SOC Prime Bias: Alto

17 Jun 2026 13:03 UTC
newspaper icon Cato Networks

Operação Poisson: Desvendando Toda uma Operação Cibercriminoso

Author Photo
SOC Prime Team linkedin icon Seguir
Operação Poisson: Desvendando Toda uma Operação Cibercriminoso
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

Um agente de ameaça de baixa qualificação conhecido como “Poisson” realizou uma campanha de roubo de credenciais em várias etapas, visando indivíduos franceses e uma pequena empresa. O atacante usou Havoc C2, um keylogger Python personalizado, e construiu acesso resiliente por meio do OpenSSH e de uma malha VPN Tailscale. Essa configuração permitiu que o operador mantivesse o acesso mesmo após a interrupção da infraestrutura principal de comando e controle.

Investigação

A Cato CTRL conduziu uma revisão pós-incidente aprofundada que cobriu 33 dias de atividade do atacante e 339 comandos registrados. A investigação revelou o uso de serviços gratuitos como Backblaze B2, DuckDNS e IONOS, juntamente com um design de persistência destinado a sobreviver a remoções de C2. Os pesquisadores também recuperaram o playbook SSH do operador e chaves SSH das vítimas, que foram expostos por engano em um bucket de armazenamento público.

Mitigação

Os defensores devem gerar alertas para a implantação de servidores OpenSSH em estações de trabalho e monitorar a atividade do Tailscale VPN em sistemas onde isso não é esperado. As organizações também precisam detectar túneis reversos SSH e rastrear tarefas agendadas suspeitas que são executadas com privilégios elevados. A remediação eficaz deve ir além da remoção de acesso C2 e incluir a eliminação de mecanismos de persistência baseados em VPN em malha.

Resposta

Quando essa atividade for identificada, as equipes de segurança devem imediatamente localizar e desmontar quaisquer conexões de malha Tailscale ou SSH ativas. Os investigadores devem revisar todas as tarefas agendadas e atalhos de inicialização para persistência não autorizada. É fortemente recomendado um reset completo de credenciais para todos os usuários, já que o uso de um keylogger cria uma alta probabilidade de comprometimento de credenciais.

graph TB %% Definição das classes classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef persistence fill:#99ff99 classDef command_control fill:#ffcc99 %% Execução inicial e entrega da carga útil action_stager_exec[“<b>Ação</b> – <b>T1216.002 PowerShell: Interpretador de Comandos e Scripts</b><br/>O utilizador executa o stager VBScript sys.vbs para ativar<br/>a execução por proxy de scripts do sistema.<br/><b>Ficheiro</b>: sys.vbs”] class action_stager_exec action malware_powershell_payload[“<b>Malware</b> – <b>T1216.002 PowerShell</b><br/>Carga útil PowerShell desencriptada utilizada para<br/>descarregar o malware principal.<br/><b>Tipo</b>: Stager/Downloader”] class malware_powershell_payload malware action_download_primary[“<b>Ação</b> – <b>T1105 Transferência de Ferramentas de Entrada</b><br/>Descarregamento do implante principal através de PowerShell.”] class action_download_primary action %% Ofuscação e carregamento malware_senti_dll[“<b>Malware</b> – <b>Nome</b>: senti.dll<br/><b>Técnicas</b>: T1027.009 Payloads Incorporados e T1027.015 Compressão<br/>Utiliza codificação matrioska em cinco camadas para ocultar<br/>shellcode dentro de palavras inglesas numa DLL .NET.<br/><b>Objetivo</b>: Execução sem ficheiros”] class malware_senti_dll malware %% Escalada de privilégios e persistência action_uac_bypass[“<b>Ação</b> – <b>T1204 Execução pelo Utilizador</b><br/>Tentativa de escalada de privilégios através de<br/>Start-Process -Verb RunAs para acionar pedidos UAC.”] class action_uac_bypass action persist_task_admin[“<b>Persistência</b> – <b>T1053 Tarefa Agendada</b><br/>Criação da tarefa TaskAdmin1 para executar o stager<br/>com privilégios máximos no início de sessão.”] class persist_task_admin persistence persist_startup_lnk[“<b>Persistência</b> – <b>T1547.001 Execução Automática de Arranque: Chaves Registry Run / Pasta Startup</b><br/>Colocação do atalho sys.lnk na pasta de arranque.”] class persist_startup_lnk persistence %% Roubo de credenciais tool_keylogger[“<b>Ferramenta</b> – <b>Nome</b>: KeyL.zip<br/><b>Técnica</b>: T1056.001 Captura de Entrada: Keylogging<br/>Keylogger Python personalizado com 70 linhas<br/>para recolher credenciais bancárias e de e-mail.”] class tool_keylogger tool %% Comando e Controlo c2_havoc[“<b>Comando e Controlo</b> – <b>Nome</b>: Havoc Framework<br/>Framework principal de gestão C2.”] class c2_havoc command_control tool_rustdesk[“<b>Ferramenta</b> – <b>T1219 Software de Acesso Remoto</b><br/>RustDesk compilado de forma personalizada<br/>instalado como acesso remoto redundante.”] class tool_rustdesk tool %% Persistência resiliente persist_ssh_tailscale[“<b>Persistência</b> – <b>T1668 Controlo Exclusivo</b><br/>Instala o OpenSSH Server e integra uma rede VPN Tailscale<br/>para sobreviver à remoção do C2.”] class persist_ssh_tailscale persistence action_ssh_tunnel[“<b>Ação</b> – <b>T1219.001 Túneis IDE e T1572 Túneis de Protocolo</b><br/>Utilização do túnel SSH reverso ssh -R para manter<br/>acesso direto encriptado.”] class action_ssh_tunnel action %% Fluxo de conexões action_stager_exec –>|executa| malware_powershell_payload malware_powershell_payload –>|descarrega| action_download_primary action_download_primary –>|carrega| malware_senti_dll malware_senti_dll –>|aciona| action_uac_bypass action_uac_bypass –>|estabelece| persist_task_admin action_uac_bypass –>|estabelece| persist_startup_lnk malware_senti_dll –>|implementa| tool_keylogger malware_senti_dll –>|comunica_com| c2_havoc c2_havoc –>|implementa_redundância| tool_rustdesk tool_rustdesk –>|leva_a| persist_ssh_tailscale persist_ssh_tailscale –>|utiliza| action_ssh_tunnel

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria & Baseline deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica de adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos errados.

  • Narrativa do Ataque & Comandos: O adversário, simulando o grupo “Poisson”, visa estabelecer uma base de acesso remoto. Primeiro, eles preparam um payload criando um arquivo chamado thales.zip em um diretório temporário. Para elevar privilégios, eles executam um comando PowerShell usando o verbo RunAs , que é um método comum para acionar prompts UAC. Finalmente, eles executam rustdesk.exe para fornecer um canal de comunicação de área de trabalho remota secundário. Esta sequência imita o padrão comportamental específico (elevação de UAC + RustDesk + arquivo zip específico) definido na regra de detecção.

  • Script de Teste de Regressão:

    # Script de Simulação: Emulação de TTP Poisson

# 1. Preparar o arquivo 'thales.zip' (necessário pela lógica de detecção)
$targetZip = "$env:TEMPthales.zip"
New-Item -Path $targetZip -ItemType File -Force
Write-Host "[+] Preparado $targetZip"

# 2. Simular tentativa de Elevação de UAC via PowerShell (necessário pela lógica de detecção)
# Nota: Isto acionará um prompt de UAC em um ambiente real.
Write-Host "[+] Tentando Elevação de UAC via Start-Process -Verb RunAs..."
Start-Process powershell.exe -ArgumentList "-Command Write-Host 'Elevação Tentada'" -Verb RunAs

# 3. Simular execução do RustDesk (necessário pela lógica de detecção)
# Criamos um rustdesk.exe fictício na pasta temporária para acionar a detecção sem instalação real
$rustdeskPath = "$env:TEMPrustdesk.exe"
New-Item -Path $rustdeskPath -ItemType File -Force
Write-Host "[+] Executando RustDesk simulado em $rustdeskPath"
Start-Process $rustdeskPath

  • Comandos de Limpeza:

    # Limpeza de Artefatos de Simulação
Remove-Item -Path "$env:TEMPthales.zip" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "$env:TEMPrustdesk.exe" -Force -ErrorAction SilentlyContinue
Write-Host "[+] Limpeza completa."

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente