g0047-gamaredon - RunkIntel

# Gamaredon ## Visão Geral **Gamaredon** é um grupo de espionagem cibernética atribuído ao **FSB** (Serviço Federal de Segurança) russo, com foco quase exclusivo na [[Ucrânia]]. Rastreado também como **Primitive Bear**, **ACTINIUM**, **Shuckworm**, **UAC-0010** e **Armageddon**, o grupo opera desde pelo menos 2013 e se tornou um dos atores de ameaça mais prolíficos do conflito russo-ucraniano, especialmente após a invasão em larga escala de fevereiro de 2022. ## Attack Flow - Volume e Persistência ```mermaid graph TB A["📨 Spearphishing em Massa T1566.001 Centenas/mês contra UA"] --> B["📄 Doc Word Armado Templaté de conflito Isca situacional"] B --> C["⚙️ Pteranodon Drop VBScript / PowerShell T1059"] C --> D["🔒 Persistência T1547 Autostart Registry + Scheduled Tasks"] D --> E["🔑 Dump de Credenciais T1003 Mimikatz / LSASS"] E --> F["🔀 Movimento Lateral Credenciais válidas Redes militares / gov"] F --> G["📤 Exfiltração Pteranodon via Telegram e Discord como C2"] classDef phish fill:#c0392b,color:#fff,stroke:#922b21 classDef doc fill:#e74c3c,color:#fff,stroke:#c0392b classDef exec fill:#e67e22,color:#fff,stroke:#d35400 classDef persist fill:#8e44ad,color:#fff,stroke:#6c3483 classDef cred fill:#1a5276,color:#fff,stroke:#154360 classDef lateral fill:#2471a3,color:#fff,stroke:#1a5276 classDef exfil fill:#196f3d,color:#fff,stroke:#145a32 class A phish class B doc class C exec class D persist class E cred class F lateral class G exfil ``` > [!warning] Operações Contínuas - Guerra Híbrida Russa > O Gamaredon é o **grupo mais prolífico** do conflito russo-ucraniano, lançando centenas de campanhas mensalmente. O CERT-UA documenta regularmente novas ondas de ataques coordenadas com operações militares russas em andamento. > [!info] Atribuição - FSB Crimeia > O SBU (Serviço de Segurança da Ucrânia) públicou em 2021 atribuição pública identificando **cinco oficiais do FSB** sediados na Crimeia: Sklianko Oleksandr, Chernykh Mykola, Starchenko Anton, Miroshnichenko Oleksiy e Sushchenko Oleh. ## Perfil Operacional Diferentemente de grupos russos mais sofisticados como o [[g0010-turla|Turla]] ou o [[g0034-sandworm|Sandworm]], o Gamaredon opera com ferramentas relativamente simples, porém em **volume e escala extraordinários**. O grupo é conhecido por lançar centenas de campanhas de spear-phishing mensalmente contra alvos ucranianos, compensando a menor sofisticação técnica com persistência e agressividade operacional. Seus alvos principais incluem funcionários governamentais, militares, serviços de segurança, jornalistas e organizações de infraestrutura crítica na Ucrânia. ## Atribuição e Vínculos com o FSB O Serviço de Segurança da Ucrânia (**SSU/SBU**) públicou em 2021 uma atribuição pública detalhada, identificando cinco oficiais do FSB responsáveis pelas operações do Gamaredon. Os indivíduos são membros do Departamento Operativo-Técnico do FSB, sediado na Crimeia - território ocupado pela Rússia desde 2014. A Microsoft (rastreia como **ACTINIUM**) e o CERT-UA corroboram consistentemente essa atribuição. ## Arsenal Técnico O grupo utiliza principalmente o [[s0147-pteranodon|Pteranodon]], uma família de malware modular com capacidades de backdoor, coleta de arquivos e exfiltração via serviços legítimos como Telegram e Discord. O Gamaredon também desenvolve e itera ferramentas customizadas em VBScript, PowerShell ([[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]]) e .NET. O