2026-w04 - RunkIntel

# CTI Weekly - 2026-W04 > Período: 2026-01-19 a 2026-01-25 · Edição #4 · Atualizado em 2026-03-30 > Fontes primárias: CISA KEV, NVD, Oracle, Cisco, BleepingComputer, The Hacker News, Recorded Future, Senthorus, SecurityWeek, Acronis TRU. | Período | Nível LATAM | CVEs Críticos | Campanhas Ativas | Fontes | |:-------:|:-----------:|:-------------:|:----------------:|:------:| | **19-25 jan** | 🟧 **Médio-Alto** | **8+** | **3+** | **16+** | > [!danger]- Destaques da Semana > | P | Destaque | > |---|---------| > | 🟥 P1 | **[[cve-2026-20045\|CVE-2026-20045]]** (Cisco Unified CM/Webex) - zero-day RCE, KEV 21/01, 30M+ usuários potencialmente expostos | > | 🟥 P1 | **[[cve-2024-37079\|CVE-2024-37079]]** (VMware vCenter) - CVSS 9.8, KEV 23/01, exploração ativa após 18 meses de patch disponível | > | 🟥 P1 | **[[cve-2026-21509\|CVE-2026-21509]]** (Microsoft Office) - zero-day explorado pelo [[g0007-apt28\|APT28]], patch out-of-band 26/01 | > | 🟧 P2 | **Astaroth/Boto Cor-de-Rosa** - worm via WhatsApp com módulo Python, targeting exclusivo Brasil | > | 🟧 P2 | **Nike - WorldLeaks** - 1,4 TB exfiltrados (188.347 arquivos), ransomware data-only | > | 🟧 P2 | **Oracle CPU** - 337 patches, inclui [[cve-2025-66516\|CVE-2025-66516]] Apache Tika (CVSS 10.0) | ```mermaid pie title Distribuição por Categoria - W04/2026 "Vulnerabilidades Críticas" : 8 "Ameaças LATAM/Brasil" : 3 "Ransomware/Extorsão" : 2 "Inteligência Estatal" : 2 "Supply Chain/Patch Mgmt" : 2 ``` --- ## Sumário Executivo A semana W04/2026 foi marcada por dois zero-days críticos em infraestrutura corporativa e pelo ressurgimento de uma das famílias de malware bancário mais relevantes do Brasil. O [[cve-2026-20045|CVE-2026-20045]] — uma falha de execução remota de código sem autenticação no **Cisco Unified Communications Manager** e **Webex Calling** — foi adicionado ao catálogo CISA KEV em 21 de janeiro, com prazo de remediação até 11 de fevereiro. Com mais de 30 milhões de usuários globais do Cisco UCM, o impacto potencial é massivo. No mesmo dia, a CISA confirmou exploração ativa do [[cve-2024-37079|CVE-2024-37079]] (CVSS 9.8) no VMware vCenter Server — uma vulnerabilidade corrigida pela Broadcom em junho de 2024, mas agora weaponizada por atores que encontraram instâncias ainda não patcheadas. No final da semana, a Microsoft emitiu patch out-of-band para o [[cve-2026-21509|CVE-2026-21509]] — um zero-day no Microsoft Office explorado pelo [[g0007-apt28|APT28]] (Fancy Bear/GRU) na **Operation Neusploit**, com alvos na Ucrânia, Romênia e Eslováquia via documentos RTF maliciosos. A exploração foi observada em 29 de janeiro, apenas três dias após a publicação do patch, demonstrando a velocidade operacional do grupo russo. No fronte regional, a campanha **Boto Cor-de-Rosa** — identificada pela Acronis Threat Research Unit — revelou que o banking trojan [[s0373-astaroth|Astaroth]] (Guildma) agora se propaga via **WhatsApp** utilizando um módulo worm escrito em Python, com mensagens em português contextualizadas por horário do dia. O vetor é particularmente eficaz no Brasil, onde o WhatsApp é o principal canal de comunicação pessoal e corporativa. Paralelamente, o grupo **WorldLeaks** reivindicou a exfiltração de 1,4 TB de dados internos da Nike, incluindo design de produtos, processos de fabricação e propriedade intelectual. **Nível de ameaça geral para LATAM esta semana:** 🟧 Médio-Alto --- ## Vulnerabilidades Críticas da Semana | CVE | CVSS | Produto | Exploração | CISA KEV | Ação | |-----|------|---------|------------|----------|------| | [[cve-2026-20045\|CVE-2026-20045]] | 8.2 | Cisco Unified CM / Webex Calling | ✅ Ativa - zero-day, RCE → root | ✅ 21/01 · Prazo 11/02 | **Patch imediato** | | [[cve-2024-37079\|CVE-2024-37079]] | 9.8 | VMware vCenter Server (DCE/RPC) | ✅ Ativa - 18 meses pós-patch | ✅ 23/01 · Prazo 13/02 | **Patch imediato** | | [[cve-2026-21509\|CVE-2026-21509]] | 7.8 | Microsoft Office (RTF/OLE bypass) | ✅ Ativa - APT28 Operation Neusploit | Pendente | **Patch out-of-band** | | [[cve-2026-20805\|CVE-2026-20805]] | 5.5 | Windows DWM (info disclosure) | ✅ Ativa - ASLR bypass, chain-friendly | ✅ 14/01 · Prazo 03/02 | **Patch Tuesday jan** | | [[cve-2025-66516\|CVE-2025-66516]] | 10.0 | Apache Tika (XXE via PDF/XFA) | ⚠️ Reportada - Oracle CPU | ❌ | **Oracle CPU jan** | | [[cve-2026-20952\|CVE-2026-20952]] | Crítico | Microsoft Office (RCE Preview Pane) | ⚠️ Não confirmada | ❌ | **Patch Tuesday jan** | | [[cve-2026-20953\|CVE-2026-20953]] | Crítico | Microsoft Office (RCE Preview Pane) | ⚠️ Não confirmada | ❌ | **Patch Tuesday jan** | | [[cve-2025-14847\|CVE-2025-14847]] | Alto | MongoDB Server (MongoBleed) | ✅ Ativa - 87.000 instâncias expostas | ✅ 29/12 · Prazo 19/01 | **Patch urgente** | --- ### CVE em Destaque: [[cve-2026-20045|CVE-2026-20045]] - Cisco Unified Communications RCE Zero-Day O [[cve-2026-20045|CVE-2026-20045]] é uma vulnerabilidade de **execução remota de código sem autenticação** no **Cisco Unified Communications Manager (UCM)**, UCM Session Management Edition, UCM IM & Presence Service, Unity Connection e **Webex Calling Dedicated Instance**. **Por que é urgente:** - **CVSS 8.2** — vetor de rede, sem autenticação, sem interação do usuário - **Zero-day** — exploração confirmada em ambiente real antes da disponibilização de patch - **30 milhões de usuários** — o Cisco UCM é a espinha dorsal de telefonia IP e videoconferência de empresas globais - **CISA KEV** — adicionado em 21/01/2026, prazo federal de remediação 11/02/2026 **Mecanismo de ataque:** Um atacante não autenticado pode enviar requisições HTTP especialmente construídas à interface web de gerenciamento do dispositivo. A exploração bem-sucedida permite execução de comandos arbitrários no sistema operacional subjacente, inicialmente com privilégios de usuário e subsequente escalação para **root**. **Para o Brasil e LATAM:** O Cisco UCM é amplamente implantado em grandes empresas, bancos, órgãos governamentais e provedores de telecomunicações no Brasil. Um dispositivo comprometido oferece acesso a gravações de chamadas, metadados de comunicação e posição privilegiada para movimentação lateral na rede interna. **Mitigação imediata:** 1. Aplicar patch emergencial da Cisco imediatamente 2. Restringir acesso à interface web de gerenciamento via ACLs de rede 3. Monitorar logs HTTP do UCM para requisições anômalas 4. Se o patch não for possível, isolar a interface de gerenciamento de segmentos acessíveis externamente **Referências:** [Cisco Advisory](https://sec.cloudapps.cisco.com/security/center) · [The Hacker News](https://thehackernews.com/2026/01/cisco-fixes-actively-exploited-zero-day.html) - 2026-01-21 --- ### [[cve-2024-37079|CVE-2024-37079]] - VMware vCenter Server: Patch de 18 Meses Finalmente Weaponizado O [[cve-2024-37079|CVE-2024-37079]] (CVSS 9.8) é uma vulnerabilidade de **heap overflow** na implementação do protocolo DCE/RPC do VMware vCenter Server que