g1001-hexane - RunkIntel

# HEXANE > [!danger] Ameaça Critica - Infraestrutura de Petroleo, Gas e Telecom > HEXANE (também rastreado como Lyceum, Siamesekitten e Spirlin) e um grupo de espionagem iraniano ativo desde 2017, especializado em comprometer operadoras de **petroleo e gas, telecomúnicacoes e aviacao** no Oriente Medio e Africa. O grupo usa **password spraying e DNS tunneling** como assinaturas operacionais e implantou backdoors customizados (DanBot, Shark, Milan) em alvos de infraestrutura critica em Israel, Kuwait, Arabia Saudita, Marrocos e Tunisia. ## Visão Geral O **HEXANE** e um grupo de espionagem cibernética com nexo ao governo iraniano, identificado independentemente por Dragos (como HEXANE), SecureWorks (como Lyceum/Cobalt Lyceum) e ClearSky (como Siamesekitten). Apesar dos diferentes nomes, a comunidade de inteligência converge em atribuir ao mesmo ator os ataques a organizacoes de **petroleo e gas, telecomúnicacoes, aviacao e ISPs** desde pelo menos meados de 2017. O grupo apresenta sobreposicoes técnicas com [[g0064-apt33|APT33]] e [[g0049-oilrig|OilRig]], mas e rastreado como entidade separada em razao de diferencas nas vitimas, ferramentas e cadeia de comprometimento. O HEXANE demonstra **interesse nao apenas em dados corporativos** mas potencialmente em sistemas de controle industrial (ICS/OT) como objetivo de longo prazo - o acesso ao ambiente de TI e tipicamente o precursor para ataques a sistemas OT em infraestrutura critica. A assinatura operacional do grupo inclui **password spraying em contas corporativas**, seguido de spear-phishing a partir de contas comprometidas para alvos executivos, e implantação de backdoors com capacidade de **DNS tunneling** para comunicação coberta com C2. ## Attack Flow - Espionagem de Infraestrutura Critica ```mermaid graph TB A["Reconhecimento T1589 identidade T1585 contas sociais"] --> B["Password Spraying T1110.003 spray em contas corporativas"] B --> C["Spear-phishing Interno T1586 contas comprometidas enviando lures a executivos"] C --> D["Entrega de Malware T1204 arquivo malicioso DanBot / Shark / Milan"] D --> E["Persistência T1053 scheduled task WMI subscriptions"] E --> F["Credential Harvest T1555 password stores Mimikatz + spray adicional"] F --> G["Exfiltração Coberta T1071.004 DNS tunneling cloud storage"] style A fill:#1a3a5c,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2980b9,color:#fff style F fill:#16a085,color:#fff style G fill:#196f3d,color:#fff ``` ## Visão Geral do Arsenal ```mermaid pie title Distribuição por Tipo de Ferramenta "Backdoors customizados" : 45 "Ferramentas de credential harvesting" : 30 "Frameworks publicos (Empire)" : 15 "Utilitarios recon" : 10 ``` ## Campanhas e Operacoes Notaveis | Data | Operação | Vitimas | Detalhe | |------|---------|---------|---------| | 2018-2019 | Campanha Kuwait | Petroleo e gas no Kuwait | Primeira documentacao pelo Dragos; uso de DanBot | | Jul-Out 2021 | Campanha ISPs | Operadoras em Israel, Marrocos, Tunisia, Arabia Saudita | Accenture/Prevailion reportam foco em telecomúnicacoes | | 2021 | Tunisia | Duas entidades tunizianas | Kaspersky Securelist: "Lyceum Group Reborn" | | Mar 2022 | Israel (Ucrania lure) | Empresa de energia israelense | Email com tema "crimes de guerra russos na Ucrania" como isca | | Jun 2022 | DNS Backdoor | Infraestrutura global | Zscaler relata novo backdoor .NET com DNS tunneling | | 2024-2025 | Campanha Adobe Updaté | Empresas de petroleo MENA | Malware disfarado de atualização Adobe - Certfa Radar | ## Arsenal Tecnico | Ferramenta | Tipo | Caracteristicas | |-----------|------|----------------| | [[s1014-danbot\|DanBot]] | Backdoor primario | Modular; DNS tunneling; C# e .NET; envia beacons regulares ao C2 | | [[s1019-shark\|Shark]] | Backdoor (Lyceum) | 32-bit C#/.NET; configuração para DNS tunneling ou HTTP C2 | | [[s1015-milan\|Milan]] | RAT (Lyceum) | 32-bit RAT; recupera dados e exfiltra para C2 | | [[s1021-dnssystem\|DnsSystem]] | Backdoor DNS | Tunelamento DNS customizado para comunicação coberta | | DanDrop | Dropper | Entrega inicial do DanBot; documents Office maliciosos | | Get-LAPSP.ps1 | Script PowerShell | Coleta dados do Active Directory via LDAP após comprometimento | | Decrypt-RDCMan.ps1 | Script de recon | Decripta credenciais RDCMan armazenadas | | [[s0363-empire\|Empire]] | Framework C2 | Framework PowerShell público para