g0127-ta551 - RunkIntel

# TA551 > [!warning] TA551 - Distribuidor de Malware como Serviço > O **TA551** (GOLD CABIN, Shathak, Monster Libra) é um grupo de cibercrime financeiro ativo desde pelo menos 2016, especializado em **distribuição de malware por e-mail em escala industrial**. Identificado como operação provavelmente russa, o grupo funcionou como "Malware Distribution as a Service" - distribuindo sistematicamente [[s0650-qakbot|QakBot]], [[s0483-icedid|IcedID]], [[s0476-valak|Valak]] e [[s0386-ursnif|Ursnif]] para dezenas de outros grupos criminosos. Em 2020, o TA551 foi o grupo mais detectado pelo Red Canary em termos de volume, afetando organizações em múltiplos países e setores. ## Visão Geral O **TA551** opera como uma infraestrutura de distribuição de malware altamente organizada. Ao contrário de grupos que desenvolvem suas próprias ferramentas, o TA551 especializa-se em **delivery eficiente de payloads de terceiros**: recebe ou adquire malware de outros operadores criminosos e distribui via campanhas de e-mail em massa com engenharia social sofisticada. **Características operacionais distintivas:** - **Thread hijacking**: o grupo compromete contas de e-mail de vítimas anteriores e usa cópias reais de e-mails legítimos para enviar phishing que parece continuar conversas autênticas - tornando-o extremamente difícil de detectar por filtros de spam - **Arquivos ZIP com senha**: os anexos maliciosos são empacotados em arquivos ZIP protegidos por senha, com a senha no corpo do e-mail - técnica que burla a análise automática de gateways de e-mail - **DGA para infraestrutura C2**: domínios gerados algoritmicamente dificultam o bloqueio e a atribuição - **Evolução constante de payload**: o grupo demonstrou capacidade de trocar rapidamente entre famílias de malware conforme as circunstâncias demandam **Linha do tempo de payloads:** - **2016-2019**: Ursnif/Gozi ISFB (infostealer bancário) - **2020 Q1-Q2**: Valak (downloader, seguido de IcedID) - **2020 Q3-hoje**: IcedID/BokBot como payload principal - **Out 2021**: Sliver (red team framework) integrado ao arsenal O TA551 foi o threat actor de maior volume detectado pelo **Red Canary em 2020**, com 55 analytics distintos disparando para atividade do grupo - reflexo do alcance industrial das campanhas. ```mermaid graph TB A["Compromisso Inicial Conta de email de vítima prévia Thread hijacking - T1589.002"] --> B["Envio de Malspam ZIP protegido por senha Documento Word com macro"] B --> C["Execução da Macro VBA obfuscado Mshta ou Regsvr32 - T1218.005"] C --> D["Download DLL PHP script no C2 DGA URL - T1568.002"] D --> E["IcedID / QakBot Injeção em msiexec Persistência via Registry"] E --> F["Pós-comprometimento Roubo de credenciais bancárias Venda ou uso direto"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#922b21,color:#fff style D fill:#7b241c,color:#fff style E fill:#8e44ad,color:#fff style F fill:#196f3d,color:#fff ``` ## Campanhas e Atividades Documentadas ### Thread Hijacking em Escala (2018-2026) O TA551 estabeleceu um modelo de **thread hijacking** que permanece eficaz anos após sua introdução: 1. O grupo compromete uma conta de e-mail de uma vítima anterior 2. Copia conversas reais de e-mail do histórico da caixa de entrada 3. Responde à conversa original com um anexo ZIP malicioso e senha no corpo 4. O destinatário recebe um e-mail que parece legítimo - mesmo remetente, mesmo assunto, contexto de negócio real Esta técnica tornou o TA551 especialmente difícil de bloquear por gateways de e-mail, pois os e-mails originam de remetentes conhecidos e têm conteúdo contextualizado. ### Expansão Geográfica (2020-2022) Inicialmente focado em anglófonos, o TA551 expandiu para: - **Alemão** (templates e isca em alemão) - 2020 - **Italiano** - 2020 - **Japonês** - Oct-Nov 2020 (alvos específicos Japão, depois retorno ao inglês) - **Português** (não documentado formalmente, mas risco real) ### Adoção de Sliver (Out 2021) Em outubro de 2021, o Proofpoint documentou o TA551 usando [[s0633-sliver|Sliver]] - um framework de red team open-source - como payload pós-comprometimento, demonstrando adaptação às novas preferências do mercado criminoso. ## Arsenal | Ferramenta | Tipo | Período de Uso | |-----------|------|---------------| | [[s0386-ursnif\|Ursnif/Gozi ISFB]] | Banking trojan | 2016-2020 Q2 | | [[s0476-valak\|Valak]] | Downloader modular | 2020 Q1-Q2 | | [[s0483-icedid\|IcedID/BokBot]] | Banking trojan | 2020 Q3-hoje | | [[s0650-qakbot\|QakBot]] | Banking trojan | 2021+ | | [[s0633-sliver\|Sliver]] | C2 Framework | 2021+ | ## Linha do Tempo ```mermaid timeline title TA551 - Evolução Operacional 2016 : Primeiras atividades como GOLD CABIN : Foco em Ursnif/Gozi ISFB 2018 : Thread hijacking como técnica principal : Expansão de volume de campanhas 2020-Q1 : Migração para Valak como downloader : IcedID como payload secundário frequente 2020-Q3 : IcedID exclusivo - abandono do Valak : Expansão para alemão e italiano 2020-Q4 : Campanhas em japonês (Japão alvo primário) : Identificado como maior ameaça Red Canary 2020 2021-Q4 : Adoção de Sliver red team framework : QakBot integrado ao arsenal 2022 : Takedown global do QakBot Operation Duck Hunt : Continuidade com IcedID e adaptações 2024-2026 : Atividade contínua - novas campanhas documentadas ``` ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Reconnaissance | Email Addresses | [[t1589-002-email-addresses\|T1589.002]] | Coleta de endereços via hosts previamente infectados | | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | ZIP protegido por senha com documento Word malicioso | | Execution | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | Vítima abre documento com macros VBA | | Execution | Mshta | [[t1218-005-mshta\|T1218.005]] | Uso de Mshta.exe para baixar e executar payload | | Execution | Regsvr32 | [[t1218-010-regsvr32\|T1218.010]] | Proxy de execução via regsvr32.exe | | Execution | Rundll32 | [[t1218-011-rundll32\|T1218.011]] | Execução de DLL maliciosa via rundll32 | | Defense Evasion | Steganography | [[t1027-003-steganography\|T1027.003]] | Payload IcedID embebido em imagem PNG | | Defense Evasion | Command Obfuscation | [[t1027-010-command-obfuscation\|T1027.010]] | Macros VBA obfuscados para evadir análise | | Defense Evasion | Masquerading | [[t1036-masquerading\|T1036]] | Mshta.exe renomeado para disfarçar execução | | C2 | Domain Generation Algorithms | [[t1568-002-domain-generation-algorithms\|T1568.002]] | DGA para gerar URLs de C2 rotativas | | C2 | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | HTTP POST para transmissão de dados ao C2 | ## Relevância para o Brasil e LATAM > [!warning] Risco de Expansão para Português > O TA551 já demonstrou capacidade de adaptar campanhas para múltiplos idiomas (inglês, alemão, italiano, japonês). A **ausência de campanhas documentadas em português não indica ausência de risco** - significa que o grupo pode expandir para o mercado lusófono a qualquer momento usando as mesmas infraestruturas. Organizações financeiras brasileiras e empresas manufatureiras são perfil exato do alvo histórico do grupo. **Vetores de risco específicos para o Brasil:** - **Thread hijacking em português**: empresas que tiveram contas de e-mail comprometidas por outros vetores podem inadvertidamente servir de plataforma para campanhas TA551 em português - **Banking trojans adaptados**: IcedID e QakBot possuem capacidades de web injection configuráveis - podem ser adaptados para bancos brasileiros - **Setor manufatureiro**: o perfil industrial do Brasil (metalurgia, agronegócio, automotivo) replica exatamente os alvos históricos do grupo na Europa e Japão - **PMEs brasileiras**: organizações com controles de e-mail menos robustos são alvos de oportunidade para campanhas em escala industrial ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | Arquivos ZIP com senha em e-mails de remetentes conhecidos | Gateway de e-mail: alerta em ZIP com senha de remetentes de histórico suspeito | | Documentos Word com macros VBA obfuscados | EDR: análise comportamental de macros; bloqueio de macros em documentos de internet | | mshta.exe ou regsvr32.exe lançados por winword.exe | SIEM: alerta processo filho incomum de Office | | DLL carregada de %TEMP% com nome numérico longo | EDR: carregamento de DLL anônima de pasta temporária | | Msiexec.exe com argumento de arquivo MSI inexistente | SIEM: msiexec com MSI path que não existe em disco | | Conexões HTTP POST para domínios DGA recentes | DNS/Firewall: lista de bloqueio de DGAs conhecidos (TA551 DGA) | ## Referências - [1](https://attack.mitre.org/groups/G0127/) MITRE ATT&CK - G0127 TA551 GOLD CABIN (2024) - [2](https://unit42.paloaltonetworks.com/ta551-shathak-icedid/) Unit 42 - TA551 Switches to IcedID (2021) - [3](https://redcanary.com/threat-detection-report/threats/ta551/) Red Canary - TA551 Threat Detection Report 2021 - [4](https://www.proofpoint.com/us/blog/security-briefs/ta551-uses-sliver-red-team-tool-new-activity) Proofpoint - TA551 Uses Sliver Red Team Tool (2021) - [5](https://www.secureworks.com/research/threat-profiles/gold-cabin) Secureworks - GOLD CABIN Threat Profile (2024) - [6](https://malpedia.caad.fkie.fraunhofer.de/actor/gold_cabin) Malpedia - GOLD CABIN Actor Profile (2024) **Malware usado:** [[s0650-qakbot|QakBot]] · [[s0483-icedid|IcedID]] · [[s0476-valak|Valak]] · [[s0386-ursnif|Ursnif]] · [[s0633-sliver|Sliver]] **TTPs:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1568-002-domain-generation-algorithms|T1568.002]] · [[t1218-005-mshta|T1218.005]] · [[t1027-003-steganography|T1027.003]] · [[t1036-masquerading|T1036]] **Setores:** [[financial|Financeiro]] · [[manufacturing|Manufatura]] · [[healthcare|Saúde]] · [[technology|Tecnologia]] **Relacionados:** [[g0046-fin7|FIN7]] · [[g0080-cobalt-group|Cobalt Group]]