Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Os laboratórios da Bitdefender identificaram uma intrusão em várias ondas visando uma empresa de petróleo e gás do Azerbaijão entre dezembro de 2025 e fevereiro de 2026. Os atacantes exploraram as cadeias ProxyShell e ProxyNotShell para comprometer o Microsoft Exchange, em seguida, implantaram as backdoors Deed RAT e Terndoor por meio de técnicas avançadas de carregamento lateral de DLL, retornando repetidamente através do mesmo ponto de acesso inicial. A Bitdefender atribuiu a atividade com confiança moderada a alta ao grupo APT ligado à China, FamousSparrow. A campanha também mostrou métodos sofisticados de evasão, incluindo interceptação de API e ativação de carregadores em estágios.
Investigação
Pesquisadores documentaram três ondas distintas de atividade. A primeira envolveu a implantação de shells da web no Exchange, seguida da entrega do Deed RAT usando um serviço que se assemelhava ao LogMeIn Hamachi. A segunda onda tentou implantar o Terndoor através de uma cadeia USOShared e baseada em drivers, enquanto a onda final retornou ao Deed RAT com dados de configuração atualizados. A análise técnica revelou criptografia personalizada, rotinas de descriptografia RC4 e AES-CBC, compressão LZNT1 e Deflate e uma estrutura de cabeçalho semelhante a PE personalizada. Mais tarde, os atacantes moveram-se lateralmente através do RDP usando uma conta de administrador de domínio e empregaram ferramentas SMB do framework Impacket.
Mitigação
As organizações devem corrigir os servidores Exchange sem demora e remediar todas as exposições conhecidas do ProxyShell e ProxyNotShell. A segmentação de rede pode ajudar a reduzir o impacto do reuso de credenciais e movimento lateral. Os defensores também devem implantar detecções comportamentais para carregamento lateral de DLL, interceptação de API e criação de serviços suspeitos. Controles estritos sobre o acesso RDP privilegiado e ferramentas de execução remota baseadas em SMB também são recomendados.
Resposta
As equipes de segurança devem alertar sobre a criação de arquivos de web shell dentro de diretórios IIS, serviços Windows inesperados nomeados LogMeIn Hamachi e registros de serviço de drivers lançados a partir de caminhos graváveis por usuários. O tráfego HTTPS para domínios incomuns, como virusblocker.it.com and sentinelonepro.com deve ser correlacionado com outras atividades suspeitas. Os investigadores também devem examinar qualquer processo que atualize StartServiceCtrlDispatcherW ou carregue DLLs suspeitos junto a binários legítimos.
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef technique fill:#e0e0e0 %% Node definitions initial_access["<b>Acesso Inicial</b> – <b>T1210 Exploração de Serviços Remotos</b><br/><b>ID da Técnica</b>: T1210<br/><b>Descrição</b>: Explorar serviço remoto vulnerável como servidor Exchange usando ProxyShell ou ProxyNotShell."] class initial_access action persistence_webshell["<b>Persistência</b> – <b>T1505.003 Web Shell</b><br/><b>ID da Técnica</b>: T1505.003<br/><b>Descrição</b>: Implantar um web shell em servidor comprometido para acesso persistente."] class persistence_webshell action malicious_service["<b>Persistência</b> – <b>T1569 Serviços do Sistema</b><br/><b>ID da Técnica</b>: T1569<br/><b>Descrição</b>: Criar um serviço malicioso se passando por LogMeIn Hamachi para persistência."] class malicious_service action tool_logmein["<b>Ferramenta</b> – <b>Nome</b>: LogMeIn Hamachi<br/><b>Descrição</b>: Serviço legítimo de VPN usado como disfarce."] class tool_logmein tool execution_proxy["<b>Execução</b> – <b>T1218 Execução de Proxy de Binário Assinado</b><br/><b>ID da Técnica</b>: T1218<br/><b>Descrição</b>: Usar binário do sistema legítimo para lançar código malicioso."] class execution_proxy action execution_masquerade["<b>Execução</b> – <b>T1036 Disfarce</b><br/><b>ID da Técnica</b>: T1036<br/><b>Descrição</b>: Renomear executável malicioso como LMIGuardianSvc.exe para se camuflar."] class execution_masquerade action malware_lmi["<b>Malware</b> – <b>Nome</b>: LMIGuardianSvc.exe<br/><b>Descrição</b>: Carrega DLL malicioso após ser executado."] class malware_lmi malware defense_reflective["<b>Evasão de Defesa</b> – <b>T1620 Carregamento de Código Reflexivo</b><br/><b>ID da Técnica</b>: T1620<br/><b>Descrição</b>: Carregar código na memória sem tocar no disco."] class defense_reflective action defense_processhollow["<b>Evasão de Defesa</b> – <b>T1055.012 Hollowing de Processo</b><br/><b>ID da Técnica</b>: T1055.012<br/><b>Descrição</b>: Substituir memória de processo legítimo com código malicioso."] class defense_processhollow action defense_threadhijack["<b>Evasão de Defesa</b> – <b>T1055.003 Hijacking de Thread</b><br/><b>ID da Técnica</b>: T1055.003<br/><b>Descrição</b>: Sequestrar threads de um processo em execução."] class defense_threadhijack action defense_hide["<b>Evasão de Defesa</b> – <b>T1564.010 Ocultar Artefatos</b><br/><b>ID da Técnica</b>: T1564.010<br/><b>Descrição</b>: Ocultar componentes maliciosos da detecção."] class defense_hide action payload_decrypt["<b>Processamento de Payload</b> – <b>T1560.003 Descompressão de Arquivo</b><br/><b>ID da Técnica</b>: T1560.003<br/><b>Descrição</b>: Descriptografar e descomprimir payload antes da execução."] class payload_decrypt action lateral_movement["<b>Movimento Lateral</b> – <b>T1078 Contas Válidas</b><br/><b>ID da Técnica</b>: T1078<br/><b>Descrição</b>: Usar credenciais roubadas para mover-se lateralmente via RDP e compartilhamentos de admin SMB."] class lateral_movement action tool_impacket["<b>Ferramenta</b> – <b>Nome</b>: Impacket<br/><b>Descrição</b>: Biblioteca Python para protocolos de rede usados para pivoteamento."] class tool_impacket tool c2_https["<b>Comando e Controle</b> – <b>T1071.001 Protocolos Web HTTPS</b><br/><b>ID da Técnica</b>: T1071.001<br/><b>Descrição</b>: Comunicar-se com servidor C2 via HTTPS criptografado."] class c2_https action c2_contentinject["<b>Comando e Controle</b> – <b>T1659 Injeção de Conteúdo</b><br/><b>ID da Técnica</b>: T1659<br/><b>Descrição</b>: Injetar conteúdo malicioso em respostas HTTP legítimas."] class c2_contentinject action impact_kernel["<b>Impacto</b> – <b>T1014 Rootkit</b><br/><b>ID da Técnica</b>: T1014<br/><b>Descrição</b>: Tentar instalar driver de kernel Terndoor para persistência profunda."] class impact_kernel action %% Connections initial_access –>|leads_to| persistence_webshell persistence_webshell –>|leads_to| malicious_service malicious_service –>|uses| tool_logmein malicious_service –>|leads_to| execution_proxy execution_proxy –>|uses| execution_masquerade execution_masquerade –>|loads| malware_lmi malware_lmi –>|performs| defense_reflective defense_reflective –>|performs| defense_processhollow defense_processhollow –>|performs| defense_threadhijack defense_threadhijack –>|performs| defense_hide defense_hide –>|enables| payload_decrypt payload_decrypt –>|enables| lateral_movement lateral_movement –>|uses| tool_impacket lateral_movement –>|leads_to| c2_https c2_https –>|uses| c2_contentinject c2_contentinject –>|enables| impact_kernel "
Fluxo de Ataque
Detecções
Possível Exploração de Servidor Web ou Aplicativo Web [Windows] (via linha de comando)
Ver
Software Alternativo de Acesso ou Gerenciamento Remoto (via criação de processo)
Ver
Possível Tentativa de Comunicação de Domínio de Consulta de IP (via DNS)
Ver
IOCs (HashMd5) para detectar: FamousSparrow APT Ataca Indústria de Petróleo e Gás do Azerbaijão
Ver
Detecção de Comunicação de Comando e Controle do Deed RAT [Conexão de Rede Windows]
Ver
Carregamento Lateral de DLL pelo FamousSparrow APT na Indústria de Petróleo e Gás do Azerbaijão [Evento de Arquivo Windows]
Ver
## Execução de Simulação
Pré-requisito: A Verificação Prévia do Telemetria & Baseline deve ter sido aprovada.
-
Narrativa de Ataque & Comandos:
Um adversário operando o Deed RAT deseja estabelecer um canal C2 persistente para exfiltrar dados e receber comandos. Usando PowerShell (T1059.001), o RAT inicia uma solicitação HTTPS GET para o host malicioso codificado fixamente
sentinelonepro.comna porta 443 (T1071.001). Como a conexão é de saída, ela atravessa o firewall do Windows e é capturada pelo Sysmon como umNetworkConnectevento. A regra de detecção deve ser disparada neste evento. -
Script de Teste de Regressão:
<# Simulação C2 Deed RAT – cria uma conexão HTTPS de saída para o host malicioso conhecido (sentinelonepro.com) na porta 443. Este script é seguro para teste em um laboratório isolado; o domínio resolve para um IP não roteável (127.0.0.1) para evitar contato com infraestruturas C2 reais. #> # Substituir resolução DNS por segurança (opcional) $hostsPath = "$env:SystemRootSystem32driversetchosts" if (-not (Select-String -Path $hostsPath -Pattern "sentinelonepro.com")) { Add-Content -Path $hostsPath -Value "`n127.0.0.1 sentinelonepro.com" } # Realizar a solicitação HTTPS (tráfego C2 simulado) try { $response = Invoke-WebRequest -Uri "https://sentinelonepro.com/heartbeat" ` -UseBasicParsing ` -Headers @{ "User-Agent" = "DeedRAT/1.0" } ` -TimeoutSec 10 Write-Host "Solicitação C2 concluída, código de status:" $response.StatusCode } catch { Write-Warning "Solicitação C2 falhou (esperado em laboratório isolado): $_" } -
Comandos de Limpeza:
# Remover entrada temporária de hosts $hostsPath = "$env:SystemRootSystem32driversetchosts" (Get-Content $hostsPath) | Where-Object { $_ -notmatch "sentinelonepro.com" } | Set-Content $hostsPath # Limpar quaisquer arquivos residuais Remove-Item -Path "$env:TEMPexample.html" -ErrorAction SilentlyContinue