permite **execução remota de código sem autenticação** e sem interação do usuário. **Linha do tempo preocupante:** | Data | Evento | |------|--------| | Jun/2024 | Broadcom corrige a vulnerabilidade (VMSA-2024-0012) | | Jan/2026 | Broadcom atualiza advisory para v1.1 — confirma exploração in-the-wild | | 23/01/2026 | CISA adiciona ao KEV · Prazo federal 13/02/2026 | **Versões afetadas:** vCenter Server 8.0 antes de 8.0 U2d e 8.0 U1e, e versão 7.0 antes de 7.0 U3r. Este caso é um exemplo crítico de **debt de patching**: uma vulnerabilidade CVSS 9.8 com patch disponível há 18 meses, ignorada por organizações que agora enfrentam exploração ativa. Para o Brasil, onde muitas organizações operam ambientes VMware legados, o risco é elevado — especialmente em setores como [[financial|financeiro]], [[government|governo]] e [[healthcare|saúde]] que dependem fortemente de virtualização. > [!danger] Ação Crítica > Verificar TODAS as instâncias vCenter Server na organização. Se a versão for anterior à corrigida, aplicar patch imediatamente. Monitorar logs do vCenter para atividade DCE/RPC anômala. Considerar isolamento de rede do vCenter enquanto o patch não for aplicado. --- ## Campanhas e Threat Actors ### [[g0007-apt28|APT28]] - Operation Neusploit: Zero-Day no Microsoft Office O [[g0007-apt28|APT28]] (Fancy Bear / GRU Unit 26165) iniciou em janeiro de 2026 a **[[operation-neusploit|Operation Neusploit]]**, campanha de espionagem direcionada a Ucrânia, Romênia e Eslováquia explorando o [[cve-2026-21509|CVE-2026-21509]] — um zero-day no Microsoft Office que permite bypass de mitigações de segurança OLE via documentos RTF maliciosos. **Cadeia de infecção com dois caminhos:** 1. **MiniDoor** — projeto VBA malicioso que se injeta no Outlook, reduz segurança de macros e encaminha emails da vítima para endereços controlados pelo atacante. Foco: coleta de inteligência de curto prazo. 2. **PixyNetLoader** → **Covenant Grunt** — persistência via COM hijacking e tarefas agendadas, carregamento de DLL falsa (EhStorShell.dll), extração de shellcode oculto em PNG via esteganografia, e execução in-memory de implant .NET para C2 de longo prazo. **Lures utilizados:** Documentos em inglês, romeno, eslovaco e ucraniano, personalizados por alvo. TTPs observados: - [[t1566-001-spearphishing-attachment|T1566.001]] - Spearphishing com RTF malicioso - [[t1203-exploitation-for-client-execution|T1203]] - Exploração de CVE-2026-21509 - [[t1546-015-component-object-model-hijacking|T1546.015]] - Persistência via COM hijacking - [[t1027-003-steganography|T1027.003]] - Shellcode oculto em imagem PNG - [[t1114-002-remote-email-collection|T1114.002]] - Coleta remota de emails via MiniDoor **Referências:** [Zscaler ThreatLabz - Operation Neusploit](https://www.zscaler.com/blogs/security-research/apt28-leverages-cve-2026-21509-operation-neusploit) · [Recorded Future](https://www.recordedfuture.com/blog/january-2026-cve-landscape) - 2026-01 --- ### WorldLeaks - Nike: 1,4 TB Exfiltrados em Ataque Data-Only O grupo **WorldLeaks** — sucessor do **Hunters International** — reivindicou em 22 de janeiro a exfiltração de **1,4 TB de dados** (188.347 arquivos) dos sistemas internos da Nike. Diferente de ransomware tradicional, o WorldLeaks opera exclusivamente com **extorsão baseada em dados** — sem criptografia de arquivos. **Dados reivindicados:** - Design de produtos (Jordan Brand SP27, Women's/Men's Sportswear) - Tech packs e processos de fabricação - Documentos