g0083-silverterrier

# SilverTerrier > [!high] Cibercrime Nigeriano de Alta Escala com Foco em Fraude Empresarial > **SilverTerrier** e o maior coletivo de cibercriminosos nigerianos rastreado pela Unit 42, responsavel por mais de **170.700 amostras de malware** e **2,26 milhões de ataques de phishing** contra alvos corporativos em tecnologia, manufatura e educação. O grupo combina RATs comerciais baratos com esquemas de BEC (Business Email Compromise) de alto valor. ## Visão Geral SilverTerrier e um termo coletivo usado pela Unit 42 da Palo Alto Networks para descrever um grupo de cibercriminosos nigerianos que opera desde pelo menos 2014. Diferentemente de grupos APT patrocinados por estados, o SilverTerrier e motivado exclusivamente por ganho financeiro, especializando-se em **Business Email Compromise (BEC)** e roubo de credenciais corporativas em escala industrial. O grupo e notavel pelo volume massivo de operações: a Unit 42 rastreou mais de 480 atores individuais associados ao ecossistema SilverTerrier, com operações cobrindo alvos em tecnologia de alta tecnologia, manufatura, ensino superior e servicos governamentais nos EUA, Europa, Australia e regioes da Africa anglofona. O arsenal tecnico e composto quase exclusivamente por RATs (Remote Access Trojans) comerciais ou de código aberto - [[s0336-nanocore|NanoCore]], [[s0331-agent-tesla|Agent Tesla]], [[s0198-netwire|NETWIRE]], [[darkcomet|DarkComet]] e [[s0447-lokibot|Lokibot]] - obtidos em forums de cibercrime por precos acessiveis. O modelo de negocio do SilverTerrier e a **industrializacao do BEC**: operadores individuais ou em pequenos grupos compram RATs, constroem campanhas de phishing direcionadas e monetizam via transferencias bancarias fraudulentas, roubo de credenciais de acesso corporativo e fraude de fornecedores. Em 2020, o FBI Operations identificou dezenas de atores nigerianos associados ao SilverTerrier em investigacoes de BEC com perdas superiores a centenas de milhões de dólares anuais. ## Evolução Tática 2014-2025 ```mermaid graph TB A["2014-2016 Operacoes iniciais Keyloggers simples + BEC"] --> B["2017-2018 Expansao de arsenal NanoCore + Agent Tesla"] B --> C["2019-2020 Escala industrial 170k+ amostras malware"] C --> D["2021-2023 Sofisticacao tática NETWIRE + Lokibot MaaS"] D --> E["2024-2025 BEC evolução Deepfake + AI phishing"] style A fill:#1a5276,color:#fff style B fill:#2980b9,color:#fff style C fill:#8e44ad,color:#fff style D fill:#c0392b,color:#fff style E fill:#7b241c,color:#fff ``` ## Attack Flow - Campanha BEC Tipica ```mermaid graph TB A["Reconhecimento LinkedIn - CFO/Finance Alvo: tech/manufatura"] --> B["Phishing Inicial Spear-phishing anexo T1566.001 - Documento"] B --> C["Execução RAT Agent Tesla / NanoCore T1204.002 - Malicious File"] C --> D["Persistência Startup via registro Acesso de longo prazo"] D --> E["Coleta de Credenciais Keylogging + browser theft T1657 - Financial Theft"] E --> F["BEC Fraude Email spoofing CFO Transferencia bancaria falsa"] F --> G["Monetização Wire transfer + mule Lavagem Nigeria"] style A fill:#1a5276,color:#fff style B fill:#922b21,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#e67e22,color:#fff style F fill:#117a65,color:#fff style G fill:#145a32,color:#fff ``` ## Arsenal Tecnico | Ferramenta | Categoria | Caracteristicas | |-----------|-----------|----------------| | [[s0336-nanocore\|NanoCore]] | RAT | Gratuito/barato; keylogger, webcam, shell remoto | | [[s0331-agent-tesla\|Agent Tesla]] | Infostealer/RAT | Popular BEC; rouba credenciais de 60+ aplicativos | | [[s0198-netwire\|NETWIRE]] | RAT | Cross-platform; favorito para