2026-03 - RunkIntel

# Arquivo: Feed CTI 2026-03 > Arquivo histórico do Feed de Inteligência CTI. --- ## 01 mar 2026 ### 🟥 P1 | Operation Epic Fury · Ofensiva Cibernética Conjunta EUA-Israel Contra Irã Desencadeia Escalada Global 📅 01 mar · `LATAM` · Score **95** A **Operation Epic Fury**, ofensiva cibernética conjunta entre Estados Unidos e Israel contra o Irã lançada em 28 de fevereiro, representa o maior evento de guerra cibernética de 2026: Israel executou o que chamou de "maior ciberataque da história", reduzindo a conectividade de internet do Irã a 1-4%, enquanto o US Cyber Command atuou como "first mover" antes de strikes cinéticos. O [[g0069-mango-sandstorm|MuddyWater]] implantou 6 novas famílias de malware em 3 semanas, e grupos como [[g0049-oilrig|APT34/OilRig]], [[g0059-magic-hound|APT35]], [[cyberav3ngers|CyberAv3ngers]] e [[void-manticore|Handala]] escalaram operações simultaneamente - mais de 60 grupos hacktivistas se ativaram globalmente até 2 de março, e o Qatar prendeu 10 operativos do IRGC em 4 de março. Para a América Latina, hacktivistas alinhados ao Irã expandiram targeting globalmente, com setores de [[energy|Energia]] e petróleo sob risco elevado em países com infraestrutura exposta. **TTPs:** [[t1498-network-denial-of-service|T1498]] · [[t1583-acquire-infrastructure|T1583]] · [[t1071-application-layer-protocol|T1071]] **Atores:** [[g0069-mango-sandstorm|MuddyWater]] · [[g0049-oilrig|APT34]] · [[g0059-magic-hound|APT35]] · [[cyberav3ngers|CyberAv3ngers]] · [[void-manticore|Handala]] **Setores:** [[government|Governo]] · [[energy|Energia]] · [[telecom|Telecom]] · [[critical-infrastructure|Infraestrutura Crítica]] **Mitigação:** Elevar nível de alerta para setores de energia e petróleo na América Latina - grupos hacktivistas pró-Irã com targeting global expandido. Revisar controles de acesso a sistemas SCADA/OT. Monitorar TTPs do MuddyWater (6 novas famílias de malware implantadas em março 2026). **Fontes:** [1](https://unit42.paloaltonetworks.com/iran-cyber-operations-epic-fury/) [2](https://www.tenable.com/blog/threat-landscape-iran-cyber-operations-2026) [3](https://attackiq.com/blog/2026/03/iran-cyber-escalation/) [4](https://flashpoint.io/blog/iran-cyberattacks-epic-fury-2026/) [5](https://www.defense.gov/News/Releases/Release/Article/) --- --- ## 03 mar 2026 ### 🟥 P1 | [[cve-2026-22719|CVE-2026-22719]] · VMware Aria Operations RCE Adicionado ao CISA KEV 📅 03 mar · `CVSS 8.1` `KEV` `Exploração Ativa` · Score **84** A [[cve-2026-22719|CVE-2026-22719]] (CVSS 8.1), vulnerabilidade de command injection no VMware Aria Operations, permite RCE não autenticado durante operações de migração - adicionada ao CISA KEV em 3 de março junto com [[cve-2026-22720|CVE-2026-22720]] (XSS) e [[cve-2026-22721|CVE-2026-22721]] (escalação de privilégios), formando trio de vulnerabilidades que afeta Aria Operations 8.x e VMware Cloud Foundation. O CERT belga emitiu advisory urgente reforçando a criticidade, e a Broadcom publicou patches para todas as três falhas simultaneamente. Para a América Latina, o VMware é amplamente implantado em ambientes enterprise e governamentais - o comprometimento de ferramentas de gerenciamento de operações cloud pode expor visibilidade completa sobre infraestrutura virtualizada. **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1059-command-scripting-interpreter|T1059]] **Setores:** [[technology|Corporativo]] · [[government|Governo]] · [[critical-infrastructure|Infraestrutura