g0055-neodymium - RunkIntel

# NEODYMIUM ## Visão Geral **NEODYMIUM** é um grupo de atividade identificado pela Microsoft que conduziu campanhas de espionagem em **maio de 2016**, com foco intenso em indivíduos turcos. Ao contrário de grupos que visam organizações inteiras, NEODYMIUM é notável por atacar **indivíduos específicos** - dissidentes políticos, jornalistas e figuras de interesse do governo turco residentes na Europa. O grupo ficou conhecido por explorar o mesmo zero-day ([[cve-2016-4117|CVE-2016-4117]]) no Adobe Flash Player simultaneamente com outro grupo chamado [[g0056-promethium|PROMETHIUM]], o que levou a teoria de que os dois grupos têm relação operacional. O backdoor [[s0176-wingbird|Wingbird]] utilizado pelo NEODYMIUM apresenta características que se assemelham fortemente ao **FinFisher**, um spyware comercial de grau governamental desenvolvido pela Gamma Group. **Também conhecido como:** NEODYMIUM, G0055 ## Attack Flow - Espionagem contra Dissidentes Turcos ```mermaid graph TB A["📧 Spear-phishing T1566.001 - E-mail direcionado Anexo RTF/Office em turco"] --> B["💥 Zero-Day Flash CVE-2016-4117 Adobe Flash Player"] B --> C["⬆️ Escalada Privilégios T1068 - Exploit Wingbird deploy"] C --> D["🔒 Persistência T1543.003 Windows Service Audit Service (lsass.exe copy)"] D --> E["💉 Process Injection T1055 - DLL Side-Loading Código em processos legítimos"] E --> F["🔍 Anti-Análise T1518.001 Sec SW Detection Auto-delete payload"] F --> G["📤 Exfiltração Vigilância individual Dados pessoais dissidentes"] classDef phish fill:#c0392b,color:#fff,stroke:#922b21 classDef exploit fill:#e74c3c,color:#fff,stroke:#c0392b classDef priv fill:#e67e22,color:#fff,stroke:#d35400 classDef persist fill:#8e44ad,color:#fff,stroke:#6c3483 classDef inject fill:#1a5276,color:#fff,stroke:#154360 classDef anti fill:#7f8c8d,color:#fff,stroke:#626567 classDef exfil fill:#196f3d,color:#fff,stroke:#145a32 class A phish class B exploit class C priv class D persist class E inject class F anti class G exfil ``` > [!warning] FinFisher-Like Spyware > O [[s0176-wingbird|Wingbird]] utilizado pelo NEODYMIUM apresenta forte similaridade com o FinFisher (FinSpy), software de vigilância governamental. O NEODYMIUM é descrito pela Microsoft como ator com características de grupo de inteligência estatal turco, focado em vigilância de dissidentes. ## Campanha de Maio 2016 Em **maio de 2016**, NEODYMIUM e [[g0056-promethium|PROMETHIUM]] lançaram campanhas paralelas contra alvos turcos usando o mesmo zero-day CVE-2016-4117 no Adobe Flash Player: - **NEODYMIUM** utilizou spear-phishing com anexos maliciosos em e-mail - **PROMETHIUM** utilizou links via instant messengers para documentos com o mesmo exploit - Ambos os grupos tiveram **80% das vítimas localizadas na Turquia**, com casos nos EUA, Alemanha e Reino Unido - Timing simultâneo e localização geográfica das vítimas sugere possível relação operacional > [!info] Relação com PROMETHIUM e BlackOasis > NEODYMIUM e [[g0056-promethium|PROMETHIUM]] compartilham vítimas, campanhas e exploit. O MITRE também registra associação reportada com [[g0063-blackoasis|BlackOasis]], embora sem evidência de que os nomes sejam aliases. Todos os três exibem características de operações de inteligência estatal focadas em vigilância de cidadãos. ## Wingbird - Análise Técnica O [[s0176-wingbird|Wingbird]] (S0176) é a ferramenta assinatura do NEODYMIUM: ```mermaid graph TB A["Wingbird Deploy Via CVE-2016-4117 Flash exploit"] --> B["Service Creation Copia lsass.exe Cria Audit Service"] B --> C["DLL Side-Loading T1574.002 Hijack de DLL legítima"] C --> D["Process Injection T1055 Oculta execução maliciosa"] D --> E["Security SW Detection T1518.001 Detecta e evade AV"] E --> F["Self-Delete T1070.004 Apaga payload pos-exec"] style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#1a5276,color:#fff style E fill:#7f8c8d,color:#fff style F fill:#196f3d,color:#fff ``` **Capacidades do Wingbird:** - Cria serviço de persistência "Audit Service" copiando `lsass.exe` - Obfuscado em nível de código-fonte para dificultar análise - Injeta código em processos legítimos do Windows - Detecta softwares de segurança e evade análise em sandbox - Auto-deleta o payload após execução inicial ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Anexo RTF/Office com exploit Flash | | Exploitation for Privilege Escalation | [[t1068-exploitation-privilege-escalation\|T1068]] | CVE-2016-4117 para elevar privilégios | | Windows Service | [[t1543-003-windows-service\|T1543.003]] | Cria "Audit Service" com lsass.exe | | DLL Side-Loading | [[t1574-002-dll-side-loading\|T1574.002]] | Carrega malware via DLL legítima | | Process Injection | [[t1055-process-injection\|T1055]] | Oculta execução em processos Windows | | File Deletion | [[t1070-004-file-deletion\|T1070.004]] | Remove payload após execução | | Security Software Discovery | [[t1518-001-security-software-discovery\|T1518.001]] | Detecta produtos de segurança instalados | ## Relevância para o Brasil e LATAM NEODYMIUM tem foco **exclusivamente** em indivíduos turcos - não existe evidência de campanhas contra alvos brasileiros ou latino-americanos. A relevância para o Brasil é **negligenciável** exceto para: - Cidadãos turcos residindo no Brasil ou LATAM que sejam de interesse político - Pesquisadores de segurança estudando spyware de grau governamental e ferramentas como FinFisher - Profissionais de inteligência monitorando capacidades de grupos de vigilância estatal A técnica de **ataque a indivíduos** (em vez de organizações) é um vetor menos comum que merece aténção para proteção de jornalistas, ativistas e dissidentes políticos em LATAM que possam ser de interesse de governos regionais. > [!info] Status Operacional > Nenhuma campanha pública documentada após maio de 2016. O grupo pode ter sido desativado, renomeado ou integrado a outra estrutura operacional. Monitoramento de IoCs relevante mas risco direto ao Brasil é baixo. ## Referências - [1](https://www.microsoft.com/en-us/security/blog/2016/12/14/twin-zero-day-attacks-promethium-and-neodymium-target-individuals-in-europe/) Microsoft Security Blog - Twin Zero-Day Attacks: PROMETHIUM and NEODYMIUM (2016) - [2](https://attack.mitre.org/groups/G0055/) MITRE ATT&CK - NEODYMIUM G0055 - [3](https://securityaffairs.com/54451/apt/promethium-neodymium-apts.html) Security Affairs - PROMETHIUM e NEODYMIUM APTs (2016) - [4](https://www.itnews.com.au/news/finfisher-like-government-spyware-found-in-apt-attacks-444726) IT News - FinFisher-like Government Spyware Found in APT Attacks (2016)