2026-w11 - RunkIntel

# CTI Weekly - 2026-W11 > Período: 2026-03-09 a 2026-03-15 · Edição retroativa · Gerado em 2026-03-23 > Fontes primárias: CrowdStrike, Krebs on Security, Tenable, CyberInfos, Huntress, SentinelOne, CISA, Blackfog, TheHackerNews, Check Point Research, Malwarebytes, ZenoX. --- ## Sumário Executivo A semana W11/2026 foi a mais intensa do trimestre, com uma convergência de eventos críticos em múltiplas frentes. O **Patch Tuesday da Microsoft** corrigiu **83 CVEs** (8 críticos, 2 zero-days divulgados), enquanto a **Cisco** publicou correções para **48 vulnerabilidades** incluindo duas de CVSS 10.0 - o [[cve-2026-20131|CVE-2026-20131]] (FMC) e o [[cve-2026-20127|CVE-2026-20127]] (SD-WAN). O **Google** lançou patches de emergência para duas falhas no Chrome ([[cve-2026-3909|CVE-2026-3909]] e [[cve-2026-3910|CVE-2026-3910]]) com exploração ativa confirmada. O grupo iraniano **Handala** (vinculado ao [[void-manticore|Void Manticore]]/Storm-0842) executou um ataque destrutivo contra a **Stryker Corporation**, **apagando 200.000+ dispositivos** em 79 países e exfiltrando 50 TB de dados - usando credenciais roubadas do Microsoft Intune sem deployment de malware. O [[Interlock Ransomware]] continuou explorando o [[cve-2026-20131|CVE-2026-20131]] como zero-day (desde janeiro), com o backdoor **Slopoly** (gerado por IA, per IBM X-Force). O **ShinyHunters** confirmou breach da **TELUS Digital** com ~1 PB de dados e demanda de **$65 milhões**. A **Operação Synergia III da INTERPOL** resultou em 94 prisões em 72 países e 45.000 IPs maliciosos sinkholed. O **LeakBase** (142K usuários) foi desmantelado em operação internacional. Para o Brasil, o destaque é o surgimento do **[[venon-banking-campaign-2026]]** - trojan bancário em Rust que visa **33 bancos e plataformas financeiras brasileiras** (incluindo Itaú), com 9 técnicas de evasão e herança dos trojans Grandoreiro/Mekotio. Adicionalmente, **51 instâncias FreePBX** no Brasil foram comprometidas via [[cve-2025-64328|CVE-2025-64328]]. O Brasil foi identificado como **alvo primário de DDoS na América Latina** pelo relatório NETSCOUT. **Nível de ameaça geral para LATAM esta semana:** 🟥 Alto --- ## Vulnerabilidades Críticas da Semana | CVE | CVSS | Produto | Exploração | CISA KEV | Ação | |-----|------|---------|------------|----------|------| | [[cve-2026-20131\|CVE-2026-20131]] | **10.0** | Cisco FMC | Zero-day ativa (Interlock, desde ján) | ✅ | **Patch imediato** | | [[cve-2026-20127\|CVE-2026-20127]] | **10.0** | Cisco SD-WAN | Zero-day ativa (desde 2023) | ✅ | **Patch imediato** | | [[cve-2026-3909\|CVE-2026-3909]] | Alto | Google Chrome (Skia) | Ativa (OOB write) | ✅ 13/03 | **Atualizar Chrome** | | [[cve-2026-3910\|CVE-2026-3910]] | Alto | Google Chrome (V8) | Ativa (RCE) | ✅ 13/03 | **Atualizar Chrome** | | [[cve-2026-21536\|CVE-2026-21536]] | 9.8 | MS Devices Pricing Program | Divulgada (PoC no GitHub) | ❌ | Auto-remediado (cloud) | | [[cve-2026-26113\|CVE-2026-26113]] | 8.4 | Microsoft Office | Divulgada (Preview Pane RCE) | ❌ | **Patch urgente** | | [[cve-2026-26110\|CVE-2026-26110]] | 8.4 | Microsoft Office/SharePoint | Divulgada (RCE) | ❌ | **Patch urgente** | | [[cve-2026-21262\|CVE-2026-21262]] | 8.8 | Microsoft SQL Server | Zero-day divulgado (EoP) | ❌ | Patch planejado | | [[cve-2026-26127\|CVE-2026-26127]] | 7.5 | .NET Framework | Zero-day divulgado (DoS) | ❌ | Patch planejado | ### CVE em Destaque: [[cve-2026-20131|CVE-2026-20131]] - Cisco FMC Desserialização RCE (CVSS 10.0) O [[cve-2026-20131|CVE-2026-20131]] é uma vulnerabilidade de desserialização insegura (CWE-502) no Cisco Secure Firewall Management Center (FMC) com CVSS 10.0. A falha permite execução de código arbitrário como **root** via objetos Java serializados em requisições HTTP - sem autenticação. O [[Interlock Ransomware]] explorou esta vulnerabilidade como **zero-day desde 26 de janeiro** - 43 dias antes da divulgação pública. A cadeia de ataque observada: 1. Requisição HTTP maliciosa com Java serializado → RCE como root 2. Callback outbound para C2 3. Download de binário ELF e implantação de RAT + web shells 4. PowerShell recon e movimentação lateral 5. Exfiltração via C2 → deploy de ransomware (dupla extorsão) O grupo opera em timezone **UTC+3** e utiliza o backdoor **Slopoly** - parcialmente gerado por IA generativa (IBM X-Force). > [!danger] Ação Recomendada > Patch Cisco FMC imediatamente. Auditar logs de acesso HTTP ao FMC desde janeiro 2026. Monitorar callbacks outbound e execução de binários ELF. Restringir acesso à interface de gerenciamento. --- ## Patch Tuesday - Microsoft (11 de março) **83 CVEs** corrigidos: 8 críticos, 75 importantes, 2 zero-days divulgados. Breakdown: 46 EoP (55.4%), 18 RCE (20.5%), 11 Information Disclosure. CVEs marcados como **"Exploitation More Likely"** pela Microsoft: - [[cve-2026-23668|CVE-2026-23668]] (Graphics EoP, 7.8) - [[cve-2026-24289|CVE-2026-24289]] / [[cve-2026-26132|CVE-2026-26132]] (Kernel EoP, 7.8) - [[cve-2026-24291|CVE-2026-24291]] (Accessibility EoP, 7.8) - [[cve-2026-24294|CVE-2026-24294]] (SMB EoP, 7.8) - [[cve-2026-25187|CVE-2026-25187]] (Winlogon EoP, 7.8 - descoberto pelo Google Project Zero) > [!warning] Preview Pane Attacks > CVE-2026-26113 (type confusion) e CVE-2026-26110 (untrusted pointer) no Microsoft Office permitem **RCE via Preview Pane** - sem necessidade de abrir o documento. Priorizar patch em ambientes com Outlook. --- ## Campanhas e Threat Actors ### Handala / [[void-manticore|Void Manticore]] (Storm-0842) - Ataque Destrutivo à Stryker O grupo iraniano **Handala**, vinculado ao [[void-manticore|Void Manticore]] (Storm-0842, MOIS), executou um dos ataques mais destrutivos do ano: - **Alvo:** Stryker Corporation (tecnologia médica, 50K+ funcionários) - **Impacto:** **200.000+ dispositivos apagados** em 79 países; 50 TB de dados exfiltrados - **Vetor:** Credenciais roubadas do Microsoft Intune (originadas de infostealers) - **Método:** Usaram o próprio Intune para comandar wipes remotos - **sem malware deployed** - **TTPs:** [[t1078-valid-accounts|T1078]] (Valid Accounts), [[t1021-remote-services|T1021]] (Remote Services via Intune), [[t1485-data-destruction|T1485]] (Data Destruction) A CISA emitiu orientação de hardening para sistemas de gerenciamento de endpoints após o incidente. ### [[Interlock Ransomware]] - Cisco FMC Zero-Day Exploração contínua do [[cve-2026-20131|CVE-2026-20131]] com o backdoor **Slopoly** (PowerShell, gerado por IA): - [[t1190-exploit-public-facing-application|T1190]] - Exploit Public-Facing App (Cisco FMC) - [[t1059-001-powershell|T1059.001]] - PowerShell execution - [[t1053-scheduled-task-job|T1053]] - Scheduled Tasks (persistência) - [[t1041-exfiltration-c2|T1041]] - Exfiltration over C2 ### ShinyHunters - TELUS Digital ($65M Extorsion) - **Alvo:** TELUS Digital (BPO para banking/healthcare) - **Vetor:** Credenciais GCP roubadas do breach Salesloft/Drift 2025; pivoted com TruffleHog - **Dados:** ~1 petabyte - PII, background checks FBI, gravações de chamadas, código-fonte de ~24 clientes - **Demanda:** $65 milhões (extorsão pura, sem criptografia) ### Storm-2561 - SEO Poisoning VPN Campanha de SEO poisoning redirecionando buscas por VPN (SonicWall/Pulse Secure) para ZIPs trojanizados - [[t1189-drive-by-compromise|T1189]] (Drive-by Compromise) + [[t1608-stage-capabilities|T1608]] (Stage Capabilities). ### GlassWorm - Supply Chain VS Code **72+ extensões maliciosas** públicadas no registro Open VSX, imitando ferramentas populares de desenvolvimento - [[t1195-001-compromise-software-dependencies|T1195.001]] (Supply Chain Compromise). ### Operação Synergia III - INTERPOL - **94 prisões** em 72 países - **45.000 IPs maliciosos** sinkholed - **212 dispositivos** apreendidos - **LeakBase** desmantelado (142K usuários) --- ## LATAM / Brasil > [!danger] Brasil: VENON Banking Trojan e FreePBX Comprometidos ### [[venon-banking-campaign-2026]] - Novo Trojan Bancário em Rust (Brasil) O **VENON** é um novo trojan bancário escrito em **Rust**, detectado pela ZenoX em janeiro 2026 e publicado em março: | Característica | Detalhe | |----------------|---------| | **Alvos** | 33 bancos e plataformas financeiras brasileiras (incluindo Itaú) | | **Linguagem** | Rust (reescrita de trojans Delphi: [[s0531-grandoreiro\|Grandoreiro]], Mekotio, Coyote) | | **Developer** | "byst4" (username vazado em paths de desenvolvimento) | | **Infecção** | ClickFix, YouTube game driver lures → PowerShell → DLL side-loading | | **Evasão** | 9 técnicas: anti-sandbox, indirect syscalls, ETW/AMSI bypass | | **Persistência** | Scheduled tasks, Run keys, LNK shortcut hijacking (substitui atalhos do Itaú) | | **C2** | Google Cloud Storage → WebSocket C2 | | **Payload** | Monitoramento de jánelas → overlay attacks para roubo de credenciais | O VENON representa evolução significativa: a migração de Delphi para Rust, assistida por IA, torna o malware mais difícil de detectar e reverter. ### FreePBX Comprometidos no Brasil - **900+ instâncias Sangoma FreePBX** infectadas globalmente via [[cve-2025-64328|CVE-2025-64328]] - **51 instâncias no Brasil** confirmadas - Atacante: grupo **INJ3CTOR3** deployando webshells EncystPHP - Impacto: acesso a sistemas VoIP corporativos ### Brasil como Alvo Primário de DDoS O relatório **NETSCOUT** (6 de março) identificou o Brasil como o **alvo primário de DDoS na América Latina**, com ataques de reflexão HTTPS contra provedores de internet. ### Outros Destaques Regionais - **[[s0531-grandoreiro|Grandoreiro]]** mantém campanha global (1.500+ bancos, 60+ países, incluindo Brasil) - **GoPix** ativo - trojan brasileiro visando PIX, Boletos e cripto via