# C0010 - Campanha UNC3890 contra Israel > [!info] C0010 - Espionagem Iraniana contra Infraestrutura Israelense > **Período:** Dezembro 2020 - Agosto 2022 | **Ator:** [[unc3890|UNC3890]] (nexo Iran) > **Alvos:** Maritimo, governo, aviacao, energia e saúde em Israel > **Técnicas-chave:** Drive-by compromise, watering hole, credential harvesting via SUGARDUMP ## Visão Geral C0010 foi uma campanha de espionagem cibernetica conduzida pelo [[unc3890|UNC3890]] - grupo avaliado pela Mandiant como operando em apoio a interesses iranianos - contra organizacoes israelenses nos setores de transporte maritimo, governo, aviacao, energia e saúde. A campanha teve inicio pelo menos no final de 2020 e ainda estava em andamento em meados de 2022. O [[unc3890|UNC3890]] utilizou dois malwares proprietarios exclusivos: o [[s1049-sugarush|SUGARUSH]] (backdoor leve que estabelece reverse shell via TCP na porta 4585) e o [[s1042-sugardump|SUGARDUMP]] (stealer de credenciais de navegadores que exfiltrava dados via contas Gmail, Yahoo e Yandex para dificultar detecção). Multiplas versoes do [[s1042-sugardump|SUGARDUMP]] foram identificadas - a versao inicial (inicio de 2021) armazenava credenciais localmente; versoes posteriores usavam SMTP e depois HTTP para exfiltrar para C2 controlado pelo grupo. As conexoes com o Ira incluem: strings PDB em Farsi (palavras "KHODA" e "yaal"), targeting consistente com outros clusters iranianos como UNC757 e UNC2448, e sobreposicao de infraestrutura com o IRGC. O foco no setor maritimo e geograficamente significativo dado o conflito naval em curso entre Ira e Israel. ## Attack Flow ```mermaid graph TB A["🎯 Acesso Inicial<br/>Watering hole em site<br/>empresa maritima israelense"] --> B["📧 Engenharia Social<br/>Falsos portais Office 365,<br/>LinkedIn, Facebook, lures de emprego"] B --> C["💻 Entrega de Payload<br/>SUGARDUMP via video<br/>de bone robotica como isca"] C --> D["🔑 Coleta de Credenciais<br/>SUGARDUMP extrai senhas<br/>de navegadores comprometidos"] D --> E["📡 Exfiltração<br/>Credenciais enviadas via<br/>Gmail/Yahoo/Yandex para evasão"] E --> F["🚪 Acesso Persistente<br/>SUGARUSH backdoor<br/>TCP porta 4585 para C2"] F --> G["🔍 Pos-Exploração<br/>Metasploit, NorthStar C2,<br/>Únicorn para acesso adicional"] ``` ## Timeline da Campanha ```mermaid timeline title C0010 - Linha do Tempo Fim 2020 : Inicio da campanha UNC3890 : Primeiras intrusoes em alvos maritimos Inicio 2021 : Primeira versao SUGARDUMP detectada : Armazenamento local de credenciais Nov 2021 : Watering hole no site maritimo israelense desativado : Versao SMTP do SUGARDUMP em uso Abr 2022 : Nova versao HTTP do SUGARDUMP identificada : Lure de oferta de emprego na LexisNexis Ago 2022 : Mandiant publica análise do UNC3890 : Campanha ainda ativa na data da publicacao ``` ## Técnicas Utilizadas | Técnica | ID | Uso na Campanha | |---------|-----|-----------------| | Drive-by Compromise | [[t1189-drive-by-compromise\|T1189]] | Watering hole em site maritimo israelense comprometido | | Drive-by Target | [[t1608-004-drive-by-target\|T1608.004]] | Pagina de login capturava dados de visitantes via POST | | Domains (Acquire) | [[t1583-001-domains\|T1583.001]] | Dominios imitando Office 365, LinkedIn, Facebook, Pfizer | | Domains (Compromise) | [[t1584-001-domains\|T1584.001]] | Comprometimento de dominio de empresa maritima israelense legitima | | Upload Malware | [[t1608-001-upload-malware\|T1608.001]] | SUGARUSH e SUGARDUMP hospedados em infraestrutura propria | | Upload Tool | [[t1608-002-upload-tool\|T1608.002]] | Ferramentas públicas (Metasploit, NorthStar C2) pre-hospedadas | | Develop Malware | [[t1587-001-malware\|T1587.001]] | SUGARUSH e SUGARDUMP sao malwares únicos desenvolvidos pelo grupo | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download de ferramentas para hosts comprometidos | | Obtain Tool | [[t1588-002-tool\|T1588.002]] | Metasploit, Únicorn, NorthStar C2 obtidos de fontes públicas | ## Software Utilizado - [[s1042-sugardump|SUGARDUMP]] - Stealer de credenciais de navegadores com exfiltração via email - [[s1049-sugarush|SUGARUSH]] - Backdoor leve com reverse shell via TCP 4585 - Metasploit Framework - Framework de pentest usado para exploração - NorthStar C2 - Framework C2 open-source para red teams - Únicorn - Ferramenta para downgrade de PowerShell e injecao de shellcode ## Relevância LATAM/Brasil A campanha nao tem impacto direto no Brasil, mas demonstra TTPs relevantes para defensores de infraestrutura critica: - O padrao de **drive-by compromise** via paginas de login falsas e adaptavel a qualquer jurisdicao - organizacoes brasileiras dos setores de aviacao ([[anac|ANAC]]), maritimo ([[antaq|ANTAQ]]) e energia devem manter vigilancia - O uso de credenciais de email legitimas (Gmail, Yahoo) para exfiltrar dados e uma técnica de evasão crescente - soluções DLP precisam monitorar exfiltração via webmail, nao apenas uploads diretos - Grupos de nexo Ira tem interesse documentado em infraestrutura maritima e energetica globalmente - o pre-sal brasileiro pode eventualmente atrair aténcao similar ## Mitigacoes Recomendadas - Implementar MFA em todos os portais web expostos (especialmente Office 365, VPNs) - Monitorar exfiltração de dados via provedores de email públicos (Gmail, Yahoo, Yandex) - Aplicar politica de lista branca de dominios para portais de login criticos - Revisar logs de acesso de aplicações web por beaconing via POST requests periodicos ## Referências - [MITRE ATT&CK - C0010](https://attack.mitre.org/campaigns/C0010) - [Mandiant - Suspected Iranian Actor Targeting Israeli Shipping](https://cloud.google.com/blog/topics/threat-intelligence/suspected-iranian-actor-targeting-israeli-shipping) - [SecurityWeek - Iranian Group Targeting Israeli Shipping](https://www.securityweek.com/iranian-group-targeting-israeli-shipping-and-other-key-sectors/)