internos de supply chain (2020-2026) - Propriedade intelectual industrial O modelo data-only do WorldLeaks reflete a tendência crescente de grupos de ransomware abandonarem criptografia em favor de exfiltração pura — mais silenciosa, menos detectável por soluções de endpoint, e igualmente lucrativa via extorsão. --- ### Oracle CPU Janeiro 2026 - 337 Patches, [[cve-2025-66516|CVE-2025-66516]] (CVSS 10.0) A Oracle publicou seu **Critical Patch Update** de janeiro com 337 novos patches cobrindo 30+ famílias de produtos e ~230 CVEs únicos. O destaque é o [[cve-2025-66516|CVE-2025-66516]] (CVSS 10.0) — uma vulnerabilidade de **XML External Entity (XXE) injection** no Apache Tika, biblioteca embarcada em múltiplos produtos Oracle (Commerce, Communications, Fusion Middleware, PeopleSoft). **Mecanismo:** Atacantes podem submeter arquivos PDF contendo conteúdo XFA malicioso, permitindo leitura de arquivos sensíveis do servidor, SSRF e, em configurações específicas, execução remota de código. **Impacto:** Mais de 500 instâncias potencialmente vulneráveis identificadas globalmente. Organizações que utilizam produtos Oracle com parsing de documentos devem aplicar o CPU imediatamente. --- ## LATAM / Brasil ### Astaroth/Boto Cor-de-Rosa - Banking Trojan Brasileiro se Propaga via WhatsApp A campanha **Boto Cor-de-Rosa** — identificada pela **Acronis Threat Research Unit** em janeiro de 2026 — revelou uma evolução significativa do [[s0373-astaroth|Astaroth]] (também conhecido como **Guildma**), banking trojan brasileiro ativo desde 2015. **O que mudou:** O Astaroth agora inclui um **módulo worm escrito em Python** que se integra ao **WhatsApp Web** da vítima, extrai a lista completa de contatos e envia automaticamente mensagens maliciosas para cada um deles. As mensagens são escritas em português coloquial e selecionam dinâmicamente saudações por horário (bom dia/boa tarde/boa noite), maximizando a aparência de legitimidade. **Cadeia de infecção:** 1. Mensagem WhatsApp com arquivo ZIP malicioso 2. Extração e execução de installer VBScript 3. Payload Delphi do Astaroth (core banking trojan — overlay de janela, captura de credenciais) 4. Módulo worm Python ativa propagação via WhatsApp Web **Por que importa para o Brasil:** - O WhatsApp tem **mais de 169 milhões de usuários** no Brasil — é o principal canal de comunicação pessoal e corporativa - Mensagens vindas de contatos conhecidos têm taxa de abertura significativamente maior que phishing por email - O Astaroth tem histórico de targeting específico de bancos brasileiros com overlays customizados - Fintechs e empresas que usam WhatsApp Business são particularmente vulneráveis > [!warning] Alerta para SOCs e Equipes de TI > Monitorar execução de scripts Python vinculados a processos de navegador. Alertar colaboradores sobre mensagens WhatsApp com anexos ZIP, mesmo de contatos conhecidos. Implementar políticas de DLP que detectem exfiltração via WhatsApp Web corporativo. **Referências:** [The Hacker News](https://thehackernews.com/2026/01/whatsapp-worm-spreads-astaroth-banking.html) · [Acronis TRU](https://www.acronis.com/en/tru/posts/boto-cor-de-rosa-campaign-reveals-astaroth-whatsapp-based-worm-activity-in-brazil/) - 2026-01 --- ### LATAM: Maior Média Global de Ataques por Organização Dados do **Check Point Research** publicados em fevereiro confirmam que a **América Latina** registrou a **maior média mundial de ataques semanais por organização** em janeiro de 2026: **3.110 ataques/semana** — crescimento de **33% ano a ano**, o maior salto regional no planeta. O Brasil absorve ~30% de todas as vítimas de ransomware da região, seguido por México (14%) e Argentina (13%). Os grupos mais ativos — **[[qilin|Qilin]]**, **SafePay**, **[[g1024-akira|Akira]]** e **Inc.