malvertising no Google Ads - **PwC** (18/03): ataques a dispositivos IoT são a principal preocupação de cibersegurança de empresas brasileiras --- ## TTPs em Destaque ### [[T1078 - Valid Accounts|T1078]] - Contas Válidas (Handala/Stryker) O ataque à Stryker demonstra que **credenciais legítimas são armas**: o grupo iraniano usou credenciais do Microsoft Intune (roubadas via infostealers) para apagar 200K dispositivos - sem malware, sem exploit, apenas ferramentas de gerenciamento legítimas. **Detecção:** - Monitorar logins em plataformas MDM/Intune de IPs/geos incomuns - Alertar sobre comandos de wipe em massa - Implementar MFA obrigatório para administradores de endpoint management - Segmentar e auditar permissões de Intune/MDM - Monitorar dark web e paste sites para credenciais corporativas vazadas --- ## Recomendações 1. ⏫ **Patch Cisco FMC e SD-WAN** - dois CVSS 10.0 com exploração ativa (CVE-2026-20131, CVE-2026-20127) 2. ⏫ **Atualizar Google Chrome** - CVE-2026-3909 e CVE-2026-3910 com exploração ativa (CISA KEV) 3. ⏫ **Patch Microsoft Office** - CVE-2026-26113 e CVE-2026-26110 (Preview Pane RCE) 4. ⏫ **Hardening Intune/MDM** - após Stryker: MFA admin, alertas de wipe, geo-fencing 5. 🔼 **Brasil: monitorar VENON** - trojan Rust contra 33 bancos brasileiros; overlay attacks 6. 🔼 **Auditar FreePBX** - 51 instâncias comprometidas no Brasil via CVE-2025-64328 7. 🔼 **VS Code: verificar extensões** - GlassWorm com 72+ extensões maliciosas no Open VSX 8. 🔽 **Monitorar GoPix** - malvertising via Google Ads visando PIX e Boletos --- ## Referências 1. CrowdStrike - [Patch Tuesday March 2026 Analysis](https://www.crowdstrike.com/en-us/blog/patch-tuesday-analysis-march-2026/) 2. Krebs on Security - [Microsoft Patch Tuesday March 2026](https://krebsonsecurity.com/2026/03/microsoft-patch-tuesday-march-2026-edition/) 3. Tenable - [March 2026 Patch Tuesday: 83 CVEs](https://www.tenable.com/blog/microsofts-march-2026-patch-tuesday-addresses-83-cves-CVE-2026-21262-CVE-2026-26127) 4. CyberInfos - [Weekly Report March 9-15 2026](https://www.cyberinfos.in/cybersecurity-weekly-report-march-9-15-2026/) 5. TheHackerNews - [Rust-Based VENON Malware Targets 33 Brazilian Banks](https://thehackernews.com/2026/03/rust-based-venon-malware-targets-33.html) 6. Huntress - [CVE-2025-26399 SolarWinds Web Help Desk](https://www.huntress.com/blog/active-exploitation-solarwinds-web-help-desk-CVE-2025-26399) 7. BleepingComputer - [TELUS Digital Confirms Breach](https://bleepingcomputer.com/news/security/telus-digital-confirms-breach/) 8. SecurityAffairs - [Interlock Ransomware / Cisco FMC](https://securityaffairs.com) 9. Malwarebytes - [A Week in Security March 9-15](https://malwarebytes.com/blog/bugs/2026/03/a-week-in-security-march-9-march-15) 10. Check Point Research - [Threat Intelligence News March 9-15](https://research.checkpoint.com) 11. CommonwealthSentinel - [Top 5 Cyber Security Stories March 9-15 2026](https://commonwealthsentinel.com) 12. NETSCOUT - Brazil DDoS Report (March 6, 2026) 13. ZenoX - VENON Banking Trojan Analysis (Jánuary 2026, published March 13) --- --- *Próximo: [[2026-w12|W12]] · Anterior: [[2026-w10|W10]] · Arquivo: [[_weekly|Todas as edições]] · [[_feed|Feed CTI]]*