g0123-volatile-cedar

# Volatile Cedar ## Visão Geral **Volatile Cedar** (rastreado como **Lebanese Cedar** pela ClearSky Cyber Security) é um grupo de ameaça libanês com suspeita de afiliação à **Unidade Cibernética do Hezbollah**, ativo desde pelo menos 2012. O grupo conduz espionagem cibernética de longa duração com foco em indivíduos e organizações de interesse estratégico para o Líbano e aliados. Em 2021, a ClearSky revelou uma campanha massiva em que o Volatile Cedar comprometeu **mais de 250 servidores em todo o mundo** através da exploração sistemática de vulnerabilidades públicas no **Atlassian Confluence** ([[cve-2019-3396|CVE-2019-3396]]) e **Atlassian Jira** ([[cve-2019-11581|CVE-2019-11581]]), além de vulnerabilidades antigas no **Oracle E-Business Suite** ([[cve-2012-3152|CVE-2012-3152]]). A campanha foi notável por sua **escala global e furtividade operacional** - servidores comprometidos desde 2015 sem detecção. O grupo utiliza dois backdoors principais: [[s0572-caterpillar-webshell|Caterpillar V2]] (WebShell para acesso persistente via web) e [[s0569-explosive|Explosive V4]] (RAT com capacidades avançadas de evasão). **Também conhecido como:** Volatile Cedar, Lebanese Cedar, CEDAR, G0123 ## Attack Flow - Exploração Web e Persistência Furtiva ```mermaid graph TB A["🔍 Reconhecimento Ativo T1595.002 Vuln Scanning T1595.003 Wordlist Scan"] --> B["💥 Exploit Web Applications CVE-2019-3396 Confluence CVE-2019-11581 Jira"] B --> C["🐚 Caterpillar V2 WebShell T1505.003 - Acesso persistente via HTTP"] C --> D["📥 Explosive V4 RAT T1105 Ingress Transfer Anti-debug + comúnicação criptografada"] D --> E["🔓 Coleta de Credenciais T1078 Valid Accounts Movimento lateral interno"] E --> F["📤 Exfiltração Seletiva T1041 C2 Channel Dados estratégicos de longo prazo"] classDef recon fill:#1a5276,color:#fff,stroke:#154360 classDef exploit fill:#c0392b,color:#fff,stroke:#922b21 classDef webshell fill:#e74c3c,color:#fff,stroke:#c0392b classDef rat fill:#e67e22,color:#fff,stroke:#d35400 classDef cred fill:#8e44ad,color:#fff,stroke:#6c3483 classDef exfil fill:#196f3d,color:#fff,stroke:#145a32 class A recon class B exploit class C webshell class D rat class E cred class F exfil ``` > [!warning] 250+ Servidores Comprometidos Globalmente > A campanha de 2021 revelou comprometimentos que datavam de 2015 - seis anos de acesso furtivo. O grupo priorizou telecomúnicações, tecnologia e defesa nos EUA, Reino Unido e Oriente Médio. A escala e duração são indicativas de uma operação de inteligência estatal bem financiada. ## Arsenal de Malware ### Caterpillar V2 (WebShell) O [[s0572-caterpillar-webshell|Caterpillar V2]] é o WebShell de acesso inicial e manutenção de presença: - Implantado via exploração de vulnerabilidades em aplicações web (Confluence, Jira, Oracle) - Oferece acesso remoto persistente sem necessidade de credenciais de sistema operacional - Versão 2 inclui capacidades de bypass de soluções WAF e ofuscação de tráfego - Executado como processo do servidor web - difícil de distinguir de tráfego legítimo - Permite upload/download de arquivos e execução de comandos no servidor comprometido ### Explosive V4 (RAT Full-Featured) O [[s0569-explosive|Explosive V4]] é o RAT de segunda etapa para comprometimento profundo: ```mermaid graph TB A["Explosive V4 Init Deploy via Caterpillar WebShell staging"] --> B["Anti-Debug Verifica ambiente sandbox Auto-termina se detectado"] B --> C["Comúnicação C2 Tráfego criptografado HTTPS com custom headers"] C --> D["Coleta de Dados Keylogging + screenshots Enumeração de arquivos"] D --> E["Persistência Registro do Windows Serviço de sistema"] style A fill:#c0392b,color:#fff style B fill:#7f8c8d,color:#fff style C fill:#1a5276,color:#fff style D fill:#8e44ad,color:#fff style E fill:#196f3d,color:#fff ``` **Capacidades documentadas do Explosive V4:** - Keylogging e captura de screenshots - Enumeração de processos, arquivos e configuração de rede - Upload e download de arquivos para C2 - Execução de comandos com output retornado ao operador - Técnicas anti-análise para evasão de sandboxes e EDRs - Comúnicação criptografada com infraestrutura