Categoria
Inteligência de ameaças
3 de julho de 2025
Tomando SHELLTER: uma estrutura de evasão comercial abusada na natureza
O Elastic Security Labs detectou o surgimento recente de infostealers usando uma versão adquirida ilicitamente da estrutura de evasão comercial, SHELLTER, para implantar cargas úteis pós-exploração.
Da América do Sul ao Sudeste Asiático: A frágil teia do REF7707
O REF7707 teve como alvo um Ministério das Relações Exteriores da América do Sul usando novas famílias de malware. Táticas de evasão inconsistentes e erros de segurança operacional expuseram infraestrutura adicional de propriedade do adversário.
Apostando em bots: investigando malwares, mineração de criptomoedas e abuso de APIs de jogos de azar para Linux
A campanha REF6138 envolveu criptomineração, ataques de DDoS e possível lavagem de dinheiro por meio de APIs de jogos de azar, destacando o uso de malware em evolução e canais de comunicação furtivos pelos atacantes.
Código de conduta: intrusões da RPDC alimentadas por Python em redes seguras
Investigando o uso estratégico do Python e da engenharia social cuidadosamente elaborada pela RPDC, esta publicação esclarece como eles violam redes altamente seguras com ataques cibernéticos eficazes e em evolução.
GrimResource - Console de gerenciamento da Microsoft para acesso inicial e evasão
Pesquisadores da Elastic descobriram uma nova técnica, a GrimResource, que permite a execução completa do código por meio de arquivos MSC especialmente criados. Isso ressalta uma tendência de atacantes com bons recursos que favorecem métodos inovadores de acesso inicial para burlar as defesas.
Ladrões distribuídos globalmente
Este artigo descreve nossa análise das principais famílias de ladrões de malware, revelando suas metodologias de operação, atualizações recentes e configurações. Ao entender o modus operandi de cada família, compreendemos melhor a magnitude do seu impacto e podemos fortalecer nossas defesas adequadamente.
Mineradores invisíveis: revelando as operações de mineração de criptomoedas da GHOSTENGINE
O Elastic Security Labs identificou o REF4578, um conjunto de intrusões que incorpora vários módulos maliciosos e utiliza drivers vulneráveis para desativar soluções de segurança conhecidas (EDRs) para mineração de criptomoedas.
Afundando navios piratas do macOS com detecções de comportamento elástico
Esta pesquisa analisa uma campanha de malware macOS descoberta recentemente usando o macOS Endpoint Security Framework emparelhado com o Elastic Agent para caçar e detectar os comportamentos exibidos por esse malware.
PIKABOT, eu escolho você!
O Elastic Security Labs observou novas campanhas do PIKABOT, incluindo uma versão atualizada. O PIKABOT é um carregador amplamente implantado que os agentes mal-intencionados utilizam para distribuir cargas úteis adicionais.
Desmascarando uma intrusão em serviços financeiros: REF0657
O Elastic Security Labs detalha uma intrusão que utilizou ferramentas de código aberto e diferentes técnicas de pós-exploração visando o setor de serviços financeiros no sul da Ásia.
Elástico pega RPDC desmaiando KANDYKORN
O Elastic Security Labs expõe uma tentativa da RPDC de infectar engenheiros de blockchain com um novo malware para macOS.
GHOSTPULSE assombra vítimas usando truques de evasão de defesa
O Elastic Security Labs revela detalhes de uma nova campanha que aproveita recursos de evasão de defesa para infectar vítimas com executáveis MSIX maliciosos.
Revelando o backdoor do BLOODALCHEMY
BLOODALCHEMY é um novo backdoor desenvolvido ativamente que utiliza um binário benigno como um veículo de injeção e faz parte do conjunto de intrusão REF5961.
Apresentando o conjunto de intrusão REF5961
O conjunto de intrusão REF5961 revela três novas famílias de malware que têm como alvo os membros da ASEAN. O agente de ameaças que utiliza esse conjunto de intrusão continua a desenvolver e amadurecer suas capacidades.
A RPDC ataca usando uma nova variante do RUSTBUCKET
Atenção! Descobrimos recentemente uma variante do RUSTBUCKET. Leia este artigo para entender os novos recursos que observamos e como identificá-los em sua própria rede.
Pesquisa inicial expondo JOKERSPY
Explore o JOKERSPY, uma campanha recentemente descoberta que visa instituições financeiras com backdoors em Python. Este artigo aborda reconhecimento, padrões de ataque e métodos de identificação do JOKERSPY em sua rede.
Elastic encanta o SPECTRALVIPER
O Elastic Security Labs descobriu as famílias de malware P8LOADER, POWERSEAL e SPECTRALVIPER que visam o agronegócio nacional vietnamita. REF2754 compartilha malware e elementos motivacionais dos grupos de atividades REF4322 e APT32.
