O grupo de ciberespionagem conhecido como Tufão Volt foi identificado explorando uma falha de segurança recém-revelada no Versa Director. A falha CVE-2024-39717, com uma pontuação CVSS de 6,6, possibilita o envio de arquivos mal-intencionados por usuários com autorização admin no sistema. A Versa identificou que as empresas afetadas não haviam seguido as recomendações de reforço de 2015 e 2017.
Os ataques começaram em 12 de junho de 2024, atingindo quatro entidades americanas e uma não americana nos setores de ISP, MSP e TI. A campanha supostamente continua ativa em sistemas não atualizados do Versa Director. A vulnerabilidade permite o upload de web shells disfarçados, possibilitando o roubo de credenciais e facilitando ataques na cadeia de suprimentos. O web shell “VersaMem,” capturado no VirusTotal, pode executar código Java na memória, burlando a detecção baseada em arquivo.
O Tufão Volt, conhecido também como Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda e Voltzite, visa há pelo menos cinco anos estruturas críticas nos EUA e Guam. Os ataques buscam manter acesso secreto e extrair informações sigilosas.
Para proteção, recomenda-se aplicar as atualizações necessárias, bloquear o acesso externo às portas específicas e verificar por arquivos PNG suspeitos e tráfego potencialmente prejudicial. A situação ressalta a importância de todas as empresas se protegerem, já que elas podem estar na rota indireta para um alvo maior.
Mantenha-se atualizado seguindo o TecMania para mais informações relevantes sobre cibersegurança.
