2Own
A QNAP corrigiu quatro vulnerabilidades que foram demonstradas no Pwn2Own, permitindo divulgação de informações, execução de código e comportamento inesperado em dispositivos NAS. Dado o histórico da QNAP como alvo de ransomware, a correção imediata é essencial.
Fonte: SecurityWeek — Mar 23
💾 Vazamentos de Dados
Crunchyroll Investiga Vazamento — 6,8M de Usuários Supostamente Roubados
A popular plataforma de streaming de anime Crunchyroll (de propriedade da Sony) está investigando após hackers alegarem ter roubado dados pessoais de aproximadamente 6,8 milhões de usuários. O vazamento está sob investigação ativa — o escopo e a autenticidade ainda estão sendo verificados.
Fonte: BleepingComputer — Mar 23
Mazda Divulga Vazamento de Dados de Funcionários e Parceiros
A Mazda Motor Corporation confirmou um incidente de segurança detectado inicialmente em dezembro de 2025 que expôs dados de funcionários e parceiros comerciais. A divulgação ocorreu em março de 2026, evidenciando a lacuna contínua entre a detecção e a divulgação pública no setor automotivo.
Fonte: BleepingComputer — Mar 23
Subsidiária de Semicondutores da Trio-Tech Atingida por Ransomware
A empresa de serviços de chips Trio-Tech International divulgou que uma subsidiária em Singapura foi atingida por ransomware de criptografia de arquivos. A cadeia de suprimentos de semicondutores continua sendo alvo, com empresas de manufatura e serviços de chips enfrentando pressão crescente de ransomware.
Fonte: SecurityWeek — Mar 23
🕵️ Atividade Estatal e APT
FBI/CISA: Hackers Russos Realizam Phishing em Massa contra Usuários de Signal e WhatsApp
O FBI e o CISA emitiram um alerta conjunto informando que os Serviços de Inteligência Russos estão conduzindo campanhas de phishing em larga escala contra contas de Signal e WhatsApp de indivíduos de alto valor — funcionários governamentais, militares, figuras políticas e jornalistas. Milhares de contas foram comprometidas globalmente. Uma vez dentro, os atacantes visualizam mensagens, exfiltram contatos e realizam phishing adicional a partir de identidades confiáveis.
Fonte: The Hacker News, FBI — Mar 21–23
FBI Alerta sobre Hackers Iranianos Handala Usando Telegram para Distribuir Malware
O FBI alertou que hackers iranianos vinculados ao Ministério de Inteligência e Segurança (MOIS) — conhecidos como Handala — estão usando o Telegram para distribuir malware. Os EUA confirmaram o vínculo do Handala com o governo iraniano e apreenderam vários domínios usados em suas operações psicológicas cibernéticas.
Fonte: BleepingComputer, SecurityWeek — Mar 23
Hackers Norte-Coreanos Abusam do VS Code para Distribuir Malware StoatWaffle
O ator de ameaças Contagious Interview (WaterPlum) está distribuindo o malware StoatWaffle através de projetos maliciosos do VS Code. O ataque abusa do recurso de execução automática tasks.json do VS Code — uma tática relativamente nova adotada desde dezembro de 2025. Isso visa desenvolvedores que abrem projetos do VS Code aparentemente legítimos, executando malware automaticamente.
Fonte: The Hacker News — Mar 23
🎣 Phishing e Engenharia Social
Plataforma PhaaS Tycoon2FA Volta à Plena Capacidade Após Ação Policial
A plataforma de phishing Tycoon2FA que a Europol interrompeu em 4 de março já retornou aos níveis de atividade anteriores à interrupção. Os volumes de ataque e as táticas permanecem inalterados, demonstrando a resiliência da infraestrutura cibercriminosa contra as ações policiais. A plataforma é especializada em contornar a autenticação de dois fatores.
Fonte: BleepingComputer, SecurityWeek — Mar 23
Microsoft: Phishing de Temporada Fiscal do IRS Atinge 29.000 Usuários
A Microsoft alertou sobre campanhas de phishing em larga escala explorando a urgência da temporada fiscal nos EUA. Mais de 29.000 usuários foram alvejados com notificações falsas de reembolso do IRS, formulários de folha de pagamento e lembretes de declaração. As campanhas implantam malware de Monitoramento e Gerenciamento Remoto (RMM) e utilizam plataformas PhaaS. Os alvos incluem tanto indivíduos quanto profissionais tributários com acesso a dados financeiros sensíveis.