pos-exploração | | [[mimikatz\|Mimikatz]] | Credential harvesting | Dump de credenciais LSASS e hash dumping | ## TTPs em Detalhe ### Acesso Inicial e Reconhecimento - Coleta de identidades corporativas via fontes abertas ([[t1589-gather-victim-identity-information|T1589]]), LinkedIn e databases de negocios - **Password spraying** ([[t1110-003-password-spraying|T1110.003]]) contra contas de email e sistemas web corporativos - Comprometimento de contas de email ([[t1586-002-email-accounts|T1586.002]]) para lancar spear-phishing interno confiavel ### Execução e Entrega - Spear-phishing com attachments maliciosos ([[t1566-001-spearphishing-attachment|T1566.001]]) - documentos com temas de negocios, energia, compliance - Exploitacao de CVE-2021-40444 (MSHTML) em campanha de 2021 - Uso de arquivos Excel e Word com macros para entregar DanBot/DanDrop ### Persistência e C2 - Scheduled tasks ([[t1053-005-scheduled-task|T1053.005]]) para persistência após implantação - **DNS tunneling** como canal C2 primario ([[t1071-004-dns|T1071.004]]) - alta evasão de firewalls - WMI Event Subscriptions ([[t1546-003-windows-management-instrumentation-event-subscription|T1546.003]]) ### Coleta e Exfiltração - Credential harvesting de password managers e arquivos ([[t1555-credentials-from-password-stores|T1555]]) - Exfiltração para cloud storage (SendGB, OneDrive) ([[t1567-002-exfiltration-to-cloud-storage|T1567.002]]) - Reconhecimento interno: descoberta de sistemas ([[t1018-remote-system-discovery|T1018]]), usuarios, software ## Relevância para o Brasil e LATAM > [!warning] Alerta Setorial - Petroleo, Gas e Telecom > HEXANE representa ameaça direta ao **setor de petroleo e gas no Brasil e LATAM** - o principal foco historico do grupo. A **Petrobras**, operadoras de E&P (exploração e producao), fornecedores de servicos de campo (Schlumberger, Halliburton, Baker Hughes com operações no Brasil), e empresas de distribuição de gas estao no perfil exato de alvos do HEXANE. O interesse do grupo em **telecomúnicacoes** também e relevante para LATAM: TIM, Claro, Vivo, Oi e suas infraestruturas de backbone sao potenciais alvos secundarios - especialmente como plataforma de acesso para man-in-the-middle em comúnicacoes de industrias criticas. Setores em risco no Brasil: - **Petroleo e gas**: Petrobras, COSAN, Ultrapar, fornecedores de OFS - **Telecomúnicacoes**: operadoras nacionais (como portal para alvos mais valiosos) - **Aviacao**: LATAM Airlines, Azul, Gol, operadores aeroportuarios - **Governo**: ministerios com interesse estratégico em energia A técnica de **password spraying** e particularmente eficaz contra organizacoes brasileiras que ainda usam senhas fracas ou nao aplicam MFA em sistemas de webmail corporativo. O DNS tunneling do grupo evade a maioria dos firewalls que nao inspecionam DNS profundamente. ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | Password spraying - múltiplas tentativas diferentes usuarios | SIEM: alertas para `AuthenticationFailed` em massa de IPs externos | | DNS queries anormais (longa, encoded, muitas queries) | Detecção de DNS tunneling por análise de entropia e frequência | | Spear-phishing interno de conta legitima comprometida | Monitoramento de regras de email incomuns e encaminhamento | | DanBot persistência via scheduled tasks | EDR: monitoramento de criação de tarefas agendadas incomuns | | Exfiltração via SendGB ou cloud storage nao aprovado | DLP/proxy: bloqueio de uploads para servicos de file-share nao autorizados | ## Referências - [1](https://attack.mitre.org/groups/G1001/) MITRE ATT&CK - HEXANE (G1001) - [2](https://www.dragos.com/blog/industry-news/hexane-a-new-ics-attack-group-targeting-oil-gas-and-telecom/) Dragos - HEXANE: Novo grupo ICS em petroleo, gas e telecom (2019) - [3](https://www.secureworks.com/blog/lyceum-takes-center-stage-in-middle-east-campaign) SecureWorks - Lyceum Takes Center Stage in Middle East (2019) - [4](https://radar.certfa.com/en/insights/actor/dbeb25fd/) Certfa Radar - Lyceum Actor Profile (2025) - [5](https://securelist.com/lyceum-group-reborn/104586/) Kaspersky Securelist - Lyceum Group Reborn (2021) - [6](https://www.zscaler.com/blogs/security-research/lyceum-net-dns-backdoor) Zscaler - Lyceum .NET DNS Backdoor (2022) - [7](https://www.accenture.com/us-en/blogs/cyber-defense/iran-based-lyceum-campaigns) Accenture ACTI - Iran-based Lyceum Campaigns (2021)