SOC Prime Bias: Crítico

18 Jun 2026 14:28 UTC

Técnicas de Ataque do SloppyLemming & Backdoor BurrowShell Explicados

Author Photo
SOC Prime Team linkedin icon Seguir
Técnicas de Ataque do SloppyLemming & Backdoor BurrowShell Explicados
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

SloppyLemming é um grupo de ciberespionagem que tem como alvo indústrias críticas na Ásia do Sul e Leste. O grupo depende de spear phishing para entregar malware personalizado, incluindo o backdoor BurrowShell e um keylogger baseado em Rust. Ele também faz uso extensivo de Cloudflare Workers para suportar atividades de comando e controle e operações de roubo de credenciais.

Investigação

O relatório descreve uma campanha em várias etapas envolvendo macros do Excel maliciosas e portais de autenticação falsificados. Pesquisadores identificaram subdomínios do Cloudflare criados para imitar entidades governamentais e analisaram o shellcode personalizado do grupo junto com suas capacidades de keylogging. A investigação também mostrou como o SloppyLemming evita a análise estática por meio de resolução dinâmica de APIs e cargas úteis criptografadas com RC4.

Mitigação

As organizações devem implantar um forte filtro de e-mails para bloquear anexos maliciosos e links de phishing antes de sua entrega. As equipes de segurança devem monitorar modificações não autorizadas em chaves de execução e relações suspeitas entre processos pai e filho, incluindo NGenTask.exe carregando DLLs inesperadas. A detecção também deve cobrir tráfego incomum de Cloudflare Worker e quaisquer sinais de uso não autorizado de tokens OAuth.

Resposta

Se esta atividade for detectada, isole imediatamente os sistemas afetados para interromper a exfiltração adicional através do canal de comando e controle. Realize forense na memória para recuperar o shellcode do BurrowShell e determinar a extensão do comprometimento. Redefina as credenciais para quaisquer contas que possam ter sido expostas por meio do keylogger ou interceptação OAuth, com atenção especial para contas do Google.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O teste de pré-voo de Telemetria & Linha de Base deve ter sido aprovado.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visa gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos errôneos.

  • Narrativa & Comandos de Ataque: Um adversário busca manter a persistência e executar código de forma discreta. Eles tentam sequestrar o fluxo do processo audiodg.exe passando mscorsvc.dll como argumento, uma técnica conhecida do SloppyLemming. Para complicar ainda mais a detecção, eles também podem tentar mascarar sua presença nomeando um processo malicioso secundário OneDrive.exe na string de comando. O objetivo é acionar a regra de detecção combinando a combinação específica de audiodg.exe e o nome de DLL ou mascarado suspeito.

  • Script de Teste de Regressão:

    # Script de Simulação: Emulação de TTP do SloppyLemming
    # Cenário 1: Sequestrando audiodg.exe com mscorsvc.dll
    Write-Host "[+] Simulando sequestro de audiodg.exe com mscorsvc.dll..."
    Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe mscorsvc.dll" -WindowStyle Hidden
    
    # Cenário 2: Mascaramento via OneDrive.exe na linha de comando
    Write-Host "[+] Simulando execução de audiodg.exe com mascaramento de OneDrive.exe..."
    Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe --path C:UsersPublicOneDrive.exe" -WindowStyle Hidden
  • Comandos de Limpeza:

    # Limpeza: Nenhum artefato permanente é criado pelos comandos cmd /c, 
    # mas garantimos que não existam processos suspeitos remanescentes.
    Stop-Process -Name "cmd" -ErrorAction SilentlyContinue