2026-w10 - RunkIntel

# CTI Weekly - 2026-W10 > Período: 2026-03-02 a 2026-03-08 · Edição retroativa · Gerado em 2026-03-23 > Fontes primárias: CISA, NCSC UK, Akamai, Security Affairs, DarkWebInformer, Red Piranha, ANY.RUN, CrowdStrike, Broadcom. --- ## Sumário Executivo A semana W10/2026 marcou uma escalada significativa em operações de APTs e vulnerabilidades ativamente exploradas. A CISA adicionou ao catálogo KEV o [[cve-2026-22719|CVE-2026-22719]] (VMware Aria Operations, command injection, CVSS 8.1) e o [[cve-2026-1603|CVE-2026-1603]] (Ivanti EPM, authentication bypass, CVSS 8.6), ambas com exploração ativa confirmada. O [[g0007-apt28|APT28]] (Fancy Bear) foi identificado explorando o zero-day [[cve-2026-21513|CVE-2026-21513]] no MSHTML Framework, patcheado na semana anterior, antes da atualização. No domínio de supply chain, atores norte-coreanos vinculados ao [[g0032-lazarus-group|Lazarus Group]] publicaram **26 pacotes npm maliciosos** visando desenvolvedores globalmente, enquanto desenvolviam novo toolset para sistemas air-gapped. O [[g0129-mustang-panda|Mustang Panda]] (China) expandiu seu arsenal de malware com o **SplatCloak**, operando em 37 países. O NCSC UK emitiu alerta sobre operações cibernéticas iranianas em ascensão contra infraestrutura crítica. Novas famílias de malware identificadas: **Zollo** (variante MedusaLocker) e **Raton RAT**, ambas com técnicas avançadas de evasão. A semana também viu preparativos para o Patch Tuesday de março com previsão de 83+ CVEs, incluindo CVSS 10.0 no Cisco Secure FMC. Para o Brasil e LATAM, o trojan bancário **Astaroth** manteve distribuição via WhatsApp contra o setor financeiro brasileiro. A região enfrenta 2x mais ciberataques que os EUA em 2026, com aumento de 78% em ransomware ano a ano. **Nível de ameaça geral para LATAM esta semana:** 🟧 Alto-Médio --- ## Vulnerabilidades Críticas da Semana | CVE | CVSS | Produto | Exploração | CISA KEV | Ação | |-----|------|---------|------------|----------|------| | [[cve-2026-22719\|CVE-2026-22719]] | 8.1 | VMware Aria Operations | Ativa (command injection) | ✅ ~04/03 | **Patch 8.18.6 imediato** | | [[cve-2026-1603\|CVE-2026-1603]] | 8.6 | Ivanti EPM | Ativa (auth bypass via XSS) | ✅ ~04/03 | **Patch EPM 2024 SU5** | | [[cve-2026-21513\|CVE-2026-21513]] | 8.8 | Microsoft MSHTML | Zero-day explorado por APT28 | ✅ (fev) | **Patch já disponível** | | [[cve-2025-26399\|CVE-2025-26399]] | 9.8 | SolarWinds Web Help Desk | Ativa (carry-over) | ✅ | Patch imediato | ### CVE em Destaque: [[cve-2026-22719|CVE-2026-22719]] - VMware Aria Operations Command Injection O [[cve-2026-22719|CVE-2026-22719]] é uma vulnerabilidade de **command injection** no VMware Aria Operations (anteriormente vRealize Operations) que permite execução remota de código sem autenticação durante migrações assistidas por suporte. A Broadcom lançou o patch na versão **8.18.6**. A exploração ativa foi confirmada por múltiplas fontes, com a CISA estabelecendo prazo federal de remediação até 23 de março. Organizações com VMware Aria Operations devem verificar se a interface de gerenciamento está exposta à internet. > [!danger] Ação Recomendada > Aplicar VMware Aria Operations 8.18.6 imediatamente. Restringir acesso à interface de gerenciamento via firewall/VPN. Auditar logs de acesso para indicadores de command injection. --- ## Campanhas e Threat Actors ### [[g0007-apt28|APT28]] (Fancy Bear) - MSHTML Zero-Day O [[g0007-apt28|APT28]] explorou o [[cve-2026-21513|CVE-2026-21513]] (MSHTML Framework Security Feature Bypass, CVSS 8.8) **antes do patch da Microsoft** publicado em fevereiro. A exploração utiliza arquivos HTML/.lnk maliciosos para bypass de segurança. TTPs observados: - [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution|T1203]] - Exploração do MSHTML via arquivo HTML - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment|T1566.001]] - Entrega via anexos em spearphishing - [[t1071-001-web-protocols|T1071.001 - Web Protocols|T1071.001]] - C2 via cloud infrastructure ### [[g0032-lazarus-group|Lazarus Group]] - Supply Chain npm + Air-Gap Toolset Duas operações paralelas de atores norte-coreanos: **1. Supply Chain npm:** - **26 pacotes npm maliciosos** publicados no registro público - Alvo: desenvolvedores de software globalmente - Técnica: [[t1195-002-supply-chain-compromise|T1195.002]] **2. Toolset para Air-Gapped Systems:** - Novo implant, loader e ferramenta de propagação via arquivos `.lnk` - Alvo: redes governamentais/militares air-gapped - Representa evolução significativa das capacidades norte-coreanas ### [[g0129-mustang-panda|Mustang