g1012-curium - RunkIntel

# CURIUM > [!warning] **CURIUM** é um grupo de ameaça atribuído a **Iran**. ## Descrição CURIUM é um grupo de ameaça iraniano, reportado pela primeira vez em setembro de 2019 e ativo desde pelo menos julho de 2018, com foco em provedores de serviços de TI no Oriente Médio. O CURIUM tem investido na construção de relacionamentos com alvos em potencial por meio de redes sociais ao longo de meses, buscando estabelecer confiança antes de enviar malware. Pesquisadores de segurança destacam que o CURIUM demonstra grande paciência e persistência, conversando diariamente com possíveis alvos e enviando arquivos benignos para reduzir gradualmente a consciência de segurança das vítimas. **Também conhecido como:** CURIUM, Crimson Sandstorm, TA456, Tortoise Shell, Yellow Liderc ### Attack Flow ## Técnicas Utilizadas - [[t1566-003-spearphishing-via-service|T1566.003 - Spearphishing via Service]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1584-006-web-services|T1584.006 - Web Services]] - [[t1583-003-virtual-private-server|T1583.003 - Virtual Private Server]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1608-004-drive-by-target|T1608.004 - Drive-by Target]] - [[t1048-002-exfiltration-over-asymmetric-encrypted-non-c2-protocol|T1048.002 - Exfiltration Over Asymmetric Encrypted Non-C2 Protocol]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1585-001-social-media-accounts|T1585.001 - Social Media Accounts]] - [[t1585-002-email-accounts|T1585.002 - Email Accounts]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1598-003-spearphishing-link|T1598.003 - Spearphishing Link]] - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1583-001-domains|T1583.001 - Domains]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1583-004-server|T1583.004 - Server]] ## Software Utilizado - [[s1152-imaploader|IMAPLoader]] ## Relevância para o Brasil e LATAM CURIUM representa ameaça sofisticada para provedores de TI e serviços em nuvem no Brasil devido à sua estratégia de comprometimento da cadeia de suprimentos. O grupo demonstrou paciência extrema na construção de relacionamentos via redes sociais com funcionários de empresas alvo, criando pretextos credíveis antes do ataque. Provedores brasileiros de hospedagem, infraestrutura de TI e SaaS são alvos viáveis para comprometimento de web shells e persistência de longo prazo. O uso de contas de email e mídia social falsas torna detecção manual difícil. A capacidade de exfiltração via múltiplos protocolos aumenta risco de vazamento de dados de clientes. Recomenda-se segmentação rigorosa de acesso administrativo, válidação forte de identidade em redes sociais corporativas, e monitoramento de atividade de web shell. --- *Fonte: [MITRE ATT&CK - G1012](https://attack.mitre.org/groups/G1012)* ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota.