7 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a post-exploitation.
Pesquisadores da Proofpoint revelam que 40% das contas Microsoft 365 comprometidas têm regras de caixa de correio maliciosas criadas para interceptar e-mails e manter acesso persistente.
Grupo Warlock Ransomware utiliza técnica BYOVD para atividades de pós-exploração mais furtivas e movimentação lateral em redes comprometidas.
APT28 utiliza variante customizada de ferramenta Covenant para operações de espionagem, destacando riscos de ferramentas open-source modificadas.
Pesquisadores da Cyble descreveram o ShadowHS, um framework fileless para Linux que executa payloads cifrados em memória via file descriptors anônimos. O malware inclui rotinas de fingerprint de EDR, módulos latentes para roubo de credenciais, movimentação lateral, exfiltração por túneis em espaço de usuário e até capacidades de mineração. A operação exclusiva em memória complica resposta a incidentes e requer coleta de memória ativa.
Analistas da Ontinue identificaram atacantes reaproveitando o agente legítimo Nezha (ferramenta de monitoramento open‑source) para operar como RAT, comprometendo centenas de endpoints. O agente roda com privilégios elevados (SYSTEM/root) e binário legítimo obteve zero detecções em 72 vendors no VirusTotal. O script de implantação apontava para C2 na Alibaba Cloud (IP 47.79.42.91). Recomendações: caçar presença de Nezha, isolar dashboards e checar
BC Security lançou o Empire 6.3.0, que amplia suporte a agentes (PowerShell, Python, C#, Go), incorpora GUI Starkiller e técnicas de evasão (JA3/S, JARM) e expande a biblioteca de módulos para exercícios ofensivos.
Pesquisadores relataram a primeira observação de um payload RomCom sendo distribuído via loader JavaScript SocGholish para entregar o Mythic Agent a uma empresa de engenharia civil nos EUA. O caso combina um método de fake-update com um framework de pós-exploração, mas as fontes não detalham IOCs, alcance nem dados exfiltrados.