c0027 - RunkIntel

# C0027 - Scattered Spider contra Telecomúnicacoes e BPO > [!danger] C0027 - Scattered Spider: SIM Swapping em Escala Industrial contra Telecoms > **Período:** Junho - Dezembro 2022 | **Ator:** [[g1015-scattered-spider|Scattered Spider]] (UNC3944, Starfraud) > **Alvos:** Empresas de telecomúnicacoes e BPO (terceirizacao de processos) nos EUA e globalmente > **Técnicas-chave:** Vishing, SIM swapping, engenharia social, cloud exploitation ## Visão Geral C0027 foi uma campanha com motivacao financeira vinculada ao [[g1015-scattered-spider|Scattered Spider]] (também conhecido como UNC3944, 0ktapus, Starfraud) contra empresas de telecomúnicacoes e BPO (Business Process Outsourcing) entre junho e dezembro de 2022. O grupo - composto principalmente por jovens falantes de lingua inglesa com habilidades excepcionais em engenharia social - utilizou uma combinacao devastadora de **vishing** (chamadas de voz se passando por suporte tecnico de TI), **phishing de MFA** e **exploração de ambientes cloud** para comprometer as redes internas das operadoras. O objetivo primario era realizar **SIM swapping em escala**: usar o acesso a sistemas internos das operadoras de telefonia para transferir números de telefone de alvos de alto valor (executivos, celebridades, detentores de criptoativos) para SIMs controlados pelo [[g1015-scattered-spider|Scattered Spider]], permitindo contornar autenticação de dois fatores baseada em SMS e acessar contas bancarias e carteiras de criptomoedas. O grupo também demonstrou alta capacidade técnica em ambientes cloud (Azure AD, AWS, Okta), utilizando [[s0357-impacket|Impacket]] para DCSync (extração de hashes do Active Directory), criação de instancias cloud nao autorizadas e elevação de privilegios em tenants Okta para ampliar o acesso lateral. ## Attack Flow ```mermaid graph TB A["📞 Vishing - Engenharia Social Ligacoes se passando por suporte de TI das empresas"] --> B["🎭 Bypass MFA Enganando funcionarios para aprovar notificacoes MFA falsas"] B --> C["☁️ Acesso Cloud Comprometimento de contas Okta, Azure AD, SharePoint"] C --> D["🔍 Reconhecimento Cloud Enumeracao de grupos, contas e roles em ambientes cloud"] D --> E["🔑 Credenciais AD Impacket DCSync extrai hashes do controlador de dominio"] E --> F["📱 Acesso a Redes Telecom Uso do acesso BPO para infiltrar sistemas internos de operadoras"] F --> G["🔄 SIM Swapping Transferencia de números para SIMs controlados pelo grupo"] ``` ## Timeline da Campanha ```mermaid timeline title C0027 - Scattered Spider Telecom Campaign Jun 2022 : Inicio da campanha contra BPOs e telecoms : Primeiros ataques de vishing documentados Jul-Set 2022 : Comprometimento de multiplas empresas de BPO : Acesso a sistemas de gestao de telecoms Out 2022 : CrowdStrike identifica a campanha completa : Publicacao de relatorio de ameaça Nov-Dez 2022 : Campanha ainda ativa : Tentativas de acesso a operadoras de telefonia movel Dez 2022 : CrowdStrike publica relatorio TELCO BPO Campaign : Campanha encerrada ou reduzida ``` ## Técnicas Utilizadas | Técnica | ID | Uso na Campanha | |---------|-----|-----------------| | Spearphishing Voice | [[t1598-004-spearphishing-voice\|T1598.004]] | Chamadas de voz se passando por suporte de TI para obter credenciais | | Cloud Accounts | [[t1078-004-cloud-accounts\|T1078.004]] | Uso de credenciais cloud obtidas via engenharia social | | Cloud Account Discovery | [[t1087-004-cloud-account\|T1087.004]] | Enumeracao de contas em ambientes cloud | | Cloud Groups Discovery | [[t1069-003-cloud-groups\|T1069.003]] | Enumeracao de grupos e roles em Azure AD/Okta | | DCSync | [[t1003-006-dcsync\|T1003.006]] | Impacket para extração de hashes do AD via replicacao de DC | | Additional Cloud Roles | [[t1098-003-additional-cloud-roles\|T1098.003]] | Elevação de privilegios em tenants Okta e Azure AD | | Creaté Cloud Instance | [[t1578-002-create-cloud-instance\|T1578.002]] | Criação de instancias nao autorizadas em ambientes cloud | | Cloud Services | [[t1021-007-cloud-services\|T1021.007]] | Acesso lateral via servicos cloud comprometidos | | SharePoint | [[t1213-002-sharepoint\|T1213.002]] | Acesso a documentos internos via SharePoint comprometido | | Email Account | [[t1087-003-email-account\|T1087.003]] | Enumeracao e acesso a contas de email corporativas | | Protocol Tunneling | [[t1572-protocol-tunneling\|T1572]] | Tunelamento de protocolos para C2 | | Network Service Discovery | [[t1046-network-service-discovery\|T1046]] | Escaneamento de servicos de rede internos | | Web Service | [[t1102-web-service\|T1102]] | Uso de servicos web legitimos para C2 e exfiltração | | Exploit Public-Facing App | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de aplicações web expostas como vetor adicional | ## Software Utilizado - [[s0357-impacket|Impacket]] - Suite Python para manipulação de protocolos de rede Windows; usado para DCSync ## Relevância LATAM/Brasil A relevância desta campanha para o Brasil e **alta** - o contexto local amplifica o risco: - Operadoras de telecomúnicacoes brasileiras (Vivo/Telefonica, Claro, TIM, Oi) sao alvos potenciais de campanhas similares de SIM swapping em escala - O **Brasil possui um dos maiores problemas documentados de fraude de SIM swapping do mundo** - amplamente usado por criminosos para roubo de contas bancarias, carteiras de criptomoedas e acesso ao WhatsApp de executivos - A ANATEL e a FEBRABAN públicaram regulamentacoes específicas sobre segurança de portabilidade numerica e SIM swapping em resposta ao crescimento desse tipo de fraude no Brasil - Grupos locais brasileiros de cibercrime já realizam SIM swapping em escala menor - o padrao do C0027 com BPOs como vetor poderia ser replicado por grupos com mais recursos - Empresas de BPO no Brasil que prestam servicos a operadoras de telecom (aténdimento ao cliente, suporte tecnico, helpdesk de TI) sao o elo mais vulnerável - o acesso de terceiros deve ser rigorosamente controlado ## Mitigacoes Recomendadas - Implementar autenticação **resistente a phishing** (FIDO2/WebAuthn) - eliminar MFA baseado em SMS para sistemas criticos de telecomúnicacoes - Treinar todos os funcionarios de suporte de TI sobre vishing e válidação robusta de identidade antes de resets de senha - Monitorar acessos de terceiros (BPOs) com controles PAM (Privileged Access Management) - Implementar detecção de anomalias em transferencias de portabilidade numerica - Revisar e minimizar privilegios de cloud; bloquear criação nao autorizada de instancias cloud ## Referências - [MITRE ATT&CK - C0027](https://attack.mitre.org/campaigns/C0027) - [CrowdStrike - TELCO BPO Campaign December 2022](https://www.crowdstrike.com/adversaries/scattered-spider/)