SOC Prime Bias: Crítico

18 Jun 2026 14:28 UTC
newspaper icon picussecurity.com

Técnicas de Ataque do SloppyLemming & Backdoor BurrowShell Explicados

Author Photo
SOC Prime Team linkedin icon Seguir
Técnicas de Ataque do SloppyLemming & Backdoor BurrowShell Explicados
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

SloppyLemming é um grupo de ciberespionagem que tem como alvo indústrias críticas na Ásia do Sul e Leste. O grupo depende de spear phishing para entregar malware personalizado, incluindo o backdoor BurrowShell e um keylogger baseado em Rust. Ele também faz uso extensivo de Cloudflare Workers para suportar atividades de comando e controle e operações de roubo de credenciais.

Investigação

O relatório descreve uma campanha em várias etapas envolvendo macros do Excel maliciosas e portais de autenticação falsificados. Pesquisadores identificaram subdomínios do Cloudflare criados para imitar entidades governamentais e analisaram o shellcode personalizado do grupo junto com suas capacidades de keylogging. A investigação também mostrou como o SloppyLemming evita a análise estática por meio de resolução dinâmica de APIs e cargas úteis criptografadas com RC4.

Mitigação

As organizações devem implantar um forte filtro de e-mails para bloquear anexos maliciosos e links de phishing antes de sua entrega. As equipes de segurança devem monitorar modificações não autorizadas em chaves de execução e relações suspeitas entre processos pai e filho, incluindo NGenTask.exe carregando DLLs inesperadas. A detecção também deve cobrir tráfego incomum de Cloudflare Worker e quaisquer sinais de uso não autorizado de tokens OAuth.

Resposta

Se esta atividade for detectada, isole imediatamente os sistemas afetados para interromper a exfiltração adicional através do canal de comando e controle. Realize forense na memória para recuperar o shellcode do BurrowShell e determinar a extensão do comprometimento. Redefina as credenciais para quaisquer contas que possam ter sido expostas por meio do keylogger ou interceptação OAuth, com atenção especial para contas do Google.