Crítica]] **Mitigação:** Aplicar os patches da Broadcom para [[cve-2026-22719|CVE-2026-22719]], [[cve-2026-22720|CVE-2026-22720]] e [[cve-2026-22721|CVE-2026-22721]] no VMware Aria Operations 8.x imediatamente. Restringir acesso à interface de gerenciamento à rede interna. Auditar logs de migração por execuções anômalas de comandos. **Fontes:** [1](https://www.bleepingcomputer.com/news/security/cisa-flags-vmware-aria-operations-rce-flaw-as-exploited-in-attacks/) [2](https://thehackernews.com/2026/03/cisa-flags-vmware-aria-operations-rce.html) [3](https://support.broadcom.com/web/ecx/support-content?segment=EN&id=VMSA-2026-0001) --- ### 🟥 P1 | [[cve-2026-21385|CVE-2026-21385]] · Qualcomm Android Zero-Day em 234+ Chipsets com Exploração Confirmada 📅 03 mar · `CVSS 7.8` `KEV` `Exploração Ativa` `Zero-Day` `LATAM` · Score **83** O Google confirmou "exploração limitada e direcionada" da [[cve-2026-21385|CVE-2026-21385]] (CVSS 7.8), integer overflow com corrupção de memória no driver de gráficos Qualcomm presente em 234+ chipsets - potencialmente vinculada a operações de spyware comercial. O boletim de segurança Android de março de 2026 corrige 129 vulnerabilidades no total, mas esta é a única com exploração confirmada in-the-wild. Para o Brasil e América Latina, onde o Android é o sistema operacional móvel dominante com market share superior a 80%, a vulnerabilidade em chipsets Qualcomm amplamente utilizados representa risco direto para centenas de milhões de dispositivos - a atualização de segurança deve ser aplicada assim que disponibilizada pelos fabricantes. **TTPs:** [[t1203-exploitation-client-execution|T1203]] · [[t1068-exploitation-for-privilege-escalation|T1068]] **Setores:** todos os setores · [[technology|Mobile]] **Mitigação:** Instalar a atualização de segurança Android de março 2026 nos dispositivos Qualcomm assim que disponível pelo fabricante. Priorizar atualização de dispositivos de alto risco (governo, jornalistas) - suspeita de uso por spyware comercial. Monitorar indicadores de comprometimento no MDM. **Fontes:** [1](https://thehackernews.com/2026/03/google-confirms-CVE-2026-21385-in.html) [2](https://www.bleepingcomputer.com/news/security/google-patches-android-zero-day-actively-exploited-in-attacks/) [3](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) --- --- ## 04 mar 2026 ### 🟥 P1 | Tycoon 2FA Takedown · Europol e Microsoft Derrubam Plataforma PhaaS com 64.000 Ataques 📅 04 mar · Score **90** Operação coordenada entre Europol, [[_microsoft|Microsoft]] e 11 empresas de segurança em 6 países resultou na derrubada do **Tycoon 2FA**, a maior plataforma de phishing-as-a-service (PhaaS) com bypass de MFA - responsável por 62% de todas as tentativas de phishing bloqueadas pela Microsoft em 2025. Foram apreendidos 330 domínios de infraestrutura, com a plataforma vinculada a 64.000 ataques e 3 milhões de mensagens de phishing apenas em fevereiro de 2026, afetando 100.000 organizações globalmente incluindo escolas, hospitais e instituições públicas. **TTPs:** [[t1566-phishing|T1566]] · [[t1111-multi-factor-authentication-interception|T1111]] · [[t1539-steal-web-session-cookie|T1539]] · [[t1078-valid-accounts|T1078]] **Mitigação:** Migrar para MFA resistente a phishing (FIDO2/passkeys) - o Tycoon 2FA contorna TOTP e SMS. Implementar detecção de proxy AiTM nos sistemas de autenticação. Revisar logs de