Segurança

Latest News + Date | Sec.

Luxemburgo enfrenta quatro horas de interrupção em serviços críticos após ataque cibernético quarta, 20 agosto 2025 11:59

Um ataque cibernético sofisticado deixou Luxemburgo sem serviços postais e afetou infraestrutura crítica por cerca de quatro horas, segundo...
Grupo Kimsuky realiza espionagem cibernética em embaixadas na Coreia do Sul com XenoRAT quarta, 20 agosto 2025 11:38

Pesquisadores da Trellix identificaram uma operação de espionagem cibernética conduzida pelo grupo Kimsuky (APT43), ligado à Coreia do Norte, que...
A Nova Geração de Ransomware via Navegador e SaaS sexta, 09 maio 2025 10:02

Tradicionalmente, o ransomware exigia a infecção direta do sistema de arquivos de um computador — seja via phishing, malwares embutidos em...
A Ascensão da IA no Cibercrime - Como a Inteligência Artificial Está Transformando Ataques e Defesa na Segurança Digital quinta, 06 fevereiro 2025 10:59

Em 2024, observou-se um aumento significativo nos ataques de phishing e malware, com os cibercriminosos empregando técnicas cada vez mais...
O Papel da Inteligência Artificial na Mitigação de Riscos de Segurança da Informação sexta, 20 dezembro 2024 10:07

Introdução - A crescente digitalização e interconexão dos sistemas trouxe avanços significativos, mas também um aumento proporcional das ameaças...
Security Operations Centers (SOC) Desempenham um Papel Crucial na Defesa Das Organizações Contra Ameaças Cibernéticas quinta, 17 outubro 2024 12:27

Os Security Operations Centers (SOC) desempenham um papel crucial na defesa das organizações contra ameaças cibernéticas. Para executar suas...
Ransomware à Porta: Vale a Pena Pagar? O Impacto de Cada Escolha quinta, 03 outubro 2024 10:16

Negociar com cibercriminosos não é recomendado por uma série de razões, tanto práticas quanto éticas. Primeiro, ao pagar ou negociar com criminosos,...
Processo de Patching seus Desafios e Impactos quinta, 15 agosto 2024 11:07

No cenário atual de segurança da informação, o processo de patching tornou-se uma prática essencial para garantir a proteção e o bom funcionamento...
Resiliência em Cibersegurança quarta, 07 agosto 2024 09:01

Em um mundo cada vez mais digitalizado, onde dados e sistemas críticos são vitais para o funcionamento das empresas, a cibersegurança tornou-se uma...
A norma NIS 2 de cyber da UE o impacto para as empresas brasileiras terça, 14 maio 2024 09:49

A Diretiva sobre Segurança das Redes e dos Sistemas de Informação 2 (Network and Information Systems 2 - NIS 2) é parte da estratégia da União...
Aplicação de Pentest e Soluções que Podem Auxiliar em Cada Fase quinta, 25 abril 2024 14:11

PENTEST é a abreviação de Teste de Penetração (em inglês, Penetration Test), que é uma prática de segurança cibernética na qual uma equipe de...
A Necessidade de conscientização sobre os riscos cibernéticos nos conselhos de administração. terça, 02 abril 2024 11:44

A cibersegurança emergiu como um dos maiores desafios enfrentados pelas organizações em um mundo cada vez mais digitalizado. Com ameaças...
Processos de SIEM, a su Importância no uso de IA na Detecção de Ransomware quinta, 22 fevereiro 2024 11:09

Várias tecnologias de gerenciamento de eventos e informações de segurança (SIEM) usam inteligência artificial (IA) para detectar ransomware. Em...
DeepFake e Ransomware, um Casamento Perfeito?, terça, 06 fevereiro 2024 11:17

Os avanços na tecnologia nos últimos anos abriram muitas oportunidades, desde a melhoria da comunicação até a transformação das indústrias...
Playbook para Ransomware segunda, 29 janeiro 2024 09:51

Um playbook (manual) de ransomware é um conjunto de procedimentos que uma organização pode seguir ao responder a uma infecção de ransomware suspeita...

Segurança da Informação

Grupo Kimsuky realiza espionagem cibernética em embaixadas na Coreia do Sul com XenoRAT

Angelo Maurin Cortes Segurança da Informação 20 agosto 2025

Pesquisadores da Trellix identificaram uma operação de espionagem cibernética conduzida pelo grupo Kimsuky (APT43), ligado à Coreia do Norte, que desde março tem mirado ao menos 19 embaixadas e ministérios de Relações Exteriores na Coreia do Sul.

