20 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a ssh.
Uma botnet ligada ao Irã teve sua infraestrutura exposta após um diretório aberto, revelando rede de relés, scripts de implantação SSH e ferramentas de DDoS. A Hunt.io detalha os vetores de ataque e recomendações de mitigação para CISOs.
A botnet SSHStalker explora servidores Linux com SSH aberto na porta 22, usando o protocolo IRC para comandar dispositivos comprometidos. A campanha automatizada visa lançar ataques DDoS, minerar criptomoedas e realizar proxyjacking, apagando logs para evadir detecção. Suspeita-se de origem romena.
Sensores DShield capturaram um worm SSH capaz de comprometer sistemas Linux em cerca de quatro segundos usando credential stuffing contra credenciais fracas (ex.: Raspberry Pi). O malware executa um script de 4,7 KB que estabelece persistência, mata concorrentes e usa IRC para C2, com validação de comandos por RSA embutida.
Pesquisadores documentaram o SSHStalker, um botnet Linux com pipeline de mass‑compromise que teria infectado cerca de 7.000 sistemas. A operação usa scanners e payloads automatizados para comprometer hosts expostos via SSH.
Pesquisadores identificaram que o cluster ShadowSyndicate passou a usar um método de "server transition" para rotacionar chaves SSH entre servidores, dificultando rastreamento. Três fingerprints principais e pelo menos 20 servidores C2 foram correlacionados a frameworks e grupos de ransomware conhecidos.
Inteligência de ameaças registrou a oferta do toolkit “Brutus”, focado em ataques de brute‑force a serviços remotos (SSH, RDP, VNC) e direcionado a infraestruturas Fortinet. O produto, anunciado por US$1.500, inclui scanner de serviços, proxies rotativos e geração dinâmica de combinações de credenciais. Recomenda‑se reforçar MFA, rate limiting e auditorias de serviços expostos.
Relatórios recentes mostram que adversários têm abusado do cliente SSH PuTTY (plink/pscp) para movimento lateral e exfiltração de dados, enquanto deixam artefatos persistentes no registro do Windows (HKCU\\Software\\SimonTatham\\PuTTY\\SshHostKeys). Especialistas recomendam caça ativa desses artefatos, rotação de chaves SSH, whitelisting de binários e correlação com telemetria de rede para distinguir uso legítimo de atividade maliciosa.
Howling Scorpius explorou um falso CAPTCHA (ClickFix) para entregar SectopRAT e manter uma intrusão de 42 dias numa grande empresa global de armazenamento. Os invasores exfiltraram quase 1 TB, apagaram backups e implantaram o ransomware Akira em servidores de três redes; a Unit 42 da Palo Alto Networks ajudou na investigação e negociou o resgate, reduzido ~68%.
A CVE‑2025‑59396 afeta a série WatchGuard Firebox: SSH exposto na porta 4118 com credenciais padrão (admin:readwrite) permite acesso administrativo sem autenticação. Fontes recomendam alterar credenciais, restringir/fechar a porta e aplicar updates do fabricante.
Pesquisas apontam que grupos APT e redes criminosas passaram a focar empresas de construção para roubar credenciais de RDP, SSH e Citrix. Operadores compram acessos em mercados do dark web e exploram fraquezas em fornecedores, ferramentas em nuvem e sistemas legados para movimentação lateral e exfiltração de BIM, contratos e dados pessoais.