autenticação por sessões suspeitas do período de atividade da plataforma (2024-2026). **Fontes:** [1](https://thehackernews.com/2026/03/europol-led-operation-takes-down-tycoon.html) [2](https://blogs.microsoft.com/on-the-issues/2026/03/04/how-a-global-coalition-disrupted-tycoon/) [3](https://www.europol.europa.eu/media-press/newsroom/news/global-phishing-service-platform-taken-down-in-coordinated-public-private-action) --- ### 🟧 P2 | Citrix NetScaler · [[cve-2026-3055|CVE-2026-3055]] e [[cve-2026-4368|CVE-2026-4368]] RCE em ADC e Gateway 📅 04 mar · `CVSS 9.3` · Score **78** A [[_citrix|Citrix]] publicou atualizações de segurança para duas vulnerabilidades críticas no [[netscaler-adc|NetScaler ADC]] e NetScaler Gateway: [[cve-2026-3055|CVE-2026-3055]] (CVSS 9.3) e [[cve-2026-4368|CVE-2026-4368]] (CVSS 7.7), ambas permitindo execução remota de código. Dado o histórico do [[netscaler-adc|NetScaler]] como alvo prioritário de grupos de ransomware ([[cve-2023-4966|CVE-2023-4966]] "Citrix Bleed" afetou milhares de organizações), a aplicação imediata de patches é crítica para ambientes corporativos. **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1059-command-scripting-interpreter|T1059]] · [[t1078-valid-accounts|T1078]] **Setores:** [[technology|Corporativo]] · [[critical-infrastructure|Infraestrutura Crítica]] **Mitigação:** Aplicar os patches da Citrix para [[cve-2026-3055|CVE-2026-3055]] e [[cve-2026-4368|CVE-2026-4368]] no NetScaler ADC e Gateway imediatamente. Verificar integridade de configurações de VPN pós-patch. Revisar logs de acesso retroativos - o NetScaler é alvo histórico prioritário de grupos de ransomware. **Fontes:** [1](https://www.swktech.com/swk-technologies-march-2026-cybersecurity-news-recap/) --- --- ## 09 mar 2026 ### 🟥 P1 | [[cve-2026-1603|CVE-2026-1603]] · Ivanti EPM Auth Bypass Adicionado ao CISA KEV 📅 09 mar · `CVSS 8.6` `KEV` `Exploração Ativa` · Score **85** A [[cve-2026-1603|CVE-2026-1603]] (CVSS 8.6) no [[_ivanti|Ivanti]] Endpoint Manager permite bypass de autenticação com roubo remoto de credenciais sem necessidade de autenticação prévia - patcheada no EPM 2024 SU5 (fevereiro de 2026) e adicionada ao CISA KEV em 9 de março com prazo até 23 de março. O Shadowserver identificou mais de 700 instâncias EPM expostas à internet, e a combinação de bypass de autenticação com roubo de credenciais cria cenário ideal para movimentação lateral e escalação de privilégios em ambientes corporativos. O histórico da Ivanti com zero-days explorados em massa (EPMM, Connect Secure, Policy Secure) reforça que produtos Ivanti devem ser tratados como superfície de ataque de alta prioridade. **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1078-valid-accounts|T1078]] **Setores:** [[technology|Corporativo]] · [[government|Governo]] **Mitigação:** Atualizar Ivanti EPM para versão 2024 SU5 imediatamente (patch disponível desde fevereiro de 2026). Isolamento de rede para instâncias EPM expostas enquanto patch não for aplicado. Verificar indicadores de comprometimento nas 700+ instâncias identificadas pelo Shadowserver. **Fontes:** [1](https://www.bleepingcomputer.com/news/security/cisa-recently-patched-ivanti-epm-flaw-now-actively-exploited/) [2](https://www.zerodayinitiative.com/advisories/ZDI-26-0142/) [3](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) --- ### 🟧 P2 | [[cve-2025-26399|CVE-2025-26399]] · SolarWinds Web Help Desk RCE - Terceiro Bypass