# Operation Moonlight > [!medium] Espionagem do Gaza Cybergang Contra Alvos do Oriente Medio > A **Operation Moonlight** foi uma campanha de ciberespionagem conduzida pelo subgrupo **MoleRATs** do **Gaza Cybergang**, ativa entre 2015 e 2016, visando organizacoes governamentais e militares em Israel, Palestina, Egito e outros paises do Oriente Medio. A campanha e parte da familia de operações DustySky, que inclui a [[operation-parliament]] conduzida pelo mesmo grupo ator. ## Visão Geral A Operation Moonlight e uma das múltiplas campanhas operadas pelo [[g0040-gaza-cybergang]] - um coletivo de grupos de ameaça de origem arabes com motivacao politica e geopolitica focada no conflito Israel-Palestina. Específicamente, a Operation Moonlight foi atribuida ao subgrupo [[g0021-molerats]] (também denominado Gaza Cybergang Group 2), que opera com capacidades técnicas moderadas mas alta persistência operacional. A campanha foi documentada pela Check Point Research como parte da familia mais ampla de operações DustySky, que compartilha infraestrutura, malware e alvos com outras campanhas do Gaza Cybergang. O nome "DustySky" refere-se ao malware backdoor customizado utilizado pelo grupo, que tem capacidades de download/upload, captura de tela, keylogging e exfiltração de dados. Os vetores de infecção primarios eram documentos Office maliciosos enviados via spear-phishing, com iscos temáticos relacionados ao conflito israelense-palestino, questoes politicas arabes e documentos governamentais falsos. O grupo também utilizou versoes customizadas do [[quasar-rat]] e do Poison Ivy RAT como payloads secundarios. A Operation Moonlight precede e se relaciona diretamente com a [[operation-parliament]], que utilizou TTPs evoluidas do mesmo grupo ator. A familia DustySky demonstra como um grupo de capacidade técnica moderada pode manter operações de espionagem persistentes durante anos com recursos limitados, usando malware open-source modificado em vez de ferramentas exclusivamente customizadas. ## Attack Flow ```mermaid graph TB A["📧 Spear-phishing<br/>Documentos Office com iscos<br/>politicos e militares MENA"] --> B["⚙️ Execução de Macro<br/>VBA malicioso<br/>User Execution T1204"] B --> C["💧 Drop DustySky RAT<br/>Backdoor customizado<br/>ou Quasar RAT modificado"] C --> D["🔗 C2 via HTTP/HTTPS<br/>Servidores controlados<br/>ou comprometidos"] D --> E["🔍 Reconhecimento<br/>Arquivos sensiveis<br/>Contatos e e-mails"] E --> F["📦 Coleta de Dados<br/>Documentos governamentais<br/>Comúnicacoes diplomaticas"] F --> G["📤 Exfiltração<br/>Dados comprimidos<br/>via canal C2"] ``` ### Familia de Campanhas DustySky ```mermaid graph TB A["Gaza Cybergang<br/>Familia DustySky"] --> B["Operation Moonlight<br/>2015-2016<br/>Grupo 2 - MoleRATs"] A --> C["Operation Parliament<br/>2017-2018<br/>Grupo 3 - mais avancado"] A --> D["DustySky Fase 1<br/>2014-2015<br/>Grupo 1 - inicial"] B --> E["Alvos: Israel, Palestina<br/>Egito, Arabia Saudita<br/>EUA, Turquia"] C --> F["Alvos: Parlamentos MENA<br/>Presidencias, Ministerios<br/>Empresas de energia"] D --> G["Alvos: Israel, Palestina<br/>Orgaos governamentais<br/>Midia"] ``` ## Cronologia | Data | Evento | |------|--------| | 2014-Q4 | Primeiras amostras DustySky identificadas pela Check Point em campanha predecessora | | 2015-01 | Inicio da Operation Moonlight com spear-phishing direcionado a alvos israelenses e palestinos | | 2015-Q2 | Expansao para alvos no Egito, Arabia Saudita e Turquia | | 2015-Q4 | Check Point Research documenta a campanha como parte da familia DustySky | | 2016-03 | Versoes atualizadas do DustySky RAT com capacidades aprimoradas identificadas | | 2016-12 | Reducao de atividade da Operation Moonlight; grupo migra para Operation Parliament | | 2017-01 | Transicao para Operation Parliament com TTPs e alvos mais sofisticados | ## TTPs (MITRE ATT&CK) | ID | Técnica | Uso na Campanha | |----|---------|-----------------| | [[t1566-phishing\|T1566]] | Phishing | Spear-phishing com documentos Office e iscos politicos MENA | | [[t1204-user-execution\|T1204]] | User Execution | Abertura de documentos com macros VBA maliciosas | | [[t1059-command-scripting-interpreter\|T1059]] | Command Scripting | Scripts VBA para execução de payloads DustySky | | [[t1071-application-layer-protocol\|T1071]] | Application Layer | C2 via HTTP/HTTPS para servidores controlados | | [[t1547-boot-autostart\|T1547]] | Boot/Autostart | Persistência via registro Windows Run key | | [[t1113-screen-capture\|T1113]] | Screen Capture | DustySky capturando screenshots periodicos | | [[t1056-input-capture\|T1056]] | Input Capture | Keylogging via DustySky RAT | ## Vitimas e Alvos O [[g0021-molerats]] direcionou a Operation Moonlight contra: - **Organizacoes governamentais israelenses**: Entidades burocraticas e de administracao pública - **Autoridades palestinas**: Entidades da Autoridade Palestina e grupos politicos - **Governos do Oriente Medio**: Egito, Arabia Saudita, Jordania - **Midia e jornalismo**: Organizacoes de midia com cobertura do conflito Israel-Palestina - **Diaspora arabe nos EUA e Europa**: Individuos com conexoes politicas na regiao ## Relevância LATAM O impacto direto para o Brasil e LATAM e nulo. No entanto, a Operation Moonlight demonstra um modelo de operação relevante: > [!latam] Contexto Brasil e LATAM > O modelo do **Gaza Cybergang** - espionagem de baixo custo com malware open-source modificado direcionado a conflitos regionais específicos - e analogo ao **Blind Eagle** (APT-C-36) que opera em LATAM. Ambos os grupos utilizam RATs como Quasar e NjRAT adaptados para seus contextos regionais, demonstrando que espionagem efetiva nao requer capacidades zero-day. O Congresso brasileiro e entidades diplomaticas da regiao enfrentam ameaças similares de grupos politicamente motivados. ## Mitigação e Detecção - **Treinamento de conscientizacao** sobre phishing com iscos de conflitos politicos regionais - **Restricao de macros** em documentos Office recebidos por e-mail - **Monitoramento de trafego C2** para padroes HTTP/HTTPS incomuns do DustySky - **EDR com detecção de RATs conhecidos**: Quasar RAT e Poison Ivy tem assinaturas bem documentadas - **Análise de e-mails inbound** para detectar documentos Office com macros de fontes externas - Aplicar [[m1049-antivirus-endpoint-protection]] e [[m1031-network-intrusion-prevention]] ## Referências - [Check Point Research - DustySky Campaign (2016)](https://research.checkpoint.com/2016/dustysky/) - [Check Point - DustySky Part 2 Analysis](https://research.checkpoint.com/2016/dustysky-2/) - [MITRE ATT&CK - Gaza Cybergang (G0049)](https://attack.mitre.org/groups/G0049/) - [MITRE ATT&CK - Molerats (G0021)](https://attack.mitre.org/groups/G0021/)