C2 libanesa ## CVEs Explorados | CVE | Produto | CVSS | Tipo | Uso | |-----|---------|------|------|-----| | [[cve-2019-3396\|CVE-2019-3396]] | Atlassian Confluence | 9.8 | RCE - SSTI | Acesso inicial via templaté injection | | [[cve-2019-11581\|CVE-2019-11581]] | Atlassian Jira | 9.8 | RCE - SSTI | Acesso inicial via Server-Side Templaté Injection | | [[cve-2012-3152\|CVE-2012-3152]] | Oracle E-Business Suite | 6.4 | Auth Bypass | Bypass de autenticação em sistemas ERP legados | > [!danger] Exploração de Vulnerabilidades de 2012 > O uso de CVE-2012-3152 indica que o Volatile Cedar explora ativamente sistemas não corrigidos com vulnerabilidades de mais de 10 anos. Organizações que mantêm Oracle E-Business Suite legado ou Atlassian sem patches são alvos em potencial. ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | Vulnerability Scanning | [[t1595-002-vulnerability-scanning\|T1595.002]] | Escaneamento sistemático por CVEs conhecidas | | Wordlist Scanning | [[t1595-003-wordlist-scanning\|T1595.003]] | Força bruta de diretórios e endpoints web | | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | Confluence, Jira, Oracle via CVEs 2012-2019 | | Web Shell | [[t1505-003-web-shell\|T1505.003]] | Caterpillar V2 para persistência pós-exploit | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download de Explosive RAT via WebShell | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Uso de credenciais comprometidas para movimento lateral | | Exfiltration Over C2 Channel | [[t1041-exfiltration-c2\|T1041]] | Exfiltração via canal C2 criptografado do Explosive | ## Setores e Países Afetados na Campanha 2021 | País | Setores | Comprometimentos Confirmados | |------|---------|------------------------------| | **EUA** | Telecomúnicações, Defesa | Alta concentração - múltiplas empresas | | **Egito** | Governo, Telecomúnicações | Vários servidores de ISPs nacionais | | **Jordânia** | Governo, Tecnologia | Entidades relacionadas a segurança regional | | **Arábia Saudita** | Energia, Governo | Organizações com conexões regionais | | **Israel** | Tecnologia, Defesa | Alvos de interesse estratégico | | **Reino Unido** | Tecnologia, Media | Empresas de telecomúnicações | ## Relevância para o Brasil e LATAM Volatile Cedar não possui **histórico documentado de campanhas direcionadas ao Brasil ou LATAM**. Entretanto, a campanha global de 2021 comprometeu servidores em múltiplos continentes - a ausência de confirmação não exclui comprometimento de organizações LATAM com Atlassian Confluence ou Jira expostos. **Relevância prática:** - **Atlassian Confluence/Jira:** amplamente usados por empresas brasileiras de tecnologia - CVE-2019-3396 e CVE-2019-11581 devem ter sido aplicados; auditoria forense é recomendada em instâncias expostas antes de 2020 - **Oracle E-Business Suite:** usado por grandes corporações brasileiras - CVE-2012-3152 em sistemas não migrados representa risco real - **WebShell como persistência:** detecção de WebShells em servidores Atlassian legados deve ser prioridade em setores de telecomúnicações e tecnologia > [!info] Ação Defensiva para o Brasil > Execute auditoria de WebShells em instâncias Atlassian Confluence e Jira que foram expostas à internet entre 2015-2021. A campanha de Volatile Cedar foi silenciosa por anos - comprometimentos podem existir sem alertas visíveis. ## Referências - [1](https://www.clearskysec.com/lebanese-cedar/) ClearSky - Lebanese Cedar APT - Global Lebanese Espionage Campaign (2021) - [2](https://attack.mitre.org/groups/G0123/) MITRE ATT&CK - Volatile Cedar G0123 - [3](https://www.secureworks.com/research/volatile-cedar) Secureworks - Volatile Cedar Technical Analysis - [4](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=Volatile+Cedar) ETDA Thailand - Volatile Cedar Threat Group Card - [5](https://www.bleepingcomputer.com/news/security/lebanese-cedar-hacking-group-breached-telecoms-isps-in-over-30-countries/) BleepingComputer - Lebanese Cedar Hacking Group Breached Telecoms, ISPs in 30+ Countries (2021) - [6](https://www.hhs.gov/sites/default/files/volatile-cedar-apt.pdf) HHS - Volatile Cedar APT Technical Profile