da Mesma Falha 📅 09 mar · `KEV` · Score **80** A [[cve-2025-26399|CVE-2025-26399]], vulnerabilidade de desserialização não autenticada no SolarWinds Web Help Desk que permite RCE, representa o terceiro bypass da mesma classe de falha - após [[cve-2024-28988|CVE-2024-28988]] e [[cve-2024-28986|CVE-2024-28986]], demonstrando que correções anteriores foram insuficientes para resolver o problema arquitetural subjacente. A CISA adicionou ao KEV em 9 de março com prazo agressivo até 12 de março, e o Canadian Centre for Cyber Security (Cyber.gc.ca) emitiu advisory independente. A recorrência de bypasses no mesmo produto evidencia padrão preocupante: organizações que aplicaram patches anteriores podem estar vulneráveis novamente, exigindo monitoramento contínuo de advisories do SolarWinds. **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1059-command-scripting-interpreter|T1059]] **Setores:** [[technology|Corporativo]] · [[government|Governo]] **Mitigação:** Atualizar SolarWinds Web Help Desk para versão 12.8.4+ (terceiro bypass resolvido). Restringir acesso à interface de administração por IP. Monitorar continuamente advisories SolarWinds - padrão recorrente de bypasses da mesma classe de falha. **Fontes:** [1](https://nvd.nist.gov/vuln/detail/CVE-2025-26399) [2](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) [3](https://www.cyber.gc.ca/en/alerts-advisories/solarwinds-security-advisory-2026-03-09) --- ### 🟧 P2 | Intel 471 · Ransomware na América Latina Sobe 78% com Brasil Concentrando 30% das Vítimas 📅 09 mar · `LATAM` · Score **88** O relatório **Latin America Cyber Threat Landscape** da Intel 471 revela escalada dramática de ransomware na região: breaches saltaram de 250+ para 450+ (aumento de 78% em 2025), com o Brasil concentrando 30% de todas as vítimas latino-americanas - as variantes ativas quase dobraram de 48 para 79, com [[qilin|Qilin]], TheGentlemen, SafePay, [[g1024-akira|Akira]] e Inc liderando as operações. Mais de 200 initial access brokers visaram 17 países da região, e o sistema **Pix** brasileiro foi alvo de ataque que desviou US$148 milhões, confirmando que infraestrutura financeira digital é target prioritário. Organizações latino-americanas enfrentam em média 2.640 ataques por semana - 35% acima da média global - posicionando a região como uma das mais visadas do mundo para operações de cibercrime e ransomware. **TTPs:** [[t1486-data-encrypted-for-impact|T1486]] · [[t1657-financial-theft|T1657]] **Setores:** [[financial|Financeiro]] · [[government|Governo]] · [[critical-infrastructure|Infraestrutura Crítica]] **Mitigação:** Revisar controles de segurança conforme relatório Intel 471 - organizações LATAM enfrentam 2.640 ataques/semana. Monitorar IOCs das variantes Qilin, SafePay e Akira. Implementar programa de monitoramento de initial access brokers para credenciais corporativas expostas. **Fontes:** [1](https://www.kiteworks.com/cybersecurity-risk-management/latin-america-cyber-threat-landscape-2026-intel-471-report/) [2](https://industrialcyber.co/reports/latin-america-sees-sharp-rise-in-ransomware-hacktivist-attacks-in-2025-amid-expanding-fraud-and-phishing-threats/) --- --- ## 11 mar 2026 ### 🟥 P1 | Patch Tuesday Março 2026 · Microsoft Corrige 4 Zero-Days com Exploração Ativa 📅 11 mar · `KEV` `Exploração Ativa` `Zero-Day` · Score **95** O Patch Tuesday de março 2026 da [[_microsoft|Microsoft]] corrigiu 67 vulnerabilidades incluindo 