* Botnet Outlaw invade servidores Linux via SSH.
Pesquisadores da Elastic Security Labs revelaram detalhes sobre o botnet Outlaw, também conhecido como Dota, um malware que atinge servidores Linux por meio de ataques de força bruta via SSH para minerar criptomoedas. Ativo desde 2018, o grupo por trás da ameaça — supostamente de origem romena — utiliza técnicas simples, porém eficazes, para invadir sistemas, manter persistência e propagar o malware automaticamente em novos alvos. O Outlaw realiza ataques de força bruta contra servidores SSH mal configurados, adicionando chaves próprias ao arquivo authorized_keys dos sistemas comprometidos. Após o acesso inicial, um script chamado tddwrt7s.sh baixa o arquivo dota3.tar.gz, que contém os binários do minerador e utilitários para eliminar traços de infecções anteriores, remover outros mineradores e garantir exclusividade no uso dos recursos da máquina. O malware usa um módulo de autopropagação, apelidado de BLITZ, que escaneia a internet em busca de outros sistemas vulneráveis com SSH habilitado, ampliando o alcance da botnet. Em versões mais sofisticadas, também foram observadas explorações das falhas CVE-2016-8655 e CVE-2016-5195 (Dirty COW), além de ataques a dispositivos com credenciais Telnet fracas. Além da mineração, o Outlaw instala o SHELLBOT, um trojan que se conecta a canais IRC para permitir controle remoto dos dispositivos, execução de comandos arbitrários, roubo de credenciais, ataques DDoS e download de novos malwares. O malware ainda ativa o uso de “hugepages” para melhorar o desempenho da mineração e utiliza um binário camuflado como kswap01 para manter comunicação com sua infraestrutura.

* Google corrige vulnerabilidade crítica no Cloud Run.
Google lançou uma atualização para o Cloud Run, um serviço gerenciado do Google Cloud Platform que executa aplicações containerizadas, corrigindo uma vulnerabilidade crítica de escalonamento de privilégios que permitia acesso não autorizado a imagens privadas e a possibilidade de injeção de código malicioso. Conhecida como “ImageRunner”, a falha foi detalhada pela pesquisadora Liv Matan, da Tenable, que alertou que, com permissões de atualização de serviços (run.services.update) e de atuação como conta de serviço (iam.serviceAccounts.actAs), um invasor poderia modificar um serviço do Cloud Run e forçar a extração de imagens privadas armazenadas no Google Artifact Registry ou no Google Container Registry. Essa falha ocorria porque determinadas identidades, mesmo sem a permissão para acessar os repositórios de container, possuíam o direito de editar revisões do Cloud Run, possibilitando que um atacante configurasse a implantação de uma nova revisão com qualquer imagem privada do mesmo projeto. Com essa vulnerabilidade, um invasor poderia não apenas acessar dados sensíveis, mas também injetar instruções maliciosas capazes de extrair segredos, exfiltrar informações ou até abrir um shell reverso para controle remoto. Esse cenário ilustra o risco inerente à interconexão dos serviços em nuvem, onde problemas em uma camada podem propagar vulnerabilidades a outras, um fenômeno descrito pela Tenable como “Jenga”. A correção, implementada em 28 de janeiro de 2025, agora exige que o usuário ou a conta de serviço que cria ou atualiza um recurso do Cloud Run possua permissões explícitas para acessar as imagens do container, como a função Artifact Registry Reader, reforçando a importância de políticas de IAM adequadas. Essa atualização faz parte dos esforços contínuos da Google para mitigar vulnerabilidades e proteger os dados dos clientes contra ameaças cada vez mais sofisticadas.

* Palo Alto investiga escaneamento coordenado contra instâncias expostas.
Pesquisadores de Cibersegurança alertaram para uma campanha coordenada de escaneamento de login direcionada a sistemas PAN-OS GlobalProtect, da Palo Alto Networks. Desde 17 de março de 2025, quase 24 mil endereços IP únicos tentaram acessar portais expostos desse serviço, sugerindo uma ação orquestrada de reconhecimento em larga escala. No pico da atividade, registrado no dia 26, cerca de 23.958 IPs participaram da ofensiva. Embora apenas 154 desses endereços tenham sido classificados como maliciosos até o momento, a escala e a consistência da campanha levantam preocupações de que ataques mais direcionados estejam por vir. Os principais países de origem do tráfego incluem Estados Unidos, Canadá, Finlândia, Holanda e Rússia, com foco em alvos localizados nos EUA, Reino Unido, Irlanda, Rússia e Singapura. Em resposta, a Palo Alto Networks declarou que está monitorando o caso e recomendou que todos os clientes atualizem suas versões do PAN-OS para proteger suas instâncias de GlobalProtect expostas à internet. A empresa reforçou que a segurança dos clientes é prioridade e que boas práticas, como manter o software atualizado, são essenciais. A recomendação é que as organizações revisem suas exposições, apliquem os patches de segurança mais recentes e monitorem suas redes para identificar acessos anômalos ou origens suspeitas.