剣 KENSAI
← Back to archive

Inteligência de Ameaças Diária

2026-03-24 — Terça-feira — 04:00 CET
2 CVEs Críticos Ataque à Cadeia de Suprimentos Cadeia 0-Day no iOS Atividade Estatal Phishing em Massa
3
Vazamentos de Dados
4
CVEs Críticos
1
Ransomware
5
Atividade Estatal

⛓️ Ataque à Cadeia de Suprimentos — Scanner Trivy Comprometido

Scanner de Vulnerabilidades Trivy com Backdoor — Propagação via Docker e GitHub

Cadeia de Suprimentos Exploração Ativa

O grupo de hackers TeamPCP comprometeu o popular scanner de vulnerabilidades de código aberto Trivy da Aqua Security. Versões maliciosas (0.69.4–0.69.6) foram publicadas no Docker Hub contendo malware de roubo de informações. O ataque se expandiu além do Docker — o TeamPCP sequestrou a organização do GitHub da Aqua Security para adulterar dezenas de repositórios. A última versão limpa conhecida é a 0.69.3. As imagens maliciosas foram removidas, mas o raio de impacto em ambientes de desenvolvimento permanece significativo.

Relevância KENSAI

Este é exatamente o tipo de comprometimento de cadeia de suprimentos que a análise SBOM e a varredura de dependências do KENSAI podem detectar. Se seu CI/CD baixou imagens do Trivy durante a janela comprometida, você precisa de uma auditoria imediata. Organizações que utilizam o monitoramento contínuo do KENSAI teriam sido alertadas sobre as mudanças inesperadas nos binários.

Fontes: BleepingComputer, The Hacker News, SecurityWeek — Mar 23

TeamPCP Implanta Wiper para Kubernetes Direcionado ao Irã

Hacktivista Wiper

O mesmo grupo TeamPCP por trás do comprometimento do Trivy também está atacando clusters Kubernetes com um wiper destrutivo. O script malicioso detecta se os sistemas estão configurados para infraestrutura baseada no Irã e destrói todas as máquinas se a condição for atendida. Isso representa uma escalada significativa do roubo de dados para a capacidade destrutiva total em ambientes conteinerizados.

Fonte: BleepingComputer — Mar 23

🔴 Vulnerabilidades Críticas

CVE-2026-21992 — RCE no Oracle Identity Manager (Patch de Emergência)

CVE Crítico Possivelmente Explorado

A Oracle lançou um patch de emergência fora do ciclo para CVE-2026-21992, uma vulnerabilidade crítica no Oracle Identity Manager. A falha permite execução remota de código sem autenticação e pode já ter sido explorada ativamente. Organizações que executam o Oracle Identity Manager devem aplicar o patch imediatamente — trata-se de RCE pré-autenticação em um sistema de gerenciamento de identidades, tornando-o um alvo de altíssimo valor para atacantes.

Fonte: SecurityWeek — Mar 23

CVE-2025-32975 (CVSS 10.0) — Quest KACE SMA Sob Ataque Ativo

CVSS 10.0 Exploração Ativa

Uma vulnerabilidade de severidade máxima no Quest KACE Systems Management Appliance está sendo ativamente explorada, particularmente contra o setor educacional. A Arctic Wolf observou atividade de exploração a partir da semana de 9 de março em sistemas SMA sem patch expostos à internet. Dado o score CVSS 10.0 e a exploração confirmada, isso exige correção imediata.

Fonte: The Hacker News, SecurityWeek — Mar 23

Cadeia de Exploits DarkSword para iOS — Adicionado ao KEV do CISA

6 CVEs Encadeados Exploração Ativa Patrocinado por Estado

O CISA adicionou três vulnerabilidades DarkSword (CVE-2025-31277, CVE-2025-43510, CVE-2025-43520) ao seu catálogo de Vulnerabilidades Exploradas Conhecidas. O DarkSword é um sofisticado kit de exploits para iOS que encadeia 6 vulnerabilidades para escape de sandbox, escalada de privilégios e RCE em iPhones (iOS 18.4–18.7). Vinculado ao fornecedor de vigilância comercial turco PARS Defense (UNC6748) e ao grupo de espionagem russo UNC6353. Três famílias de malware são implantadas: GhostBlade, GhostKnife, GhostSaber. As agências federais têm até 3 de abril para aplicar os patches.