4 zero-days ativamente explorados: uma use-after-free no subsistema Win32 Kernel para escalação a SYSTEM (usada em chains pós-compromisso), falhas no NTFS e no Microsoft Management Console. A CISA adicionou todas ao catálogo KEV com prazo de remediação de 21 dias. Agências federais e todas as organizações devem tratar como emergência - atores de estado-nação confirmados como exploitadores. **TTPs:** [[t1068-exploitation-for-privilege-escalation|T1068]] · [[t1078-valid-accounts|T1078]] · [[t1055-process-injection|T1055]] · [[t1059-001-powershell|T1059.001]] **Setores:** [[government|Governo]] · [[technology|Corporativo]] · [[critical-infrastructure|Infraestrutura Crítica]] **Mitigação:** Aplicar o Patch Tuesday de março 2026 da Microsoft em regime de emergência (4 zero-days KEV). Priorizar a correção de escalação de privilégios no Win32 Kernel. Verificar deploy nos sistemas de agências federais com prazo de 21 dias. **Fontes:** [1](https://kensai.app/blog/microsoft-patches-4-zero-days-march-2026-patch-tuesday.html) [2](https://www.malwarebytes.com/blog/news/2026/03/march-2026-patch-tuesday-fixes-two-zero-day-vulnerabilities) --- ### 🟧 P2 | Handala vs Stryker · Grupo Iraniano Apaga 200.000 Sistemas via Microsoft Intune 📅 11 mar · Score **80** O grupo hacktivista iraniano [[void-manticore|Handala]] reivindicou ataque destrutivo contra a fabricante de tecnologia médica **Stryker**, utilizando o Microsoft Intune (MDM legítimo da empresa) para apagar dados de 200.000 sistemas em 79 países. O abuso de ferramentas de gerenciamento legítimas para destruição massiva representa evolução tática significativa - organizações que confiam em MDM para proteção podem ter a própria ferramenta usada como arma. **TTPs:** [[t1485-data-destruction|T1485]] · [[t1072-software-deployment-tools|T1072]] · [[t1562-impair-defenses|T1562]] **Atores:** [[void-manticore|Handala]] **Setores:** [[healthcare|Saúde]] · [[critical-infrastructure|Manufatura]] **Mitigação:** Restringir permissões de limpeza remota em massa no MDM/Intune a apenas administradores autorizados com MFA. Monitorar ações administrativas do Intune em tempo real. Implementar aprovação dupla para ações destrutivas em mais de 100 dispositivos. **Fontes:** [1](https://www.barradvisory.com/resource/top-5-cybersecurity-headlines-march-2026/) [2](https://www.swktech.com/swk-technologies-march-2026-cybersecurity-news-recap/) --- --- ## 13 mar 2026 ### 🟥 P1 | Chrome Double Zero-Day · [[cve-2026-3909|CVE-2026-3909]] e [[cve-2026-3910|CVE-2026-3910]] Adicionados ao CISA KEV 📅 13 mar · `CVSS 8.8` `KEV` `Exploração Ativa` `Zero-Day` `LATAM` · Score **88** O Google corrigiu dois zero-days descobertos em 10 de março e patcheados em 13 de março: [[cve-2026-3909|CVE-2026-3909]] (CVSS 8.8, out-of-bounds write no motor gráfico Skia) e [[cve-2026-3910|CVE-2026-3910]] (CVSS 8.8, falha no motor JavaScript V8) - ambos adicionados ao CISA KEV com prazo até 27 de março, representando o terceiro zero-day do Chrome em 2026. As vulnerabilidades afetam todos os navegadores baseados em Chromium (Chrome, Edge, Brave, Opera), e a combinação de falhas no renderizador gráfico e no motor JS amplia significativamente as possibilidades de exploit chains para drive-by compromise. Com o Chrome dominando aproximadamente 85% do market share no Brasil, a exposição regional é massiva - organizações devem forçar atualização automática em todos os endpoints e verificar