vetor de entrega primário é spear-phishing com documentos Word armados ([[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]]), frequentemente usando templates de phishing temáticos relacionados ao conflito em andamento. Mecanismos de persistência via autorun ([[t1547-boot-logon-autostart-execution|T1547 - Boot or Logon Autostart Execution]]) e dumping de credenciais ([[t1003-os-credential-dumping|T1003 - OS Credential Dumping]]) são técnicas recorrentes. ## Arsenal Expandido Alem do [[s0147-pteranodon|Pteranodon]], o Gamaredon mantém um ecosistema crescente de ferramentas: - **[[s0147-pteranodon|Pteranodon]]:** Backdoor modular principal com C2 via Telegram e Discord. Coleta arquivos, screenshots, e permite execução remota. - **[[s0686-quietsieve|QuietSieve]]:** Ferramenta de exfiltração focada em documentos de interesse (DOC, XLS, PDF) com persistência via registro - **[[s0685-powerpunch|PowerPunch]]:** Downloader PowerShell com compile-after-delivery ([[t1027-004-compile-after-delivery|T1027.004]]) para evasão de AV - **[[s0332-remcos|Remcos]]:** RAT comercial usado ocasionalmente para acesso remoto avancado - **VBScript/PowerShell customizado:** Ferramentas proprias em [[t1059-005-visual-basic|VBScript]] com junk code insertion para ofuscacao ## Taxonomia de TTPs Gamaredon ```mermaid graph TB A["Acesso Inicial Spearphishing T1566.001 + T1534"] --> B["Execução VBScript T1059.005 Rundll32 T1218.011 WMI T1047"] B --> C["Persistência Autostart T1547 Registry / Scheduled Tasks"] C --> D["Evasão Compile After Delivery T1027.004 Junk Code T1027.016 Masquerading T1036.005"] D --> E["Coleta Screen T1113 Automated T1119 File Discovery T1083"] E --> F["C2 e Exfil Telegram / Discord VNC T1021.005 Custom protocol T1095"] F --> G["Movimento Lateral Internal spearphishing T1534 Removable media T1091"] ``` ## Impacto desde 2022 Desde a invasão russa em fevereiro de 2022, o Gamaredon intensificou drasticamente suas operações, tornando-se parte central da estratégia de guerra híbrida russa. O CERT-UA documenta regularmente novas campanhas do grupo, que visam desde ministérios até unidades militares operacionais. Apesar da sua relativa simplicidade técnica, o impacto operacional é significativo: o volume de intrusões bem-sucedidas representa uma ameaça persistente à soberania informacional ucraniana e à segurança de parceiros que compartilham inteligência com Kiev. ## Relevância para o Brasil e LATAM > [!warning] Ameaça Indireta via Compartilhamento de Inteligência > Gamaredon foca exclusivamente na Ucrânia e em parceiros europeus de Kiev. Porém, Brasil e países latino-americanos que compartilham inteligência sobre conflito russo-ucraniano com aliados europeus ou fornecem apoio diplomático podem constituir alvos secundários. Diplomatas, pesquisadores de segurança internacional e analistas de defesa em LATAM que trabalhem com temas de segurança europeia estão em risco potencial. O risco para Brasil é baixo-médio. Profissionais envolvidos em cooperação diplomática com Ucrânia ou análise de conflitos devem implementar proteção avançada contra phishing e monitoramento de ameaças especializadas. ## Referências - MITRE ATT&CK: G0047 - Gamaredon - SSU Public Attribution Report (2021) - CERT-UA - múltiplos alertas (2022-2025) - Microsoft MSTIC - ACTINIUM - [[g0010-turla|Turla]] - [[g0034-sandworm|Sandworm]] - [[g0007-apt28|APT28]] - [[government]] - [[militares]] - [[critical-infrastructure|critical-infrastructure]]