Panda]] (China) - Arsenal Expandido O [[g0129-mustang-panda|Mustang Panda]] expandiu operações para **37 países** com novo malware: - **SplatCloak** - ferramenta de evasão (novo) - **PlugX**, **Poison Ivy**, **ToneShell**, **StarProxy**, **Claimloader** - arsenal existente - Alvos: governos e infraestrutura crítica ### NCSC UK - Alerta sobre Operações Iranianas O National Cyber Security Centre do Reino Unido emitiu alerta sobre **escalada de operações cibernéticas iranianas**: - Espionagem contra infraestrutura crítica - Ataques DDoS crescentes - Probing de redes governamentais e organizações do Oriente Médio --- ## Malware Emergente | Malware | Tipo | Detalhes | |---------|------|----------| | **Zollo** | Ransomware (MedusaLocker variant) | Extensão `.zollo6`. Multi-stage: privilege escalation, rootkits, process injection, keylogging, sandbox evasion | | **Raton RAT** | Remote Access Trojan | Exfiltração via WMI queries, modificação de registro, ofuscação, reflective code loading | | **SplatCloak** | Evasion tool | Novo no arsenal [[g0129-mustang-panda\|Mustang Panda]], complementa PlugX e ToneShell | | **26 npm packages** | Supply chain malware | Publicados por atores norte-coreanos | --- ## LATAM / Brasil > [!danger] Panorama Regional ### Astaroth Banking Trojan - Brasil O trojan bancário **Astaroth** (Guildma) manteve distribuição ativa via **WhatsApp** contra o setor financeiro brasileiro. A campanha, iniciada em janeiro 2026, usa mensagens de engenharia social com links para download de executáveis mascarados como documentos bancários. ### Região sob Pressão - O Brasil permanece como o **#1 alvo de ransomware na LATAM**: 30% das vítimas regionais - **35% da atividade de access brokers** na região tem como alvo organizações brasileiras - **DDoS contra ISPs brasileiros**: ataques de reflexão HTTPS contra provedores menores - atribuídos à competição inter-ISP - **[[g0143-aquatic-panda|Aquatic Panda]]** (China) confirmado com operações no Brasil e Peru - A região enfrenta **2x mais ciberataques** que os EUA em 2026 ### Setores Críticos 1. **Financeiro** - Astaroth e fraude PIX persistem 2. **Governo** - APTs chineses (Aquatic Panda, Mustang Panda) operando na região 3. **Telecom** - DDoS e ataques de infraestrutura 4. **Saúde** - ransomware em ascensão (carry-over de fevereiro) --- ## TTPs em Destaque ### [[t1195-002-supply-chain-compromise|T1195.002 - Supply Chain Compromise: Compromise Software Supply Chain|T1195.002]] - Supply Chain via npm A públicação de 26 pacotes npm maliciosos por atores norte-coreanos reforça que **supply chain attacks** continuam sendo um vetor primário de comprometimento em 2026. **Detecção:** - Implementar `npm audit` e `npx lockfile-lint` nos pipelines CI/CD - Monitorar mudanças inesperadas em `package-lock.json` - Usar registries npm privados com scanning (Snyk, Socket, etc.) - Alertar sobre scripts `postinstall` que executam binários ou fazem requisições de rede --- ## Recomendações 1. ⏫ **Patch VMware Aria Operations** - CVE-2026-22719 com exploração ativa (CISA KEV, deadline 23/03) 2. ⏫ **Patch Ivanti EPM** - CVE-2026-1603 permite bypass de autenticação (CISA KEV) 3. ⏫ **Auditar pacotes npm** - 26 pacotes maliciosos publicados por APT norte-coreano 4. 🔼 **Monitorar Astaroth** - trojan bancário ativo no Brasil via WhatsApp 5. 🔼 **Preparar para Patch Tuesday** - Microsoft (83+ CVEs) e Cisco (CVSS 10.0) em 10/03 6. 🔼 **Alertar sobre operações iranianas** - NCSC UK confirma escalada 7. 🔽 **Revisar controles de air-gap** - toolset norte-coreano visa redes isoladas via .lnk --- ## Referências 1. CISA - [Known Exploited Vulnerabilities Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) 2. The Hacker News - [CISA Adds VMware Aria Operations CVE-2026-22719](https://thehackernews.com/2026/03/cisa-adds-actively-exploited-vmware.html) 3. Akamai / Security Affairs - APT28 MSHTML Zero-Day Exploitation (March 2, 2026) 4. Red Piranha - [Threat Intelligence Report Ján 27 - Feb 2, 2026](https://redpiranha.net/news/threat-intelligence-report-january-27-february-2-2026) 5. CrowdStrike - [Patch Tuesday March 2026 Analysis](https://www.crowdstrike.com/en-us/blog/patch-tuesday-analysis-march-2026/) 6. NCSC UK - Iranian Cyber Threat Advisory (March 2, 2026) 7. CM-Alliance - [February 2026 Cyber Attacks](https://www.cm-alliance.com/cybersecurity-blog/february-2026-recent-cyber-attacks-data-breaches-ransomware-attacks) 8. DarkWebInformer - Ransomware Attack Update (March 2, 2026) --- --- *Próximo: [[2026-w11|W11]] · Anterior: [[2026-w09|W09]] · Arquivo: [[_weekly|Todas as edições]] · [[_feed|Feed CTI]]*