frankenstein - RunkIntel

# Frankenstein ## Descrição Frankenstein foi uma campanha altamente direcionada documentada por pesquisadores da Talos Intelligence entre janeiro e abril de 2019. Os atores de ameaça, não atribuídos a nenhum grupo conhecido, demonstraram capacidade moderada a alta de recursos ao orquestrar uma operação sofisticada que combinava componentes de ferramentas open-source de origens completamente distintas - daí o nome inspirado no monstro de Mary Shelley. A campanha concentrou-se em alvos governamentais, educacionais e de tecnologia, principalmente nos EUA e na Europa, utilizando e-mails de spearphishing com anexos maliciosos contendo macros do Microsoft Word ou exploits de documentos. A infraestrutura de C2 da campanha baseou-se no framework [[s0363-empire|Empire]], com comunicação via protocolos web padrão para dificultar a detecção. Os atores combinaram Visual Basic, PowerShell e Windows Command Shell para execução de payloads, demonstrando versatilidade na cadeia de ataque. Técnicas de descoberta como identificação de processos ([[t1057-process-discovery|T1057]]), informações do sistema ([[t1082-system-information-discovery|T1082]]) e software de segurança instalado ([[t1518-001-security-software-discovery|T1518.001]]) foram utilizadas para reconhecimento pós-exploração. A campanha destacou-se pelo uso de obfuscação de comandos ([[t1027-010-command-obfuscation|T1027.010]]) para evasão de defesa e pela transferência de ferramentas adicionais por ingestão remota ([[t1105-ingress-tool-transfer|T1105]]). O aspecto mais notável da Frankenstein foi a capacidade dos atores de integrar componentes díspares de ferramentas open-source em uma cadeia de ataque funcional e coesa - uma abordagem que reduz custos operacionais, dificulta a atribuição e aproveita o trabalho legítimo da comunidade de segurança. Embora a campanha tenha encerrado em abril de 2019, ela se tornou um caso de estudo sobre a democratização de capacidades ofensivas sofisticadas via ferramentas de código aberto. ## Impacto | Métrica | Detalhe | |---------|---------| | Organizações alvo | Governo, educação e tecnologia nos EUA e Europa | | Período | Janeiro a abril de 2019 | | Vetor inicial | Spearphishing com anexos Word/macros ou exploits de documentos ([[t1566-001-spearphishing-attachment\|T1566.001]]) | | Capacidade pós-exploração | Descoberta de sistema, exfiltração automatizada, persistência via tarefas agendadas | | Atribuição | Não atribuída - atores moderadamente sofisticados, possívelmente patrocinados por Estado | ## Relevância LATAM/Brasil O impacto direto no Brasil e América Latina é **baixo** - a campanha teve foco geográfico restrito aos EUA e Europa. Contudo, a Frankenstein é relevante como referência métodológica: a abordagem de "franquear" ferramentas open-source como o Empire é amplamente replicada por atores que visam a região LATAM, incluindo grupos de espionagem com nexo a Estados e ameaças persistentes avançadas que comprometem governos e universidades latino-americanas. Organizações brasileiras nos setores governamental, de ensino superior e tecnologia devem considerar o modelo desta campanha ao configurar controles de e-mail e detecção de macros maliciosas. ## Técnicas Utilizadas - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1027-010-command-obfuscation|T1027.010 - Command Obfuscation]] - [[t1020-automated-exfiltration|T1020 - Automated Exfiltration]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1221-template-injection|T1221 - Templaté Injection]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] ## Software Utilizado - [[s0363-empire|Empire]] --- *Fonte: [MITRE ATT&CK - C0001](https://attack.mitre.org/campaigns/C0001)*