# Versa Director Zero Day Exploitation ## Descrição Versa Director Zero Day Exploitation foi uma campanha conduzida pelo [[g1017-volt-typhoon|Volt Typhoon]] entre o início de junho e agosto de 2024, mediante exploração zero-day de servidores Versa Director que controlavam aplicações de rede de área ampla definida por software (SD-WAN). Rastreada posteriormente como CVE-2024-39717, a exploração concentrou-se na captura de credenciais em servidores Versa Director comprometidos em provedores de serviços gerenciados (MSPs) e provedores de serviços de internet (ISPs), com o objetivo de viabilizar acesso subsequente aos clientes desses provedores. A campanha foi sucedida pela implantação do web shell [[s1154-versamem|VersaMem]], utilizado tanto para roubo de credenciais quanto para execução de código adicional. ## Atores Envolvidos - [[g1017-volt-typhoon|Volt Typhoon]] ## Técnicas Utilizadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1584-008-network-devices|T1584.008 - Network Devices]] - [[t1056-input-capture|T1056 - Input Capture]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1587-001-malware|T1587.001 - Malware]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] ## Software Utilizado - [[s1154-versamem|VersaMem]] --- *Fonte: [MITRE ATT&CK - C0039](https://attack.mitre.org/campaigns/C0039)*