Fonte: The Hacker News, Microsoft — Mar 23
📊 Tendências Emergentes e Pesquisa
M-Trends 2026: Transferência de Acesso Inicial Cai para 22 Segundos
O relatório M-Trends 2026 da Mandiant, baseado em mais de 500.000 horas de resposta a incidentes, revela que o tempo entre o comprometimento do broker de acesso inicial e a transferência para operadores de ransomware diminuiu de horas para apenas 22 segundos. Isso reduz drasticamente a janela para que os defensores detectem e respondam às intrusões antes da implantação do ransomware.
Tempos de transferência de 22 segundos significam que a triagem manual do SOC não é mais viável para a detecção de acesso inicial. A varredura automatizada e contínua — como a abordagem do KENSAI — se torna a única defesa realista. Organizações sem capacidades de resposta automatizada estão essencialmente indefesas diante dessa velocidade de ataque.
Fonte: SecurityWeek / Mandiant — Mar 23
Oito Vetores de Ataque Descobertos no AWS Bedrock
A equipe de pesquisa de ameaças da XM Cyber mapeou oito vetores de ataque validados na plataforma de IA AWS Bedrock: manipulação de logs, comprometimento de base de conhecimento, sequestro de agentes, injeção de fluxos, degradação de guardrails e envenenamento de prompts. À medida que os agentes de IA ganham acesso a dados corporativos (Salesforce, Lambda, SharePoint), eles se tornam superfícies de ataque de alto valor com permissões e alcance a ativos críticos.
A segurança da infraestrutura de IA é uma fronteira emergente. À medida que as empresas conectam agentes de IA a sistemas de produção, a superfície de ataque se expande drasticamente. Isso se alinha com o posicionamento do KENSAI em segurança de IA — escaneando e protegendo a infraestrutura que alimenta os sistemas de IA.
Fonte: The Hacker News / XM Cyber — Mar 23
Ataques Baseados em Navegador Contornam Controles de Segurança Tradicionais
Um novo relatório da Push Security documenta como ataques baseados em navegador — phishing AITM, ClickFix, aplicativos OAuth maliciosos e sequestro de sessões — estão impulsionando as maiores violações atuais e contornando os controles de segurança tradicionais. O navegador é cada vez mais a superfície de ataque principal.
Fonte: BleepingComputer / Push Security — Mar 23
💰 Indústria e Financiamento
Cape Levanta $100M para Segurança Celular
A Cape, uma operadora de rede virtual móvel (MVNO) focada em privacidade, levantou $100 milhões para proteção contra ameaças de segurança celular — atendendo consumidores, empresas e clientes governamentais.
Fonte: SecurityWeek — Mar 23
Eclypsium Levanta $25M para Segurança de Cadeia de Suprimentos de Dispositivos
A Eclypsium garantiu $25 milhões para expandir sua plataforma de segurança de cadeia de suprimentos de dispositivos e ampliar suas parcerias de canal. Oportuno dado o ataque à cadeia de suprimentos do Trivy que domina as notícias de hoje.
Fonte: SecurityWeek — Mar 23
3 Homens Acusados de Contrabandear Hardware de IA para a China
Três homens foram acusados de conspirar para violar os controles de exportação dos EUA desviando quantidades massivas de servidores de IA de alto desempenho montados nos EUA para a China. Reflete a contínua tensão geopolítica em torno do acesso a hardware de IA.
Fonte: SecurityWeek — Mar 23
📋 Conformidade e Regulamentação
Reino Unido Endurece Requisitos de Relatório de Ciberincidentes
O Reino Unido está fortalecendo os requisitos obrigatórios de relatório de ciberincidentes. Junto com a aplicação do NIS2 se intensificando em toda a UE, as organizações enfrentam uma rede cada vez mais complexa de obrigações de relatório. A geração automatizada de relatórios de conformidade — um diferencial do KENSAI — se torna essencial.
Fonte: SecurityWeek — Mar 23