- Março 12, 2026
1. Fortinet FortiCloud SSO — CVE-2026-24858
TTPs observados
Os atores maliciosos exploraram um bypass de autenticação no FortiCloud SSO para obter acesso administrativo a dispositivos registados noutras contas, desde que o login administrativo por FortiCloud SSO estivesse ativo. Depois da intrusão, a operação observada foi simples e eficaz: download da configuração do equipamento e criação de conta administrativa local para persistência. Isto encaixa sobretudo em Initial Access (T1190), Valid Accounts (T1078) e Create Account (T1136), seguido de Collection via exfiltração de ficheiros de configuração. O CNCS publicou o alerta a 28 de janeiro de 2026 e a Fortinet confirmou exploração in the wild, tendo inclusive desativado temporariamente o SSO do lado FortiCloud a 26 de janeiro e reativado a 27 de janeiro apenas para versões corrigidas.
IoCs públicos
Contas SSO observadas:
- cloud-noc@mail.io
- cloud-init@mail.io
- heltaylor.12@tutamail.com
- support@openmail.pro
IPs observados:
- 104.28.244.115
- 104.28.212.114
- 104.28.212.115
- 104.28.195.105
- 104.28.195.106
- 104.28.227.106
- 104.28.227.105
- 104.28.244.114
- 163.61.198.15
- 104.28.244.116
- 38.54.6.28
- adicionais reportados por terceiros: 37.1.209.19, 217.119.139.50
Nomes de contas locais maliciosas observadas para persistência:
audit, backup, itadmin, secadmin, support, backupadmin, deploy, remoteadmin, security, svcadmin, system, adccount
2. Fortinet FortiSIEM — CVE-2025-64155
TTPs observados
No caso do FortiSIEM, o CNCS alertou a 19 de janeiro de 2026 para uma OS command injection no serviço phMonitor, explorável remotamente e sem autenticação através de pedidos TCP especialmente construídos, com impacto de execução de comandos como root. Ao nível ATT&CK, isto corresponde sobretudo a Exploit Public-Facing Application (T1190) e Command and Scripting Interpreter (T1059), com potencial imediato para Execution, Privilege Escalation e Defense Evasion, dada a posição central de um SIEM na infraestrutura.
IoCs públicos
Neste caso, o CNCS não publicou uma lista estática de IPs/hashs/contas; a orientação operacional foi encontrada em /opt/phoenix/log/phoenix.logs por registos incomuns do serviço phMonitor, erros de parsing, comandos inesperados e padrões fora do comportamento normal. Estes elementos são, na prática, os principais IoCs comportamentais públicos para hunting neste caso.
3. Ivanti Endpoint Manager Mobile (EPMM) — CVE-2026-1281 / CVE-2026-1340
TTPs observados
O CNCS publicou alerta a 3 de fevereiro de 2026 para duas falhas críticas no Ivanti EPMM que permitem execução remota de código sem autenticação. A investigação da Unit 42 descreve exploração generalizada e maioritariamente automatizada, com as seguintes TTPs pós-exploração: reverse shell, instalação de web shells, reconhecimento, e download de malware numa 2ª fase. A técnica de exploração passa por HTTP GET requests especialmente construídos para caminhos como /mifs/c/appstore/fob/ e /mifs/c/aftstore/fob/, abusando de bash arithmetic expansion em scripts internos. Em termos ATT&CK, isto alinha-se com T1190, T1059, Web Shell (T1505.003), Ingress Tool Transfer (T1105) e Reconnaissance/Discovery no host comprometido.
IoCs públicos
Padrões e artefactos observados:
- caminhos de exploração: /mifs/c/appstore/fob/ e /mifs/c/aftstore/fob/
- web shells observadas: 401.jsp, 403.jsp, 1.jsp em /mi/tomcat/webapps/mifs/
- “sleeper shell” / loader em /mifs/403.jsp
- parâmetro associado ao loader observado por terceiros: k0f53cf964d387
- delimitadores de resposta para hunting no web shell/loader: 3cd3d e e60537
IPs fonte observados pela GreyNoise (1–9 fevereiro):
- 193.24.123.42
- 45.129.230.38
- 198.98.54.209
- 156.146.45.26
- 198.98.56.220
4. BeyondTrust Remote Support / PRA — CVE-2026-1731
TTPs observados
O CNCS publicou alerta a 16 de fevereiro de 2026 para esta falha crítica pré-autenticação em BeyondTrust Remote Support / PRA. O fabricante confirmou tentativas iniciais de exploração em 10 de fevereiro e a Unit 42 observou uma cadeia pós-exploração consolidada: reconhecimento de rede, criação de contas, deploy de web shells, tráfego C2, instalação de backdoors/RATs, movimento lateral e roubo de dados. A exploração abusa do valor remoteVersion durante o handshake WebSocket, usando formatos como a[$(cmd)]0 para forçar execução de comandos no thin-scc-wrapper. Em ATT&CK, isto mapeia fortemente para T1190, T1059, T1505.003, T1105, Account Manipulation/Create Account, Lateral Tool Transfer e Exfiltration
IoCs públicos
Padrões de exploração e artefactos:
- endpoint/path associado: /nw e endpoints ligados a get_portal_info no handshake WebSocket
- payload/forma de injeção observada: a[$(cmd)]0 no campo remoteVersion
- web shell one-liner: execução via POST[‘1’] condicionada por GET[‘aaaa’]
- web shells/artefactos com hash ou nome reportados pela Unit 42:
- php — 66cceb2c2f1d9988b501832fd3b559775982e2fce4ab38fc4ffe71b74eafc726
- d6 — 679ee05d92a858b6fe70aeb6072eb804548f1732e18b6c181af122b833386afb
- php — 98442387d466f27357d727b3706037a4df12a78602b93df973b063462a677761
- php — cf83e1357eefb8bdf1542850d66d8007d620e4050b5715dc83f4a921d36ce9ce
- bash script — cc2bc3750cc5125a50466f66ae4f2bedf1cac0e43477a78ed2fd88f3e987a292
Malware e infraestrutura observados:
- SparkRAT hash: 9f431d5549a03aee92cfd2bdbbe90f1c91e965c99e90a0c9ad5a001f4e80c350
- VShell hash: 98a7b0900a9072bb40af579ec372da7b27af12b15868394df51fefe290ab176b
- 134.122.13.34:8979/c (SparkRAT)
- 82.29.53.187:8778/app_cli
- 85.155.186.121/access
- 85.155.186.121/access/Remote%20Access-linux64-offline.tar?…
- 64.95.10.115:23011/update.sh
- d65sb7ngveucv5k2nm508abdsjmbn7qmn.oast[.]pro
- q0r2e5q2dzbykcox9qmkptm12s8mwb.oastify[.]com
- judiemkqjajsfzpidfjlowgl8nyrtd49x.oast[.]fun
- 39uchxifap4cvgzsuirom0szrrg.d65lre9sfqnlcv49317gcis6pyjsatzho.oast[.]pro
- GitHub/raw GitHub observados para tooling: raw.githubusercontent[.]com/nezhahq/scripts/main/agent/install.ps1, github[.]com/nicocha30/ligolo-ng/…
TTPs e artefactos adicionais observados pela Arctic Wolf:
- tentativa de persistência com SimpleHelp Remote Access Client
- binários gravados na raiz de ProgramData
- nomes como remote access.exe
- criação de contas via net user … /add /domain
- elevação/grupos via net group “enterprise admins” … /add /domain e net group “domain admins” … /add /domain
- discovery com net share, ipconfig /all, systeminfo, ver
- movimento lateral com PsExec e atividade Impacket SMBv2 session setup
