g0036-gcman - RunkIntel

# GCMAN > **GCMAN** é um grupo de ameaças financeiramente motivado, de origem russa, especializado em **assaltos a bancos via manipulação silenciosa de transações SWIFT** para transferência de fundos a serviços de e-currency. Descoberto pela **Kaspersky Lab em 2016**, o grupo é notável pelo uso de **cron scripts em servidores bancários** para automatizar transferências fraudulentas - uma inovação tática que o distingue de contemporâneos como [[g0008-carbanak]] e [[apt-fin7|FIN7]]. --- ## Visão Geral | Campo | Valor | |-------|-------| | **Origem** | Rússia | | **Motivação** | Financeiro - roubo bancário via SWIFT | | **Descoberta** | Kaspersky Lab, fevereiro 2016 | | **Alvos** | Bancos e instituições financeiras | | **Método Central** | Cron scripts em servidores bancários → transferências automáticas | | **Valor Típico Transferido** | ~USD 200/minuto em pico de operação | | **Nome GCMAN** | Derivado do compilador **GCC** usado para compilar o malware | --- ## Attack Flow - Monetização via Cron Scripts ```mermaid graph TB A["📧 Spearphishing RAR disfarçado de .doc Acesso bancário"] --> B["💀 Malware GCC Compilado customizado Zero-day banking malware"] B --> C["🔌 Network Foothold T1566 / T1204 Workstation comprometida"] C --> D["🔑 Lateral Movement T1021 SSH/VNC/RDP Para servidor de pagamento"] D --> E["⚙️ Cron Job Implant Script automatizado Execução a cada minuto"] E --> F["💸 Monetização SWIFT USD 200/min para Contas e-currency"] classDef phish fill:#c0392b,color:#fff,stroke:#922b21 classDef malware fill:#8b0000,color:#fff,stroke:#660000 classDef foothold fill:#e67e22,color:#fff,stroke:#d35400 classDef lateral fill:#8e44ad,color:#fff,stroke:#6c3483 classDef cron fill:#2980b9,color:#fff,stroke:#1a5276 classDef money fill:#196f3d,color:#fff,stroke:#145a32 class A phish class B malware class C foothold class D lateral class E cron class F money ``` ## Contexto e Atribuição GCMAN foi identificado pela Kaspersky em fevereiro de 2016 como parte de um relatório sobre uma nova onda de **ataques APT a bancos russos**, ao lado dos grupos [[g0008-carbanak]] 2.0 e Metel. A atribuição à Rússia é baseada em: - Infraestrutura de C2 e padrões de operação compatíveis com grupos russos - Foco exclusivo em alvos do setor financeiro russo - Uso do compilador GCC com padrões de código consistentes com desenvolvedores russos - Sobreposição tática com o ecossistema Carbanak/FIN7 > O nome **GCMAN** foi cunhado pela Kaspersky a partir do compilador GCC (GNU Compiler Collection) identificado nos binários maliciosos. --- ## Métodologia de Ataque ### Fase 1: Acesso Inicial - Spear-phishing ``` Email malicioso → Arquivo RAR disfarçado como .doc → Execução abre malware GCC compilado → Implante na máquina da vítima ``` - Emails altamente direcionados para funcionários de bancos com acesso a sistemas financeiros - Arquivos RAR com nomes convincentes de documentos corporativos - Malware customizado compilado com GCC - sem assinatura em bancos de dados AV ### Fase 2: Movimentação Lateral - Ferramentas Legítimas O grupo reutiliza ferramentas de administração legítimas para evitar detecção: | Ferramenta | Uso | |------------|-----| | **PuTTY (SSH)** | Acesso remoto a servidores Linux/Unix | | **VNC** | Acesso remoto visual a workstations Windows | | **Meterpreter** | Framework de exploração para movimentação lateral | | **RDP** | Remote Desktop para navegação na rede interna | | **Pass-the-Hash** | Reutilização de hashes de senhas para autenticação lateral | Esta técnica de "Living off the Land" com ferramentas legítimas dificulta significativamente a detecção por soluções EDR e SIEM. ### Fase 3: Implantação em Servidor Bancário O objetivo final é obter acesso a **servidores com acesso direto a sistemas de pagamento**: - Servidores que processam transações SWIFT - Sistemas de pagamento upstream conectados a serviços de e-currency (WebMoney, Yandex Money) ### Fase 4: Monetização via Cron Scripts **Inovação tática distintiva do GCMAN:** ```bash # Exemplo conceitual do padrão de cron script do GCMAN */1 * * * * /path/to/transfer_script --amount=200 --dest=webmoney_account --src=bank_account ``` - Cron scripts implantados diretamente nos servidores de pagamento - Executados a cada minuto - transferindo ~**USD 200/minuto** para contas de e-currency controladas pelo grupo - Transferências em pequenos valores para evitar alertas de monitoramento de fraude - Uso de contas WebMoney e Yandex Money (serviços russos de pagamento eletrônico) para lavagem > Esta abordagem via cron jobs é uma evolução significativa: em vez de manipular transações individualmente, o grupo **automatiza completamente a exfiltração financeira**, reduzindo a exposição operacional. --- ## Comparação com Grupos Contemporâneos | Aspecto | GCMAN | [[g0008-carbanak]] | [[apt-fin7\|FIN7]] | |---------|-------|----------|------| | **Motivação** | Bancos SWIFT | Bancos/varejo | Varejo/POS/hospitality | | **Método** | Cron scripts | SWIFT/ATM jáckpotting | POS malware | | **Região** | Rússia | Global | América do Norte | | **Ferramentas** | GCC malware + legítimas | Carbanak backdoor | Carbanak + custom | | **Rastreamento MITRE** | G0036 (distinto) | G0008 | G0046 | GCMAN compartilha **sobreposições táticas** com Carbanak e FIN7 (spear-phishing, movimentação lateral, keylogging, C2) mas é rastreado de forma independente pelo MITRE, pois usa malware distinto (compilado GCC) e métodologia de monetização única. --- ## Relevância para o Brasil e LATAM > [!danger] Risco CRÍTICO a Bancos SWIFT > Embora GCMAN tenha sido documentado focando em bancos russos, sua **métodologia de cron scripts em servidores SWIFT** é diretamente aplicável a infraestrutura bancária brasileira e latino-americana. Bancos conectados ao SWIFT no Brasil (Banco do Brasil, CEF, Bradesco, Itaú) representam **alvos de alto valor** para grupos com TTP similar. O modelo de monetização automática via cron jobs é particularmente sofisticado: transferências de pequeno valor (USD 200/minuto) evitam gatilhos de fraude tradicional enquanto acumulam valores massivos (USD 288.000/dia). Grupos financeiros LATAM como [[s0531-grandoreiro]] e [[mekotio]] já demonstraram capacidade de infiltração lateral em redes bancárias; a adoção da técnica de cron scripts tornaria os ataques **muito mais lucrativos e menos detectáveis**. **Recomendação crítica**: (1) Auditar todos os cron jobs em servidores de pagamento e SWIFT; (2) Monitorar uso de SSH, VNC e RDP em workstations com acesso a sistemas de pagamento; (3) Implementar detecção comportamental de transferências em padrão inesperado; (4) Segmentar servidores SWIFT em VLAN isolada com acesso remoto restrito e auditado. --- ## Defesas e Detecções - **[[t1021-004-ssh|T1021.004 - SSH]]**: Alertar em conexões SSH de workstations para servidores de pagamento - **Cron job auditing**: Monitorar criação/modificação de crontabs em servidores críticos - **Behavioral analytics**: Detectar padrão de transferências de pequeno valor em alta frequência - **Network segmentation**: Isolar servidores SWIFT/pagamento de redes de usuário - **Tool inventory**: Bloquear PuTTY/VNC/Meterpreter em servidores de produção --- ## Referências - [Kaspersky - GCMAN: New Era of Banking Heists (2016)](https://securelist.com/gcman/74986/) - [MITRE ATT&CK - G0036](https://attack.mitre.org/groups/G0036/) - [APT ETDA - GCMAN Profile](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=GCMAN) - Relacionado: [[g0008-carbanak]], [[apt-fin7|FIN7]], [[metel]], [[g0032-lazarus-group]] (ataques SWIFT Bangladesh)