Ataques exploram portas RDP expostas para acesso inicial a redes corporativas
Ataques exploram portas RDP expostas para acesso inicial a redes corporativas. Huntress alerta sobre riscos e casos reais de comprometimento.
Tag
Tag: initial-access
10 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a initial-access.
TA584 usa Tsundere Bot e XWorm para acesso inicial a redes
O initial access broker TA584 foi observado usando o Tsundere Bot em conjunto com o RAT XWorm para obter acesso inicial a redes, ação que pode facilitar ataques de ransomware. O relatório não fornece IoCs, número de vítimas nem detalhes técnicos das campanhas.
Exploração ativa do CVE-2025-8088 contra WinRAR usada por diversos grupos
Relatos indicam exploração ativa do CVE-2025-8088 em WinRAR por múltiplos atores — estatais e criminosos financeiros — para obtenção de acesso inicial e entrega de payloads maliciosos. Falta confirmação pública sobre versões vulneráveis, CVSS e patch do fornecedor.
r1z: o broker que vendeu acessos e foi exposto por falhas de OPSEC
Autoridades e pesquisadores expuseram o broker “r1z”, que vendia acessos VPN e ferramentas para intrusões a compradores de ransomware. Infiltração de um agente e repetidas falhas de OPSEC (reuso de e‑mails, handles e domínios) permitiram ligar o handle a Feras Albashiti e mapear parte da infraestrutura usada nas vendas.
Gootloader ressurge com ZIPs malformados e alta evasão de deteção
Relatório descreve retorno do Gootloader com arquivos ZIP malformados, JScript de persistência e técnicas de 'hashbusting' que tornam a detecção por assinaturas difícil. O malware atua como initial access broker, abrindo caminho para campanhas de ransomware.
Jordaniano admite nos EUA venda de acesso a 50 redes corporativas
Um homem de origem jordaniana declarou‑se culpado nos EUA por operar como access broker, vendendo acesso a pelo menos 50 redes corporativas. Parte das transações envolveu um agente undercover. Relatórios não especificam vetores de intrusão nem empresas afetadas.
China‑linked: exploit zero‑day contra Sitecore usado para acesso inicial
Pesquisadores reportam que o ator UAT‑8837, ligado à China, explorou um zero‑day no Sitecore para obter acesso inicial a sistemas de infraestrutura crítica na América do Norte. A campanha combina exploração de bugs conhecidos e o zero‑day; o relatório confirma exploração ativa, mas não divulga CVE, versões afetadas ou IOCs públicos.
CastleLoader: loader 'memory-only' atinge agências e infraestrutura crítica
O CastleLoader, loader sofisticado que opera predominantemente em memória, tem sido usado desde 2025 como vetor inicial contra agências governamentais e infraestrutura crítica. A técnica documentada inclui uso de instaladores Inno Setup, AutoIt e process hollowing via jsc.exe, complicando detecção por EDRs fracos.
React2Shell (CVE-2025-55182) explorado em ataque de ransomware
Relatos indicam que a vulnerabilidade React2Shell (CVE-2025-55182) foi usada por um grupo de ransomware para obter acesso inicial e iniciar a cifragem de arquivos em menos de um minuto. A cobertura confirma exploração ativa, mas não divulga escopo de vítimas nem IOCs detalhados.
Storm-0249 abusa de EDR via DLL sideloading em ataques precisos
Analistas identificaram que o grupo Storm-0249 evoluiu para initial access broker e usa DLL sideloading em processos de EDR assinados (ex.: SentinelAgentWorker.exe) para permanecer furtivo, estabelecer C2 e preparar acesso para afiliados de ransomware. Recomenda-se análise comportamental e revisão de exclusões do EDR.