{"id":738341,"date":"2026-05-20T08:30:46","date_gmt":"2026-05-20T11:30:46","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/05\/20\/criminosos-exploram-endpoint-da-cloudflare-para-exfiltrar-dados\/"},"modified":"2026-05-20T08:30:46","modified_gmt":"2026-05-20T11:30:46","slug":"criminosos-exploram-endpoint-da-cloudflare-para-exfiltrar-dados","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/ciencia\/2026\/05\/20\/criminosos-exploram-endpoint-da-cloudflare-para-exfiltrar-dados\/","title":{"rendered":"Criminosos exploram endpoint da Cloudflare para exfiltrar dados"},"content":{"rendered":"<p>Uma campanha cibercriminosa direcionada a organiza\u00e7\u00f5es da Mal\u00e1sia utilizou um endpoint de armazenamento hospedado pela Cloudflare para exfiltrar arquivos de redes comprometidas, sem acionar alertas de ferramentas tradicionais de monitoramento.<\/p>\n<p>O grupo envolvido atuou de forma coordenada, com ferramentas pr\u00f3prias e scripts customizados para cada ambiente invadido, sugerindo autoria organizada e planejamento pr\u00e9vio. A exfiltra\u00e7\u00e3o ocorreu via um servi\u00e7o confi\u00e1vel, dificultando a detec\u00e7\u00e3o.<\/p>\n<p>Os alvos incluem v\u00e1rias entidades governamentais malaias e, ao menos, uma empresa do setor privado. A t\u00e9cnica empregada usa servi\u00e7os de nuvem leg\u00edtimos para disfar\u00e7ar a comunica\u00e7\u00e3o externa e evitar bloqueios simples.<\/p>\n<h3>Forma de opera\u00e7\u00e3o<\/h3>\n<p>Os invasores n\u00e3o enviaram dados direto a destinos desconhecidos. Em vez disso, encaminhavam arquivos roubados para um endpoint de armazenamento sob controle deles e hospedado na infraestrutura da Cloudflare, reduzindo a visibilidade do tr\u00e1fego.<\/p>\n<p>Essa abordagem diminui a chance de sinaliza\u00e7\u00e3o quando tr\u00e1fegos para provedores de nuvem s\u00e3o vistos como atividade comum, especialmente em ambientes que n\u00e3o inspecionam sa\u00eddas para dom\u00ednios confi\u00e1veis.<\/p>\n<h3>Impactos observados<\/h3>\n<p>Foram comprometidas credenciais de controladores de dom\u00ednio, incluindo as hives SAM, SECURITY e SYSTEM, bem como um dump NTDS com hashes do Active Directory. Webshells ativos foram encontrados em pelo menos um servidor governamental.<\/p>\n<p>A infraestrutura de apoio estava hospedada em uma m\u00e1quina virtual da Microsoft Azure, na regi\u00e3o Malaysia West. O conjunto de artefatos deixados pelos invasores permite reconstruir parte da cadeia de intrus\u00e3o utilizada contra as v\u00edtimas.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Campanha direcionada na Mal\u00e1sia atingiu v\u00e1rias entidades governamentais e, ao menos, uma empresa privada, usando um endpoint de armazenamento hospedado na Cloudflare para exfiltrar dados.<\/li>\n<li>O grupo, considerado organizado, utilizou ferramentas pr\u00f3prias e scripts sob medida para cada ambiente invadido.<\/li>\n<li>A exfiltra\u00e7\u00e3o ocorreu por meio de um endpoint de armazenamento controlado pelos invasores, hospedado na infraestrutura da Cloudflare, para disfar\u00e7ar o tr\u00e1fego.<\/li>\n<li>O ataque resultou no roubo de credenciais de controladores de dom\u00ednio, incluindo SAM, SECURITY e SYSTEM, al\u00e9m de um dump NTDS com hashes do Active Directory; webshells foram encontrados em ao menos um servidor governamental.<\/li>\n<li>A infraestrutura de apoio estava em uma m\u00e1quina virtual da Microsoft Azure (regi\u00e3o Malaysia West), com artefatos que ajudam a reproduzir parte da cadeia de ataque.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":738404,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"Campanha contra \u00f3rg\u00e3os da Mal\u00e1sia usa endpoint hospedado na Cloudflare para exfiltrar dados, com credenciais de dom\u00ednio comprometidas e webshells ativas","footnotes":""},"categories":[296,1],"tags":[84,102,91,189],"class_list":["post-738341","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciencia","category-noticias","tag-acontecimentos-internacionais","tag-conflitos","tag-governo","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/738341","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=738341"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/738341\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/738404"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=738341"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=738341"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=738341"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}