A análise sugere possíveis conexões com a China, já que as atividades seguiam o horário de trabalho chinês e eram interrompidas durante feriados nacionais do país, mas não durante datas relevantes na Coreia do Norte ou do Sul. Isso levanta a hipótese de que os operadores atuem a partir do território chinês ou utilizem contratados locais.

Os atacantes se passaram por diplomatas e funcionários, enviando e-mails com anexos disfarçados de PDFs dentro de arquivos ZIP protegidos por senha. Ao abrir os arquivos, os sistemas eram infectados com o trojan de acesso remoto XenoRAT, de código aberto, capaz de controlar totalmente os dispositivos, capturar teclas, e acessar câmera e microfone.

Entre os e-mails falsos, havia convites para eventos do Dia da Independência dos EUA e comunicações simulando diplomatas europeus ou fóruns internacionais. Os documentos de isca estavam em diversos idiomas, como coreano, inglês, persa, árabe, francês e russo. O XenoRAT exfiltrava dados usando GitHub, Dropbox, Google Drive e serviços locais como o Daum.

Ativo desde 2012, o Kimsuky possui histórico de ataques a governos, centros de pesquisa, acadêmicos e meios de comunicação na Ásia, Europa, Rússia, Japão e Estados Unidos. Em 2023, o grupo foi alvo de sanções internacionais por coletar inteligência para apoiar a política externa de Pyongyang e ações de evasão de sanções. As descobertas reforçam que, embora a operação seja atribuída à Coreia do Norte, parte de sua infraestrutura pode estar vinculada à China.

O que o Brasil aprende com isto

O caso reforça a importância da segurança cibernética em instituições estratégicas. O Brasil, com presença diplomática crescente e setores críticos digitalizados, precisa investir em treinamento de pessoal, políticas de proteção de dados e monitoramento constante de ameaças internacionais. Simulações de ataques, protocolos de autenticação rigorosos e conscientização sobre phishing podem reduzir riscos de espionagem e vazamento de informações sensíveis, protegendo tanto a soberania nacional quanto a credibilidade do país em relações internacionais.

Ref: Hunt.io – XenoRAT Malware: Features and Mitigation Strategies - A análise aborda como o XenoRAT foi distribuído via arquivos Excel XLL e protegido com ConfuserEx, além de discutir estratégias de mitigação. Hunt

The Hacker News – Open-Source Xeno RAT Trojan Emerges as a Potent Threat on GitHub - Este artigo discute a disponibilidade do XenoRAT no GitHub e suas funcionalidades, como hVNC e proxy reverso SOCKS5. The Hacker News

Ações Mitigadoras

Treinamento e conscientização - Educar colaboradores para identificar e evitar e-mails de phishing, anexos suspeitos e links maliciosos. Alertar sobre mensagens que simulam diplomatas, convites ou documentos oficiais.

Controle de e-mails e anexos - Bloquear anexos suspeitos, como ZIPs protegidos por senha ou PDFs incomuns. Implementar filtragem avançada de e-mails para detectar arquivos maliciosos e links de phishing.

Atualização e patches - Manter sistemas operacionais, softwares e antivírus sempre atualizados e corrigir vulnerabilidades conhecidas que podem ser exploradas por RATs.

Antivírus e soluções EDR - Utilizar antivírus confiável com detecção de comportamento suspeito e Implementar soluções de EDR (Endpoint Detection and Response) para monitoramento contínuo de atividades anômalas.

Segmentação de rede - Isolar sistemas críticos em redes separadas e restringir privilégios de usuário, evitando que contas comuns tenham acesso irrestrito a dados sensíveis.

Monitoramento e análise de tráfego - Monitorar tráfego de rede em busca de comunicações suspeitas com servidores externos (GitHub, Dropbox, Google Drive, Daum). Implementar alertas para conexões não autorizadas ou anômalas.

Backup e recuperação - Manter backups regulares de arquivos e sistemas críticos, testar planos de recuperação para restaurar dados caso o malware se infiltre.

Desativar serviços desnecessários - Evitar que serviços de compartilhamento de arquivos ou acesso remoto estejam expostos sem necessidade e configurar firewall e políticas de acesso restrito.