A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) na sexta-feira adicionado cinco falhas de segurança que afetam Apple, Craft CMS e Laravel Livewire em suas vulnerabilidades exploradas conhecidas (KEV), instando as agências federais a corrigi-los até 3 de abril de 2026.
As vulnerabilidades que foram exploradas estão listadas abaixo –
- CVE-2025-31277 (pontuação CVSS: 8,8) – Uma vulnerabilidade no Apple WebKit que pode resultar em corrupção de memória ao processar conteúdo da web criado com códigos maliciosos. (Corrigido em julho de 2025)
- CVE-2025-43510 (Pontuação CVSS: 7,8) – Uma vulnerabilidade de corrupção de memória no componente kernel da Apple que pode permitir que um aplicativo malicioso cause alterações inesperadas na memória compartilhada entre processos. (Corrigido em dezembro de 2025)
- CVE-2025-43520 (Pontuação CVSS: 8,8) – Uma vulnerabilidade de corrupção de memória no componente kernel da Apple que pode permitir que um aplicativo malicioso cause o encerramento inesperado do sistema ou grave a memória do kernel. (Corrigido em dezembro de 2025)
- CVE-2025-32432 (Pontuação CVSS: 10,0) – Uma vulnerabilidade de injeção de código no Craft CMS que pode permitir que um invasor remoto execute código arbitrário. (Corrigido em abril de 2025)
- CVE-2025-54068 (Pontuação CVSS: 9,8) – Uma vulnerabilidade de injeção de código no Laravel Livewire que pode permitir que invasores não autenticados obtenham execução remota de comandos em cenários específicos. (Corrigido em julho de 2025)
A adição das três vulnerabilidades da Apple ao catálogo KEV vem na sequência de relatórios do Google Threat Intelligence Group (GTIG), iVerify e Lookout sobre um kit de exploração iOS codinome DarkSword que aproveita essas deficiências, junto com três bugs, para implantar várias famílias de malware como GHOSTBLADE, GHOSTKNIFE e GHOSTSABER para roubo de dados.
CVE-2025-32432 é avaliado como tendo sido explorado como dia zero por atores de ameaças desconhecidos desde fevereiro de 2025, de acordo com Orange Cyberdefense SensePost. Desde então, um conjunto de intrusões rastreado como Mimo (também conhecido como Hezb) também foi observado explorando a vulnerabilidade para implantar um minerador de criptomoedas e um proxyware residencial.
Completando a lista está o CVE-2025-54068, cuja exploração foi recentemente sinalizada pela equipe Ctrl-Alt-Intel Threat Research como parte de ataques montados pelo grupo de hackers patrocinado pelo Estado iraniano, MuddyWater (também conhecido como Boggy Serpens).
Num relatório publicado no início desta semana, a Unidade 42 da Palo Alto Networks destacou o ataque consistente do adversário a infra-estruturas diplomáticas e críticas, incluindo energia, marítima e financeira, em todo o Médio Oriente e outros alvos estratégicos em todo o mundo.
“Embora a engenharia social continue a ser a sua característica definidora, o grupo também está a aumentar as suas capacidades tecnológicas”, Unidade 42 disse. “Seu conjunto diversificado de ferramentas inclui implantes de malware aprimorados por IA que incorporam técnicas anti-análise para persistência a longo prazo. Esta combinação de engenharia social e ferramentas rapidamente desenvolvidas cria um perfil de ameaça potente”.
“Para apoiar suas campanhas de engenharia social em larga escala, a Boggy Serpens usa uma plataforma de orquestração personalizada baseada na web”, disse a Unidade 42. “Essa ferramenta permite que as operadoras automatizem a entrega de e-mails em massa, mantendo ao mesmo tempo um controle granular sobre as identidades dos remetentes e as listas de alvos.”
Atribuído ao Ministério de Inteligência e Segurança iraniano (MOIS), o grupo concentra-se principalmente na espionagem cibernética, embora também tenha sido vinculado a operações disruptivas visando o Instituto de Tecnologia Technion Israel, adotando a persona do ransomware DarkBit.
Uma das marcas que definem o trabalho da MuddyWater tem sido a utilização de contas sequestradas pertencentes a entidades governamentais e empresariais oficiais nos seus ataques de spear-phishing e o abuso de relações de confiança para escapar a sistemas de bloqueio baseados na reputação e distribuir malware.
Numa campanha sustentada visando uma empresa naval e de energia nacional não identificada nos Emirados Árabes Unidos entre 16 de agosto de 2025 e 11 de fevereiro de 2026, o ator da ameaça teria conduzido quatro ondas distintas de ataque, levando à implantação de várias famílias de malware, incluindo GhostBackDoor e Nuso (também conhecido como HTTP_VIP). Algumas das outras ferramentas notáveis no arsenal do ator de ameaça incluem UDPGangster e LampoRAT (também conhecido como CHAR).
“A atividade recente de Boggy Serpens exemplifica um perfil de ameaça maduro, à medida que o grupo integra suas metodologias estabelecidas com mecanismos refinados para persistência operacional”, disse a Unidade 42. “Ao diversificar seu pipeline de desenvolvimento para incluir linguagens de codificação modernas como Rust e fluxos de trabalho assistidos por IA, o grupo cria trilhas paralelas que garantem a redundância necessária para sustentar um ritmo operacional elevado.”
Deseja saber mais sobre Segurança Clique Aqui!
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.