Cadeia de ataque leva a XWORM e AGENTTESLA
Nossa equipe observou recentemente uma nova campanha de malware que emprega um processo bem desenvolvido com vários estágios. A campanha foi criada para enganar usuários desavisados e fazê-los clicar nos documentos, que parecem ser legítimos.
REF2924: como manter a persistência como um (avançado?) ameaça
O Elastic Security Labs descreve novas técnicas de persistência usadas pelo grupo por trás do SIESTAGRAPH, NAPLISTENER e SOMNIRECORD.
Malware PHOREAL tem como alvo o setor financeiro do sudeste asiático
O Elastic Security descobriu o malware PHOREAL, que tem como alvo organizações financeiras do Sudeste Asiático, particularmente aquelas do setor financeiro vietnamita.
Atualização do conjunto de intrusão REF2924 e campanhas relacionadas
O Elastic Security Labs está fornecendo uma atualização da pesquisa REF2924 publicada em dezembro de 2022. Esta atualização inclui análise de malware dos implantes, descobertas adicionais e associações com outras intrusões.
SiestaGraph: Novo implante descoberto no Ministério das Relações Exteriores membro da ASEAN
O Elastic Security Labs está rastreando prováveis agentes de ameaças na rede aproveitando explorações do Exchange, shells da web e o recém-descoberto implante SiestaGraph para obter e manter acesso, escalar privilégios e exfiltrar dados direcionados.
Explorando o conjunto de intrusão REF2731
A equipe do Elastic Security Labs vem monitorando o REF2731, um conjunto de intrusão de 5 estágios envolvendo o carregador PARALLAX e o NETWIRE RAT.
Operação Urso Sangrento
Elastic Security verifica novo malware destrutivo direcionado à Ucrânia: Operação Bleeding Bear
Cumprindo pena com o conta-gotas YIPPHB
O Elastic Security Labs descreve as etapas de coleta e análise dos vários estágios do conjunto de intrusão REF4526. Este conjunto de intrusão usa uma abordagem criativa de ícones Unicode em scripts do Powershell para instalar um carregador, um conta-gotas e implantes RAT.
A infraestrutura de rede do ICEDID está viva e bem
O Elastic Security Labs detalha o uso da coleta de dados de código aberto e do Elastic Stack para analisar a infraestrutura do botnet C2 do ICEDID.
CUBA Ransomware Campaign Analysis (Análise da campanha de ransomware CUBA)
A Elastic Security observou uma campanha de ransomware e extorsão aproveitando uma combinação de ferramentas de segurança ofensivas, LOLBAS, e exploits para distribuir o malware ransomware CUBA.
Análise do Padrão de Ataque do Ransomware LUNA
Nesta publicação de pesquisa, exploraremos o padrão de ataque LUNA — uma variante de ransomware multiplataforma.
Exploring the QBOT Attack Pattern (Explorando o padrão de ataque do QBOT)
Nesta publicação de pesquisa, exploraremos nossa análise do padrão de ataque QBOT — uma família de malware completa e prolífica.
Elastic Security descobre campanha de malware BLISTER
A Elastic Security identificou intrusões ativas aproveitando o carregador de malware BLISTER recém-identificado, utilizando certificados de assinatura de código válidos para evitar a detecção. Estamos fornecendo orientação de detecção para que as equipes de segurança se protejam.
Um olhar atento às técnicas avançadas usadas em uma campanha APT focada na Malásia
Nossa equipe de pesquisa de Segurança Elástica se concentrou em técnicas avançadas usadas em uma campanha de APT focada na Malásia. Saiba quem está por trás disso, como o ataque funciona, técnicas observadas no ataque MITRE ® e indicadores de comprometimento.
Jogando na defesa contra o Grupo Gamaredon
Saiba mais sobre a recente campanha de um grupo de ameaças baseado na Rússia conhecido como Gamaredon Group. Esta postagem analisará esses detalhes e fornecerá estratégias de detecção.
FORMBOOK adota abordagem sem CAB
Pesquisa de campanha e análise de uma tentativa de intrusão observada no FORMBOOK.
Coletando e operacionalizando dados de ameaças da botnet Mozi
O botnet Mozi é uma campanha de malware em andamento que tem como alvo dispositivos de rede vulneráveis e desprotegidos. Esta postagem mostrará a jornada do analista na coleta, análise e operacionalização de dados de ameaças da botnet Mozi.
Okta e LAPSUS$: O que você precisa saber
A mais recente organização sob o microscópio do grupo LAPSUS$ é a Okta. Caça à ameaça para a violação recente direcionada aos usuários do Okta usando estas etapas simples no Elastic
Ransomware, interrompido: Sodinokibi e a cadeia de suprimentos
Saiba como o Elastic Endpoint Security e suas proteções baseadas em comportamento impediram um ataque direcionado de ransomware em vários endpoints.