versões em dispositivos gerenciados. **TTPs:** [[t1189-drive-by-compromise|T1189]] · [[t1203-exploitation-client-execution|T1203]] **Setores:** todos os setores **Mitigação:** Atualizar Google Chrome e todos navegadores Chromium para versão 122.0.6261.111 ou superior. Forçar atualização automática via GPO/MDM em toda a organização. Verificar versões em dispositivos não gerenciados com acesso a recursos corporativos. **Fontes:** [1](https://www.bleepingcomputer.com/news/google/google-fixes-two-new-chrome-zero-days-exploited-in-attacks/) [2](https://thehackernews.com/2026/03/google-fixes-two-chrome-zero-days.html) [3](https://securityaffairs.com/189373/hacking/google-fixed-two-new-actively-exploited-flaws-in-the-chrome-browser.html) --- --- ## 19 mar 2026 ### 🟥 P1 | [[cve-2026-33634|CVE-2026-33634]] · Trivy Supply Chain Compromise Afeta Milhares de Pipelines CI/CD 📅 19 mar · `CVSS 9.4` `Exploração Ativa` · Score **92** Atacantes comprometeram o repositório GitHub Actions da ferramenta open-source Trivy da Aqua Security, injetando código malicioso que afetou pipelines CI/CD de milhares de organizações que dependem do scanner de vulnerabilidades em containers. A **Mandiant** rastreia até 10.000 vítimas downstream, com onda de extorsão "loud and aggressive" já em andamento - o comprometimento de uma ferramenta de scanning de segurança é especialmente grave pois as vítimas confiam implicitamente nessas soluções em seus ambientes DevSecOps. **TTPs:** [[t1195-001-compromise-software-dependencies-and-development-tools|T1195.001]] · [[t1059-command-scripting-interpreter|T1059]] · [[t1657-financial-theft|T1657]] **Atores:** [[teampcp|TeamPCP]] **Setores:** [[technology|Tecnologia]] · [[technology|DevOps]] **Mitigação:** Fixar versões de GitHub Actions e dependências por hash SHA em todos os pipelines CI/CD. Verificar integridade de artefatos Trivy com checksums SHA256 da Aqua Security. Auditar logs de pipelines CI/CD por execuções suspeitas entre outubro de 2025 e março de 2026. **Fontes:** [1](https://cyberscoop.com/trivy-supply-chain-attack-aqua-security-downstream-extortion-fallout/) [2](https://www.aquasec.com/blog/trivy-github-action-supply-chain-attack/) --- ### 🟧 P2 | Horabot LATAM · Kaspersky Revela 5.384 Dispositivos Infectados na América Latina 📅 19 mar · `LATAM` · Score **85** A Kaspersky MDR publicou análise detalhada do [[horabot|Horabot]], trojan bancário de origem brasileira com 5.384 dispositivos infectados rastreados desde maio de 2025 - 93% no México. O malware evoluiu com novas capacidades de evasão, criptografia aprimorada e propagação via sites falsos de CAPTCHA. A base de dados dos operadores está em português brasileiro, confirmando origem nacional da operação. **TTPs:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1056-input-capture|T1056]] · [[t1071-application-layer-protocol|T1071]] · [[t1539-steal-web-session-cookie|T1539]] **Software:** [[horabot|Horabot]] **Setores:** [[financial|Financeiro]] · [[technology|Corporativo]] **Mitigação:** Bloquear domínios de CAPTCHA falsos associados ao Horabot nos proxies web. Monitorar comportamento anômalo de credenciais bancárias corporativas. Implementar análise de comportamento em endpoints para detectar evasão aprimorada do Horabot 2026. **Fontes:** [1](https://securelist.com/horabot-campaign/119033/) [2](https://itwarelatam.com/2026/03/19/kaspersky-advierte-sobre-el-malware-horabot-en-america-latina/) ---