Fonte: BleepingComputer, CISA — Mar 23

QNAP Corrige Quatro Vulnerabilidades do Pwn2Own

Pwn2Own

A QNAP corrigiu quatro vulnerabilidades que foram demonstradas no Pwn2Own, permitindo divulgação de informações, execução de código e comportamento inesperado em dispositivos NAS. Dado o histórico da QNAP como alvo de ransomware, a correção imediata é essencial.

Fonte: SecurityWeek — Mar 23

💾 Vazamentos de Dados

Crunchyroll Investiga Vazamento — 6,8M de Usuários Supostamente Roubados

Vazamento de Dados

A popular plataforma de streaming de anime Crunchyroll (de propriedade da Sony) está investigando após hackers alegarem ter roubado dados pessoais de aproximadamente 6,8 milhões de usuários. O vazamento está sob investigação ativa — o escopo e a autenticidade ainda estão sendo verificados.

Fonte: BleepingComputer — Mar 23

Mazda Divulga Vazamento de Dados de Funcionários e Parceiros

Vazamento de Dados

A Mazda Motor Corporation confirmou um incidente de segurança detectado inicialmente em dezembro de 2025 que expôs dados de funcionários e parceiros comerciais. A divulgação ocorreu em março de 2026, evidenciando a lacuna contínua entre a detecção e a divulgação pública no setor automotivo.

Fonte: BleepingComputer — Mar 23

Subsidiária de Semicondutores da Trio-Tech Atingida por Ransomware

Ransomware Vazamento de Dados

A empresa de serviços de chips Trio-Tech International divulgou que uma subsidiária em Singapura foi atingida por ransomware de criptografia de arquivos. A cadeia de suprimentos de semicondutores continua sendo alvo, com empresas de manufatura e serviços de chips enfrentando pressão crescente de ransomware.

Fonte: SecurityWeek — Mar 23

🕵️ Atividade Estatal e APT

FBI/CISA: Hackers Russos Realizam Phishing em Massa contra Usuários de Signal e WhatsApp

Rússia / Inteligência Phishing em Massa

O FBI e o CISA emitiram um alerta conjunto informando que os Serviços de Inteligência Russos estão conduzindo campanhas de phishing em larga escala contra contas de Signal e WhatsApp de indivíduos de alto valor — funcionários governamentais, militares, figuras políticas e jornalistas. Milhares de contas foram comprometidas globalmente. Uma vez dentro, os atacantes visualizam mensagens, exfiltram contatos e realizam phishing adicional a partir de identidades confiáveis.

Fonte: The Hacker News, FBI — Mar 21–23

FBI Alerta sobre Hackers Iranianos Handala Usando Telegram para Distribuir Malware

Irã / MOIS

O FBI alertou que hackers iranianos vinculados ao Ministério de Inteligência e Segurança (MOIS) — conhecidos como Handala — estão usando o Telegram para distribuir malware. Os EUA confirmaram o vínculo do Handala com o governo iraniano e apreenderam vários domínios usados em suas operações psicológicas cibernéticas.

Fonte: BleepingComputer, SecurityWeek — Mar 23

Hackers Norte-Coreanos Abusam do VS Code para Distribuir Malware StoatWaffle

Coreia do Norte / WaterPlum

O ator de ameaças Contagious Interview (WaterPlum) está distribuindo o malware StoatWaffle através de projetos maliciosos do VS Code. O ataque abusa do recurso de execução automática tasks.json do VS Code — uma tática relativamente nova adotada desde dezembro de 2025. Isso visa desenvolvedores que abrem projetos do VS Code aparentemente legítimos, executando malware automaticamente.

Fonte: The Hacker News — Mar 23

🎣 Phishing e Engenharia Social

Plataforma PhaaS Tycoon2FA Volta à Plena Capacidade Após Ação Policial

Phishing-as-a-Service

A plataforma de phishing Tycoon2FA que a Europol interrompeu em 4 de março já retornou aos níveis de atividade anteriores à interrupção. Os volumes de ataque e as táticas permanecem inalterados, demonstrando a resiliência da infraestrutura cibercriminosa contra as ações policiais. A plataforma é especializada em contornar a autenticação de dois fatores.

Fonte: BleepingComputer, SecurityWeek — Mar 23

Microsoft: Phishing de Temporada Fiscal do IRS Atinge 29.000 Usuários

Campanha de Phishing

A Microsoft alertou sobre campanhas de phishing em larga escala explorando a urgência da temporada fiscal nos EUA. Mais de 29.000 usuários foram alvejados com notificações falsas de reembolso do IRS, formulários de folha de pagamento e lembretes de declaração. As campanhas implantam malware de Monitoramento e Gerenciamento Remoto (RMM) e utilizam plataformas PhaaS. Os alvos incluem tanto indivíduos quanto profissionais tributários com acesso a dados financeiros sensíveis.