acesso persistente | | [[darkcomet\|DarkComet]] | RAT | Antigo mas amplamente usado; detectado em variantes | | [[s0447-lokibot\|Lokibot]] | Infostealer | Credenciais de browsers, FTP, VPN, email clients | ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1071-003-mail-protocols|T1071.003 - Mail Protocols]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1071-002-file-transfer-protocols|T1071.002 - File Transfer Protocols]] - [[t1657-financial-theft|T1657 - Financial Theft]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1087-002-domain-account|T1087.002 - Domain Account]] ## Software Utilizado - [[s0336-nanocore|NanoCore]] - [[s0331-agent-tesla|Agent Tesla]] - [[s0198-netwire|NETWIRE]] - [[darkcomet|DarkComet]] - [[s0447-lokibot|Lokibot]] ## Relevância para o Brasil e LATAM > [!medium] Risco Real para Empresas Brasileiras com Exposicao Internacional > SilverTerrier representa ameaça **direta e documentada** ao ecossistema corporativo brasileiro. O grupo tem alvejado específicamente empresas de tecnologia, manufatura e educação - setores em expansao no Brasil. A escala do grupo (480+ atores, 170k amostras) garante que empresas brasileiras com operações internacionais ou comúnicacoes em ingles estao no escopo. Para organizacoes brasileiras, os vetores de risco primarios sao: 1. **Empresas exportadoras e importadoras** - BEC direcionado a transações financeiras internacionais (pagamentos a fornecedores, wire transfers) 2. **Setor de tecnologia e manufatura** - Historicamente os setores mais atacados; empresas brasileiras com clientes nos EUA/Europa sao alvos naturais 3. **Instituicoes de ensino superior** - Universidades com parcerias internacionais ou pesquisa colaborativa sao alvos recorrentes 4. **Departamentos financeiros** - CFOs, controllers e equipes de contas a pagar sao os alvos humanos principais do BEC O ecossistema de RATs utilizado pelo SilverTerrier (NanoCore, Agent Tesla, Lokibot) circula amplamente em forums de cibercrime brasileiros e pode ser replicado por grupos locais. Treinamento anti-phishing e autenticação multifator em sistemas financeiros sao as mitigacoes mais eficazes. ## Detecção e Defesa | Indicador | Técnica | Acao | |-----------|---------|------| | Documentos Office executando PowerShell | T1204.002 | EDR behavioral - bloquear macro Office | | Agent Tesla - conexoes SMTP saindo de hosts | T1071.003 | SIEM alerta - SMTP de processo nao-email | | NanoCore - portas TCP nao padrao | T1071.001 | Firewall egress filtering | | Lokibot - user-agent anomalo em HTTP POST | T1071.001 | Proxy SSL inspection + UEBA | | Email com links Google Drive + .exe ou .doc | T1566.001 | Gateway email filtering | | BEC pattern - solicitacao urgente de wire | T1657 | Processo de verificação fora-banda para pagamentos | **Mitigacoes prioritarias:** MFA em todos os sistemas de email corporativo ([[m1032-multi-factor-authentication|M1032]]), treinamento anti-phishing ([[m1017-user-training|M1017]]) e politica de verificação de transferencias bancarias acima de limites definidos. ## Referências - [1](https://attack.mitre.org/groups/G0083/) MITRE ATT&CK - SilverTerrier (G0083) - [2](https://unit42.paloaltonetworks.com/silverterrier-the-rise-of-nigerian-business-email-compromise/) Unit 42 - SilverTerrier: Rise of Nigerian BEC - [3](https://unit42.paloaltonetworks.com/silverterrier-2019-updates-on-business-email-compromise/) Unit 42 - SilverTerrier 2019: BEC em Escala Industrial - [4](https://www.justice.gov/opa/pr/281-individuals-arrested-worldwide-coordinated-international-enforcement-operation-targeting) DOJ - Operação WireWire: Prisoes BEC Nigerianas