graph TB %% Definição das classes classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#3498db,stroke:#333,stroke-width:2px classDef persistence fill:#2ecc71,stroke:#333,stroke-width:2px classDef evasion fill:#e74c3c,stroke:#333,stroke-width:2px classDef credential_access fill:#9b59b6,stroke:#333,stroke-width:2px classDef discovery fill:#f1c40f,stroke:#333,stroke-width:2px classDef collection fill:#1abc9c,stroke:#333,stroke-width:2px classDef command_control fill:#34495e,stroke:#333,stroke-width:2px classDef exfiltration fill:#d35400,stroke:#333,stroke-width:2px %% Nós de acesso inicial ia_spearphish_attach[“<b>Ação</b> – <b>T1566.001 Phishing: Spearphishing Attachment</b><br/>Planilhas Microsoft Excel maliciosas<br/>contendo macros VBA.”] class ia_spearphish_attach initial_access ia_spearphish_link[“<b>Ação</b> – <b>T1566.002 Phishing: Spearphishing Link</b><br/>Portais de webmail falsos<br/>ou iscas em PDF desfocadas.”] class ia_spearphish_link initial_access %% Nós de execução ex_vba_interpreter[“<b>Ação</b> – <b>T1059.005 Command and Scripting Interpreter: Visual Basic</b><br/>Macros executam downloads e iniciam<br/>arquivos maliciosos como audiodg.exe e sppc.dll.”] class ex_vba_interpreter execution %% Nós de persistência pe_registry_run[“<b>Ação</b> – <b>T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder</b><br/>Entrada de registro criada disfarçada<br/>como OneDrive.”] class pe_registry_run persistence %% Nós de evasão de defesa ev_api_hashing[“<b>Ação</b> – <b>T1027.007 Obfuscated Files or Information: Dynamic API Resolution</b><br/>O backdoor BurrowShell resolve<br/>APIs do Windows usando hashing.”] class ev_api_hashing evasion ev_rc4_encryption[“<b>Ação</b> – <b>T1027.013 Obfuscated Files or Information: Encrypted/Encoded File</b><br/>Shellcode oculto como um<br/>blob criptografado com RC4.”] class ev_rc4_encryption evasion ev_masquerading[“<b>Ação</b> – <b>T1036.005 Masquerading: Match Legitimate Name or Location</b><br/>Arquivos renomeados como<br/>system32.dll ou mscorsvc.dll.”] class ev_masquerading evasion ev_dll_hijack[“<b>Ação</b> – <b>T1574.001 Hijack Execution Flow: DLL Search Order Hijacking</b><br/>Sequestro do fluxo de execução usando<br/>binários legítimos como NGenTask.exe.”] class ev_dll_hijack evasion %% Nós de acesso a credenciais ca_keylogger[“<b>Ação</b> – <b>T1056 Input Capture: Keylogging</b><br/>Keylogger baseado em Rust captura<br/>teclas digitadas e tokens OAuth do Google.”] class ca_keylogger credential_access %% Nós de descoberta di_sys_info[“<b>Ação</b> – <b>T1082 System Information Discovery</b><br/>BurrowShell coleta informações do sistema,<br/>incluindo nome do computador e usuário.”] class di_sys_info discovery %% Nós de coleta co_archive_data[“<b>Ação</b> – <b>T1560 Archive Collected Data</b><br/>Drivers web baseados em Python percorrem<br/>e baixam anexos de e-mail.”] class co_archive_data collection %% Nós de comando e controle cc_web_protocols[“<b>Ação</b> – <b>T1071.001 Application Layer Protocol: Web Protocols</b><br/>Comunicação HTTPS com C2<br/>hospedado em Cloudflare Workers.”] class cc_web_protocols command_control %% Nós de exfiltração ex_c2_channel[“<b>Ação</b> – <b>T1041 Exfiltration Over C2 Channel</b><br/>Envio de dados capturados, arquivos<br/>e capturas de tela para os atacantes.”] class ex_c2_channel exfiltration %% Fluxo do ataque ia_spearphish_attach –>|leva_a| ex_vba_interpreter ia_spearphish_link –>|leva_a| ex_vba_interpreter ex_vba_interpreter –>|estabelece| pe_registry_run ex_vba_interpreter –>|utiliza| ev_api_hashing ex_vba_interpreter –>|utiliza| ev_rc4_encryption ex_vba_interpreter –>|utiliza| ev_masquerading ex_vba_interpreter –>|utiliza| ev_dll_hijack ex_vba_interpreter –>|implanta| ca_keylogger ca_keylogger –>|aciona| di_sys_info di_sys_info –>|precede| co_archive_data co_archive_data –>|comunica_via| cc_web_protocols cc_web_protocols –>|facilita| ex_c2_channel

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O teste de pré-voo de Telemetria & Linha de Base deve ter sido aprovado.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visa gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos errôneos.

  • Narrativa & Comandos de Ataque: Um adversário busca manter a persistência e executar código de forma discreta. Eles tentam sequestrar o fluxo do processo audiodg.exe passando mscorsvc.dll como argumento, uma técnica conhecida do SloppyLemming. Para complicar ainda mais a detecção, eles também podem tentar mascarar sua presença nomeando um processo malicioso secundário OneDrive.exe na string de comando. O objetivo é acionar a regra de detecção combinando a combinação específica de audiodg.exe e o nome de DLL ou mascarado suspeito.

  • Script de Teste de Regressão:

    # Script de Simulação: Emulação de TTP do SloppyLemming
# Cenário 1: Sequestrando audiodg.exe com mscorsvc.dll
Write-Host "[+] Simulando sequestro de audiodg.exe com mscorsvc.dll..."
Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe mscorsvc.dll" -WindowStyle Hidden

# Cenário 2: Mascaramento via OneDrive.exe na linha de comando
Write-Host "[+] Simulando execução de audiodg.exe com mascaramento de OneDrive.exe..."
Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe --path C:UsersPublicOneDrive.exe" -WindowStyle Hidden

  • Comandos de Limpeza:

    # Limpeza: Nenhum artefato permanente é criado pelos comandos cmd /c, 
# mas garantimos que não existam processos suspeitos remanescentes.
Stop-Process -Name "cmd" -ErrorAction SilentlyContinue

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente