Threats
Investigadores da Cisco Talos confirmam que o grupo Salt Typhoon utilizou vulnerabilidades corrigidas, credenciais roubadas e táticas furtivas para aceder a infraestruturas críticas
25/02/2025
|
A unidade de inteligência de ameaças da Cisco revelou que o grupo de cibercriminosos Salt Typhoon, apoiado pelo Estado chinês, conseguiu comprometer redes de telecomunicações nos Estados Unidos. O ataque foi realizado através de vulnerabilidades antigas, credenciais de login roubadas e táticas conhecidas como living-off-the-land, que evitam o uso de malware tradicional para dificultar a deteção. De acordo com o relatório do Cisco Talos Intelligence Group, um dos métodos utilizados pelo Salt Typhoon foi a exploração da falha CVE-2018-0171, uma vulnerabilidade de execução remota de código no recurso Smart Install da Cisco. A vulnerabilidade foi corrigida, mas continua a representar um risco para sistemas não atualizados. Apesar de relatos sobre a utilização de outras vulnerabilidades da Cisco, os investigadores ainda não encontraram provas concretas que confirmem essas alegações. A Cisco reforçou o alerta para que sejam aplicados os patches de segurança disponíveis para diversas vulnerabilidades conhecidas, além da CVE-2018-0171, a CVE-2023-20198, CVE-2023-20273 e CVE-2024-20399 – vulnerabilidades nos sistemas IOS XE e NX-OS. Os cibercriminosos terão obtido acesso a equipamentos de rede, principalmente através da utilização de credenciais de login legítimas, capturadas a partir de tráfego de rede para roubo de credenciais SNMP, TACACS e RADIUS. Em vários casos, as configurações foram extraídas, contendo informações sensíveis que permitiram aos atacantes descodificar senhas com facilidade. Além do roubo de credenciais, os cibercriminosos recorreram a técnicas avançadas para manter o controlo sobre os dispositivos comprometidos. Alteraram configurações de autenticação, modificaram as definições dos routers e usaram ambientes de shell de convidado em dispositivos Cisco Nexus para executar comandos furtivamente. Em alguns casos, foi observada a movimentação dos atacantes entre redes de telecomunicações comprometidas, utilizando a infraestrutura de uma empresa como ponto de partida para atingir outras organizações. Os investigadores destacaram ainda que esta abordagem permitiu aos atacantes evitar a deteção por parte das defesas da rede, uma vez que as conexões entre dispositivos comprometidos não eram facilmente sinalizadas como suspeitas. Além disso, os atacantes utilizaram equipamentos de diferentes fabricantes para dificultar a identificação e mitigação das ameaças. Apesar do foco em dispositivos da Cisco, o relatório esclarece que não há evidências de que a infraestrutura da empresa tenha sido comprometida, sendo os alvos principais os equipamentos operados por empresas de telecomunicações. |
Receba todas as novidades na sua caixa de correio!
EXPERT
Cibersegurança: o longo caminho da transposição da NIS2
OPINION
Novo Regime Jurídico de Cibersegurança: mais obrigações, mais resiliência
THREATS
Campanha de extensões maliciosas do Chrome afeta mais de 3,2 milhões de utilizadores
THREATS
Cibercriminosos recorrem a truques e manipulação de URL para roubar credenciais
THREATS
Check Point alerta para crescimento exponencial de phishing em português com IA
THREATS
Adoção de IA generativa da DeepSeek aumenta ciberameaças
THREATS
Campanha de extensões maliciosas do Chrome afeta mais de 3,2 milhões de utilizadores
THREATS
Cibercriminosos recorrem a truques e manipulação de URL para roubar credenciais
THREATS
CISA confirma vulnerabilidade crítica no Microsoft Partner Center
THREATS
Cibercriminosos exploram redes em menos de quatro horas e meia
