# Triton Safety Instrumented System Attack ## Descrição Triton Safety Instrumented System Attack foi uma campanha conduzida pelo [[g0088-tempveles|TEMP.Veles]] que utilizou o framework de malware Triton contra uma organização petroquímica. O malware e as técnicas empregadas nesta campanha visavam específicamente os Safety Controllers Triconex presentes no ambiente. O incidente foi eventualmente descoberto devido a um desarme de segurança (safety trip) provocado por uma falha no próprio malware. ## Atores Envolvidos - [[g0088-tempveles|TEMP.Veles]] ## Técnicas Utilizadas - [[t1588-002-tool|T1588.002 - Tool]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - [[t1587-001-malware|T1587.001 - Malware]] - [[t1056-003-web-portal-capture|T1056.003 - Web Portal Capture]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1027-005-indicator-removal-from-tools|T1027.005 - Indicator Removal from Tools]] - [[t1573-encrypted-channel|T1573 - Encrypted Channel]] - [[t1595-active-scanning|T1595 - Active Scanning]] ## Software Utilizado - [[mimikatz|Mimikatz]] --- *Fonte: [MITRE ATT&CK - C0030](https://attack.mitre.org/campaigns/C0030)*