** — concentram ataques nos setores de [[financial|produtos de consumo]], [[energy|energia/agronegócio]] e [[technology|serviços profissionais]]. --- ### Microsoft Patch Tuesday - Impacto para Organizações Brasileiras O Patch Tuesday de janeiro corrigiu **113 CVEs**, incluindo três zero-days. O [[cve-2026-20805|CVE-2026-20805]] (Windows DWM, CVSS 5.5) já estava em exploração ativa e foi adicionado ao CISA KEV com prazo 03/02. Embora o score CVSS seja moderado, a vulnerabilidade permite bypass de ASLR e é projetada para ser encadeada com falhas de execução de código — transformando exploits complexos em ataques reproduzíveis. Duas falhas críticas de RCE no Microsoft Office ([[cve-2026-20952|CVE-2026-20952]] e [[cve-2026-20953|CVE-2026-20953]]) podem ser exploradas apenas visualizando uma mensagem no **Preview Pane** — sem necessidade de abrir o documento. Organizações brasileiras com Outlook e Office devem priorizar este patch. --- ## TTPs em Destaque ### [[t1566-001-spearphishing-attachment|T1566.001]] - Spearphishing Attachment: Dois Vetores Simultâneos A semana W04 exemplifica como o spearphishing com anexo continua sendo o vetor de acesso inicial mais eficaz: 1. **APT28 / Operation Neusploit** — RTF maliciosos explorando [[cve-2026-21509|CVE-2026-21509]] contra alvos governamentais 2. **Astaroth / Boto Cor-de-Rosa** — ZIPs maliciosos via WhatsApp contra usuários brasileiros **Padrão comum:** Ambas as campanhas dependem de documentos que parecem legítimos, entregues por canais confiáveis (email institucional no caso do APT28, WhatsApp de contato conhecido no caso do Astaroth). **Detecção e Mitigação:** - Implementar regras de detecção para execução de macros VBA e VBScript a partir de anexos - Habilitar ASR rules (Attack Surface Reduction) no Microsoft Defender - Bloquear execução de RTF com OLE embarcado em ambientes que não necessitam deste formato - Monitorar processos Python filhos de processos de navegador (indicador de worm WhatsApp) --- ## Indicadores de Prioridade para SOCs > Escala: 🟥 Crítico · 🟧 Alto · 🟨 Médio · 🟦 Monitorar | Prioridade | Item | Ação | |------------|------|------| | 🟥 P1 | [[cve-2026-20045\|CVE-2026-20045]] (Cisco UCM/Webex) zero-day RCE | Patch imediato + restringir interface web de gerenciamento | | 🟥 P1 | [[cve-2024-37079\|CVE-2024-37079]] (VMware vCenter) CVSS 9.8 | Verificar TODAS as instâncias vCenter + patch urgente | | 🟥 P1 | [[cve-2026-21509\|CVE-2026-21509]] (Microsoft Office) APT28 zero-day | Aplicar patch out-of-band + bloquear RTF com OLE | | 🟧 P2 | [[cve-2026-20805\|CVE-2026-20805]] (Windows DWM) explorado in-the-wild | Patch Tuesday janeiro + monitorar chains de exploit | | 🟧 P2 | [[cve-2025-66516\|CVE-2025-66516]] (Apache Tika) CVSS 10.0 | Oracle CPU janeiro + auditar parsing de PDFs | | 🟧 P2 | [[s0373-astaroth\|Astaroth]]/Boto Cor-de-Rosa - worm WhatsApp Brasil | Alertar usuários + monitorar execução Python via browser | | 🟧 P2 | [[cve-2026-20952\|CVE-2026-20952]]/[[cve-2026-20953\|CVE-2026-20953]] (Office RCE Preview Pane) | Patch Tuesday + considerar desabilitar Preview Pane | | 🟧 P2 | [[cve-2025-14847\|CVE-2025-14847]] (MongoDB MongoBleed) 87k instâncias | Patch + auditar instâncias expostas à internet | | 🟧 P2 | WorldLeaks - Nike 1,4 TB data breach | Revisar postura contra extorsão data-only | | 🟨 P3 | Oracle CPU janeiro - 337 patches / 230 CVEs | Planejar ciclo de atualização Oracle | | 🟨 P3 | Operation Neusploit - APT28 em Europa Oriental | Monitorar lures em português (expansão LATAM possível) | | 🟦 P4 | LATAM 3.110 ataques/semana/org - maior média global | Reforçar baseline de segurança geral | --- ## Referências da Semana - [1] [CISA - CVE-2026-20045 adicionado ao KEV](https://www.cisa.gov/news-events/alerts/2026/01/21/cisa-adds-one-known-exploited-vulnerability-catalog) - 2026-01-21 - [2] [The Hacker News - Cisco Fixes Actively Exploited Zero-Day CVE-2026-20045](https://thehackernews.com/2026/01/cisco-fixes-actively-exploited-zero-day.html) - 2026-01-21 - [3] [CISA - CVE-2024-37079 adicionado ao KEV](https://www.cisa.gov/news-events/alerts/2026/01/23/cisa-adds-one-known-exploited-vulnerability-catalog) - 2026-01-23 - [4] [The Hacker News - CISA Adds Actively Exploited VMware vCenter Flaw](https://thehackernews.com/2026/01/cisa-adds-actively-exploited-vmware.html) - 2026-01-23 - [5] [The Register - Critical VMware vCenter Server bug under attack](https://www.theregister.com/2026/01/23/critical_vmware_vcenter_server_bug/) - 2026-01-23 - [6] [Zscaler ThreatLabz - Operation Neusploit: APT28 Uses CVE-2026-21509](https://www.zscaler.com/blogs/security-research/apt28-leverages-cve-2026-21509-operation-neusploit) - 2026-01 - [7] [Recorded Future - January 2026 CVE Landscape: APT28 Exploits Office Zero-Day](https://www.recordedfuture.com/blog/january-2026-cve-landscape) - 2026-02 - [8] [The Hacker News - WhatsApp Worm Spreads Astaroth Banking Trojan Across Brazil](https://thehackernews.com/2026/01/whatsapp-worm-spreads-astaroth-banking.html) - 2026-01 - [9] [Acronis TRU - Boto Cor-de-Rosa Campaign: Astaroth WhatsApp-Based Worm](https://www.acronis.com/en/tru/posts/boto-cor-de-rosa-campaign-reveals-astaroth-whatsapp-based-worm-activity-in-brazil/) - 2026-01 - [10] [SecurityWeek - Nike Probing Potential Security Incident](https://www.securityweek.com/nike-probing-potential-security-incident-as-hackers-threaten-to-leak-data/) - 2026-01-26 - [11] [Infosecurity Magazine - WorldLeaks Ransomware Group Claims 1.4TB Nike Data Breach](https://www.infosecurity-magazine.com/news/worldleaks-ransomware-14tb-nike/) - 2026-01 - [12] [Tenable - Microsoft January 2026 Patch Tuesday Addresses 113 CVEs](https://www.tenable.com/blog/microsofts-january-2026-patch-tuesday-addresses-113-cves-cve-2026-20805) - 2026-01-14 - [13] [Oracle - Critical Patch Update Advisory January 2026](https://www.oracle.com/security-alerts/cpujan2026.html) - 2026-01 - [14] [SOCRadar - Oracle January 2026 CPU: 337 Security Patches](https://socradar.io/blog/oracle-january-2026-cpu-337-security-patches/) - 2026-01 - [15] [Check Point Research - Global Cyber Attacks Rise in January 2026](https://blog.checkpoint.com/research/global-cyber-attacks-rise-in-january-2026-amid-increasing-ransomware-activity-and-expanding-genai-risks/) - 2026-02 - [16] [Senthorus - Cybersecurity Week in Review: January 20-26, 2026](https://blog.senthorus.ch/posts/27_01_2026/) - 2026-01-27 --- *Próximo: [[2026-w05|W05]] · Anterior: [[2026-w03|W03]] · Arquivo: [[_weekly|Todas as edições]] · [[_feed|Feed CTI]]* --- **Navegação:** [[readme|Hub]] · [[_feed|Feed]] · [[guide-learning|Aprender]] · [[guide-analyst|Analista]] · [[sources|Fontes]] · [[subscribe|Assinar]]