Fonte: The Hacker News, Microsoft — Mar 23

📊 Tendências Emergentes e Pesquisa

M-Trends 2026: Transferência de Acesso Inicial Cai para 22 Segundos

Pesquisa / Mandiant

O relatório M-Trends 2026 da Mandiant, baseado em mais de 500.000 horas de resposta a incidentes, revela que o tempo entre o comprometimento do broker de acesso inicial e a transferência para operadores de ransomware diminuiu de horas para apenas 22 segundos. Isso reduz drasticamente a janela para que os defensores detectem e respondam às intrusões antes da implantação do ransomware.

Relevância KENSAI

Tempos de transferência de 22 segundos significam que a triagem manual do SOC não é mais viável para a detecção de acesso inicial. A varredura automatizada e contínua — como a abordagem do KENSAI — se torna a única defesa realista. Organizações sem capacidades de resposta automatizada estão essencialmente indefesas diante dessa velocidade de ataque.

Fonte: SecurityWeek / Mandiant — Mar 23

Oito Vetores de Ataque Descobertos no AWS Bedrock

Pesquisa em Segurança de IA

A equipe de pesquisa de ameaças da XM Cyber mapeou oito vetores de ataque validados na plataforma de IA AWS Bedrock: manipulação de logs, comprometimento de base de conhecimento, sequestro de agentes, injeção de fluxos, degradação de guardrails e envenenamento de prompts. À medida que os agentes de IA ganham acesso a dados corporativos (Salesforce, Lambda, SharePoint), eles se tornam superfícies de ataque de alto valor com permissões e alcance a ativos críticos.

Relevância KENSAI

A segurança da infraestrutura de IA é uma fronteira emergente. À medida que as empresas conectam agentes de IA a sistemas de produção, a superfície de ataque se expande drasticamente. Isso se alinha com o posicionamento do KENSAI em segurança de IA — escaneando e protegendo a infraestrutura que alimenta os sistemas de IA.

Fonte: The Hacker News / XM Cyber — Mar 23

Ataques Baseados em Navegador Contornam Controles de Segurança Tradicionais

Pesquisa / Push Security

Um novo relatório da Push Security documenta como ataques baseados em navegador — phishing AITM, ClickFix, aplicativos OAuth maliciosos e sequestro de sessões — estão impulsionando as maiores violações atuais e contornando os controles de segurança tradicionais. O navegador é cada vez mais a superfície de ataque principal.

Fonte: BleepingComputer / Push Security — Mar 23

💰 Indústria e Financiamento

Cape Levanta $100M para Segurança Celular

Financiamento

A Cape, uma operadora de rede virtual móvel (MVNO) focada em privacidade, levantou $100 milhões para proteção contra ameaças de segurança celular — atendendo consumidores, empresas e clientes governamentais.

Fonte: SecurityWeek — Mar 23

Eclypsium Levanta $25M para Segurança de Cadeia de Suprimentos de Dispositivos

Financiamento

A Eclypsium garantiu $25 milhões para expandir sua plataforma de segurança de cadeia de suprimentos de dispositivos e ampliar suas parcerias de canal. Oportuno dado o ataque à cadeia de suprimentos do Trivy que domina as notícias de hoje.

Fonte: SecurityWeek — Mar 23

3 Homens Acusados de Contrabandear Hardware de IA para a China

Controles de Exportação

Três homens foram acusados de conspirar para violar os controles de exportação dos EUA desviando quantidades massivas de servidores de IA de alto desempenho montados nos EUA para a China. Reflete a contínua tensão geopolítica em torno do acesso a hardware de IA.

Fonte: SecurityWeek — Mar 23

📋 Conformidade e Regulamentação

Reino Unido Endurece Requisitos de Relatório de Ciberincidentes

Regulamentação

O Reino Unido está fortalecendo os requisitos obrigatórios de relatório de ciberincidentes. Junto com a aplicação do NIS2 se intensificando em toda a UE, as organizações enfrentam uma rede cada vez mais complexa de obrigações de relatório. A geração automatizada de relatórios de conformidade — um diferencial do KENSAI — se torna essencial.

Fonte: SecurityWeek — Mar 23