g1031-saint-bear - RunkIntel

# Saint Bear > [!warning] Saint Bear - Espionagem Russa Pré-Guerra na Ucrânia e Geórgia > **Saint Bear** (UAC-0056/G1031) é um grupo de espionagem russo ativo desde março de 2021, com foco em **governo, energia e infraestrutura crítica da Ucrânia e Geórgia**. O grupo é notável por ter iniciado campanhas meses **antes** da invasão russa da Ucrânia (fevereiro de 2022), demonstrando preparação de inteligência antecipada. Usa o infostealer **OutSteel** para roubo de documentos sensíveis e o downloader **SaintBot** para deploy de payloads adicionais, com infraestrutura hospedada em CDN do Discord. ## Visão Geral O **Saint Bear** (G1031) é rastreado sob múltiplos nomes: UAC-0056 pelo CERT-UA (Equipa de Resposta a Emergências de Computadores da Ucrânia), Lorec53 pela Unit 42, Storm-0587 pela Microsoft, TA471 pela Proofpoint, e Nodaria pela Symantec. Essa proliferação de identificadores reflete detecção independente por múltiplos fornecedores de segurança em campanhas paralelas. O grupo é especializado em **espionagem de documentos governamentais**: o malware OutSteel (também chamado StealerBot) varre o sistema infectado em busca de arquivos com extensões sensíveis (.doc, .docx, .pdf, .txt, .rtf, .xls, .xlsx, .ppt) e os exfiltra para servidores C2 - muitas vezes hospedados em serviços legítimos como **Discord CDN**, dificultando a detecção por ferramentas baseadas em reputação de IP. O **SaintBot** é o downloader de primeiro estágio: recebe comandos do C2, baixa payloads adicionais (OutSteel, Cobalt Strike, Graphiron) e mantém persistência via registro do Windows. A capacidade de sandbox evasion (T1497) indica que o grupo testa seus payloads antes de uso em campanhas reais. Em campanhas mais tardias (outubro de 2022+), o grupo adicionou o **Graphiron**, um infostealer mais sofisticado escrito em Go que captura capturas de tela, credenciais armazenadas, chaves SSH e documentos - expandindo capacidades além do OutSteel. Campanhas também usaram **Cobalt Strike** para movimentação lateral em redes comprometidas. ## Attack Flow - Espionagem de Documentos ```mermaid graph TB A["Spear-phishing T1566.001 Anexo Word/PDF T1656 Impersonation gov"] --> B["Execução T1204.002 Arquivo malicioso T1059.007 JavaScript / HTA"] B --> C["SaintBot Downloader T1027.002 Packing T1497 Sandbox evasion"] C --> D["OutSteel Deploy Busca .doc .pdf .xls em todos os drives"] D --> E["Exfiltração T1583.006 Discord CDN Documentos sensíveis gov"] C --> F["Cobalt Strike / Graphiron Lateral movement Screenshot + credential theft"] style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#1a5276,color:#fff style E fill:#196f3d,color:#fff style F fill:#2980b9,color:#fff ``` ## Arsenal Técnico | Ferramenta | Tipo | Capacidade | |-----------|------|------------| | [[outsteel\|OutSteel]] | Infostealer | Busca e exfiltra documentos (.doc, .pdf, .xls, .ppt) - opera silenciosamente em background | | [[s1018-saint-bot\|SaintBot]] | Downloader | Primeiro estágio - baixa payloads adicionais, mantém persistência via registry | | [[graphiron\|Graphiron]] | Infostealer Go | Screenshots, credenciais, chaves SSH, documentos (adicionado em outubro 2022) | | [[s0154-cobalt-strike\|Cobalt Strike]] | C2 Framework | Movimentação lateral em redes comprometidas - campanhas tardias 2022 | | Discord CDN | Infraestrutura | Hospedagem de payloads em discord.com/api/webhooks - CDN legítimo dificulta bloqueio | ## OutSteel - Funcionamento Interno ```mermaid graph TB A["OutSteel ativado Recebe comando do C2 via SaintBot"] --> B["Enumeração de drives Varre C: D: E: removíveis e compartilhamentos de rede"] B --> C["Filtro de extensões .doc .docx .pdf .xls .ppt .txt .rtf e outros"] C --> D["Compressão e upload Arquivos para servidor C2 ou Discord CDN webhook"] D --> E["Confirmação ao C2 Lista de arquivos exfiltrados Aguarda próximo comando"] style A fill:#8e44ad,color:#fff style B fill:#1a5276,color:#fff style C fill:#e67e22,color:#fff style D fill:#c0392b,color:#fff style E fill:#196f3d,color:#fff ``` ## Timeline ```mermaid timeline title Saint Bear - Cronologia 2021-03 : Primeiras campanhas identificadas : Alvos em governo ucraniano : SaintBot + OutSteel documentados 2021-07 : CERT-UA publica UAC-0056 : Campanhas contra organizações georgianas : Impersonation de entidades gov 2022-02 : Ataques pré-invasão : Organização de energia ucraniana comprometida : Cobalt Strike adicionado ao arsenal 2022-03 : Unit 42 documenta como Lorec53 : Microsoft rastreia como Storm-0587 2022-10 : Graphiron adicionado : Infostealer Go com screenshot capability : Symantec documenta como Nodaria ``` ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Word/PDF maliciosos se passando por comúnicados governamentais | | Impersonation | [[t1656-impersonation\|T1656]] | Emails impersonando entidades governamentais ucranianas, georgianas e europeias | | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | Documentos Office com macros ou objetos OLE maliciosos | | JavaScript | [[t1059-007-javascript\|T1059.007]] | Scripts JavaScript como stager de primeiro estágio via HTA | | Software Packing | [[t1027-002-software-packing\|T1027.002]] | SaintBot e OutSteel empacotados para evasão de assinaturas AV | | Encrypted File | [[t1027-013-encryptedencoded-file\|T1027.013]] | Payloads criptografados antes do deploy para evasão | | Sandbox Evasion | [[t1497-virtualizationsandbox-evasion\|T1497]] | SaintBot detecta ambientes de análise antes de executar payload real | | Web Services | [[t1583-006-web-services\|T1583.006]] | Discord CDN como infraestrutura de C2 - domínio legítimo | | Upload Malware | [[t1608-001-upload-malware\|T1608.001]] | Upload de payloads para Discord CDN antes de campanhas | | Disable or Modify Tools | [[t1562-001-impair-defenses-disable-or-modify-tools\|T1562.001]] | Desabilita defesas antes do deploy de ferramentas de coleta | ## Relevância para o Brasil e LATAM > [!latam] Espionagem de Documentos - Risco para Diplomacia e Infraestrutura Crítica > O Saint Bear não mira diretamente o Brasil, mas o modelo operacional - espionagem de documentos governamentais via spear-phishing com impersonation - é **diretamente replicável** por outros atores contra alvos brasileiros. O uso de Discord CDN como infraestrutura de C2 é uma técnica amplamente adotada por grupos de ameaça diversos. Aspectos de risco para o Brasil: - **Modelo de ataque replicável**: O OutSteel é um infostealer de documentos que qualquer ator pode adaptar. O padrão de busca por .doc, .pdf e .xls em redes governamentais é extremamente eficaz contra ambientes com compartilhamentos de rede sem segmentação - **Discord CDN como blind spot**: Muitas organizações brasileiras não bloqueiam discord.com/api em firewalls - o que permite C2 via webhook Discord sem alertas de reputação - **Diplomacia brasileira**: O Itamaraty e missões diplomáticas brasileiras no leste europeu têm interesse para atores de inteligência russos - **Geórgia e Brasil**: O Saint Bear atacou atores georgianos em tensão com a Rússia - Brasil com posição independente em conflitos geopolíticos pode ser alvo de coleta de inteligência - **SaintBot + Graphiron na dark web**: Ferramentas derivadas do arsenal do Saint Bear circulam em fóruns - possível adoção por grupos brasileiros de espionagem industrial Mitigações específicas: 1. Bloquear uploads para Discord CDN webhooks (discord.com/api/webhooks) em proxy corporativo 2. Monitorar processos que acessam e copiam arquivos .doc/.pdf em lote 3. Treinamento de phishing para funcionários de governo e infraestrutura crítica ## Detecção e Defesa | Indicador | Técnica de Detecção | |-----------|---------------------| | Processo varrendo drives em busca de arquivos .doc .pdf .xls de forma sistemática | EDR: alertas para processos com acesso a alto número de arquivos de documentos em curto período | | Upload de arquivos para discord.com/api/webhooks por processo não-Discord | Proxy: alertas para requests POST para discord.com/api de processos não autorizados | | SaintBot: processo com sandbox evasion checks (CPUID, GetTickCount loops) | Sandbox: detecção comportamental de evasão de análise antes de execução | | HTA file executado via mshta.exe de email ou download | EDR: alertas para mshta.exe iniciado por processos de browser ou email | | Graphiron: acesso a keychain/credential stores + screenshot simultâneos | EDR: correlação de acesso a múltiplos artefatos sensíveis no mesmo processo | ## Referências - [1](https://unit42.paloaltonetworks.com/lorec53-apt-group/) Unit 42 - Lorec53 APT Group Analysis (2022) - [2](https://attack.mitre.org/groups/G1031/) MITRE ATT&CK - Saint Bear G1031 - [3](https://cert.gov.ua/article/37829) CERT-UA - UAC-0056 Activity Analysis - [4](https://www.broadcom.com/support/security-center/protection-bulletin/nodaria-apt-group) Symantec - Nodaria APT Group (2022) - [5](https://www.proofpoint.com/us/blog/threat-insight/asylum-ambuscade-state-actor-uses-compromised-private-ukrainian-military-emails) Proofpoint - Ukraine-related phishing campaigns 2022 **Malware:** [[outsteel|OutSteel]] · [[s1018-saint-bot|SaintBot]] · [[graphiron|Graphiron]] · [[s0154-cobalt-strike|Cobalt Strike]] **Setores alvejados:** [[government|Governo]] · [[energy|Energia]] · [[critical-infrastructure|Infraestrutura Crítica]] **Países-alvo:** Ucrânia · Geórgia **Grupos relacionados:** [[ember-bear|Ember Bear]] (confundido com Saint Bear - clusters distintos) · [[g0034-sandworm|Sandworm]] (contexto operacional russo)