- Julho 10, 2025
Reconhecimento
Tática: Reconhecimento ativo de alvos externos.
- Técnica:
- Gather Victim Identity Information (T1589)
- Gather Victim Network Information (T1590)
- Procedimentos Observados:
- Enumeração de subdomínios via ferramentas automatizadas (ex.: amass).
- Recolha de dados públicos no LinkedIn e GitHub.
- IoCs:
- IPs associados a scans massivos:
- 192.241.221.45
- 185.220.101.35
- User Agents suspeitos:
- Mozilla/5.0 (compatible; MassScanner/1.0)
- IPs associados a scans massivos:
Desenvolvimento de Recursos
Tática: Preparação de infraestrutura.
- Técnica:
- Obtain Capabilities (T1588.002 – Malware)
- Establish Accounts (T1136 – Create Account)
- Procedimentos Observados:
- Compra de domínios typosquatting similares ao domínio alvo.
- Criação de contas em fornecedores cloud para hosting de payloads.
- IoCs:
- Domínios recém-registados:
- secure-updates-cdn[.]com
- companylogin-portal[.]net
- Domínios recém-registados:
Execução
Tática: Execução de código malicioso.
- Técnica:
- PowerShell (T1059.001)
- User Execution: Malicious Link (T1204.001)
- Procedimentos Observados:
- Envio de emails de phishing com links encurtados.
- Execução de scripts PowerShell para download de payload.
- IoCs:
- URLs maliciosas:
- hxxps://bit[.]ly/3XYZpayload
- Hashes de scripts:
- SHA256: 4e0c9b4f5b2b90c6c3e70…
- URLs maliciosas:
Persistência
Tática: Manutenção de acesso.
- Técnica:
- Scheduled Task/Job (T1053.005 – Scheduled Task)
- Valid Accounts (T1078)
- Procedimentos Observados:
- Criação de tarefas agendadas:
schtasks /create /tn “Updater” /tr “powershell.exe -File C:\ProgramData\up.ps1” /sc minute /mo 30
- Uso de credenciais comprometidas.
- IoCs:
- Nomes de tarefas: Updater, SystemCheck
- Endereços IP de login não reconhecido:
- 82.102.17.21
Elevação de Privilégios
Tática: Obtenção de permissões elevadas.
- Técnica:
- Exploitation for Privilege Escalation (T1068)
- Procedimentos Observados:
- Exploração de vulnerabilidade CVE-2024-4458 em drivers.
- IoCs:
- Binário dropado: C:\Windows\Temp\exploit.exe
- Hash MD5: d41d8cd98f00b204e9800998ecf8427e
Defesa / Bypass a soluções de segurança
Tática: Bypass a mecanismos de segurança.
- Técnica:
- Obfuscated Files or Information (T1027)
- Indicator Removal on Host (T1070)
- Procedimentos Observados:
- Codificação Base64 de payloads.
- Limpeza de logs de eventos via wevtutil.
- IoCs:
- Comandos:
wevtutil cl Security
- Strings detetadas em scripts:
FromBase64String
Acesso a Credenciais
Tática: Roubo de credenciais.
- Técnica:
- OS Credential Dumping (T1003)
- Procedimentos Observados:
- Utilização de Mimikatz.
- IoCs:
- Binário: mimikatz.exe
- YARA hits: Mimikatz_Memory_Signature
Movimento Lateral
Tática: Propagação interna.
- Técnica:
- Remote Services: SMB/Windows Admin Shares (T1021.002)
- Procedimentos Observados:
- Cópia remota de binários via psexec.
- IoCs:
- Processos:
- psexecsvc.exe
- Processos:
Exfiltração
Tática: Roubo de dados.
- Técnica:
- Exfiltration Over HTTPS (T1048.002)
- Procedimentos Observados:
- Compressão e envio de ficheiros via canal encriptado.
- IoCs:
- Domínios de exfiltração:
- dropstorage[.]cc
- Ficheiros comprimidos:
- backup2025.zip
- Domínios de exfiltração:
Comando e Controlo (C2)
Tática: Comunicação com infraestrutura atacante.
- Técnica:
- Application Layer Protocol: Web Protocols (T1071.001)
- Procedimentos Observados:
- C2 via HTTPS sobre porta 443.
- IoCs:
- IP C2:
- 91.214.124.77
- JA3 fingerprint:
- 771,4865-4866-49195-49196
- IP C2:
Resumo de Indicadores de Compromisso (IoCs)
| Tipo | Valor |
|---|---|
|
IPs |
192.241.221.45, 91.214.124.77, … |
|
Domínios |
secure-updates-cdn[.]com, dropstorage[.]cc |
|
URLs |
hxxps://bit[.]ly/3XYZpayload |
|
Hashes |
4e0c9b4f5b2b90c6c3e70… |
|
Binários |
mimikatz.exe, exploit.exe |
|
JA3 Fingerprint |
771,4865-4866-49195-4919 |
