apt33 - RunkIntel

# APT33 > [!danger] APT Estatal — Irã > **APT33** (MITRE G0064), também conhecido como **Elfin** ou **Peach Sandstorm**, é um grupo de espionagem e sabotagem iraniano com foco em setores de energia, defesa e aeroespacial. Associado a campanhas de wipers destrutivos contra infraestrutura crítica no Oriente Médio. ## Visão Geral APT33 é um grupo de ameaça persistente avançada atribuído ao Irã, com foco estratégico em setores de energia (petróleo e gás), aeroespacial e defesa. O grupo opera tanto para fins de espionagem quanto de sabotagem, com capacidade documentada de implantação de wipers destrutivos — incluindo ligações reportadas ao malware Shamoon e ao wiper DUSTMAN. O grupo utiliza spear phishing temático com falsas ofertas de emprego no setor aeroespacial e de defesa, um vetor especialmente eficaz contra recrutadores e profissionais de RH. Em campanhas recentes (2023-2024), o APT33 foi identificado em ataques de password spray contra organizações de defesa e governo nos EUA e Emirados Árabes, buscando comprometer VPNs e sistemas de e-mail. Para o Brasil e a América Latina, o APT33 representa risco para empresas do setor de energia (especialmente petróleo e gás) com presença no Oriente Médio, e para organizações com parceiros em países-alvo como Arábia Saudita e EUA. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nLinkedIn / Job Boards] --> B[Acesso Inicial\nSpear Phishing\nFalsa oferta emprego] B --> C[Execução\nDroppers customizados\nPowerShell] C --> D[Persistência\nBackdoor NANOCORE\nScheduled Tasks] D --> E[Movimentação Lateral\nPassword Spray VPN\nCredenciais roubadas] E --> F[Impacto\nEspionagem industrial\nWiper destrutivo] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Spear Phishing | [[t1566-phishing\|T1566]] | Falsas ofertas de emprego aeroespacial | | Força Bruta | [[t1110-brute-force\|T1110]] | Password spray contra VPNs e e-mail | | Contas Válidas | [[t1078-valid-accounts\|T1078]] | Credenciais comprometidas via spray | | Wiper / Destrutivo | [[t1486-data-encrypted-for-impact\|T1486]] | Shamoon / DUSTMAN em ICS | | Exploração de Serviços | [[t1190-exploit-public-facing-application\|T1190]] | VPNs sem MFA, Citrix | ## Detecção e Defesa - Implementar MFA em todos os serviços VPN e webmail - Monitorar tentativas repetidas de autenticação (padrão de password spray) - Aplicar [[m1032-multi-factor-authentication|M1032]] com bloqueio de contas após tentativas falhas - Segmentar redes de sistemas OT/ICS do ambiente corporativo - Consultar [[ds0028-logon-session|DS0028]] para detecção de logins de geolocalização incomum ## Referências - MITRE ATT&CK: [APT33 G0064](https://attack.mitre.org/groups/G0064/) - Mandiant: APT33 Targeting Aerospace and Energy (2017) - Microsoft MSTIC: Peach Sandstorm password spray campaigns (2023) - CISA Advisory: Iranian APT33 Targeting US Defense (2024) - Secureworks: MAGNALLIUM / Elfin threat profile (2019)