g1037-ta577 - RunkIntel

# TA577 > [!warning] Resumo Executivo > TA577 (também rastreado como **Hive0118** e **Water Curupira**) e um dos initial access brokers (IABs) mais prolíficos e adaptaveis do ecossistema eCrime russo. Ativo desde meados de 2020, o grupo distribui malware em escala massiva via campanhas de email - inicialmente [[s0650-qakbot|QakBot]], depois [[pikabot|Pikabot]] e [[s1160-latrodectus|Latrodectus]]. Em fevereiro de 2024, expandiu TTPs para roubo de hashes NTLM usando thread hijacking + anexos HTML, demonstrando evolução de IAB puro para ator de pos-exploração. Campanhas ligadas a infeccoes subsequentes por [[blackbasta|Black Basta]] ransomware. Avaliado com alta confiança como parte do ecossistema criminoso russo-falante. ## Visão Geral **TA577** e um ator de ameaça de e-crime financeiramente motivado, classificado como initial access broker (IAB) pela Proofpoint, IBM X-Force e outros. O grupo opera em grande escala - campanhas frequentes atingem dezenas de milhares de mensagens por rodada, impactando centenas de organizacoes globalmente. A trajetoria do grupo mostra alta capacidade de adaptacao: 1. **2020-2023 - Era QakBot**: Principal distribuidor dos botnets QakBot AA, BB e TR. Conexoes documentadas com o grupo [[blackbasta|Black Basta]] via campanha BB botnet. 2. **2023 - Transicao pos-Endgame**: Após o takedown do QakBot em agosto de 2023, rapidamente migrou para [[pikabot|Pikabot]] (provavelmente desenvolvido ou co-desenvolvido pelo proprio TA577) e testou [[s1160-latrodectus|Latrodectus]] em 3 campanhas em novembro de 2023. 3. **2024 - Expansao para pos-exploração**: Campanhas de roubo de hashes NTLM via SMB - movimento incomum para um IAB, indicando capacidade de reconhecimento ativo antes de deploy de malware. 4. **2025 - Operacoes continuadas**: Campanhas multi-loader usando [[pikabot|Pikabot]] e [[s1160-latrodectus|Latrodectus]] em paralelo. Atividade ligada a incidentes Black Basta. Pesquisadores da Botconf 2024 avaliam com alta confiança que TA577 e o **operador primario, e possívelmente exclusivo, do Pikabot** - as campanhas de distribuição do grupo se alinham com a evolução da infraestrutura C2 do malware. ## Diagrama de Kill Chain ```mermaid graph TB A["📧 Thread Hijacking Reply a email legítimo comprometido T1586.002"] --> B["🔗 Link/Anexo JavaScript ofuscado ZIP HTML ou ISO T1566.002"] B --> C["💻 Loader Deploy Pikabot / Latrodectus via BAT + curl T1059.003"] C --> D["🔑 NTLM Harvest HTML abre SMB falso captura hash NTLMv2 T1557"] D --> E["🛒 IAB Monetization Venda acesso inicial ou credenciais para BGH"] E --> F["🔒 Black Basta Deploy Ransomware downstream por operadores parceiros"] style A fill:#7b241c,color:#fff style B fill:#922b21,color:#fff style C fill:#a93226,color:#fff style D fill:#e67e22,color:#fff style E fill:#1a5276,color:#fff style F fill:#6c3483,color:#fff ``` ## Timeline Operacional ```mermaid timeline title TA577 - Evolução de Operacoes 2020-2021 : Surgimento como IAB : Distribuição massiva de QakBot : Botnets AA, BB, TR identificados 2022-2023 : Pico de atividade QakBot : Afiliacao confirmada com Black Basta : Novo malware Pikabot distribuido Aug 2023 : Takedown QakBot pela FBI : TA577 pivota para Pikabot imediatamente : Teste de Latrodectus em nov 2023 2024 : Campanhas NTLM hash theft : Thread hijacking + HTML ZIP : Impacket para pas-the-hash : Latrodectus + Pikabot em paralelo 2025 : Atividade continua em escala : Parceria Black Basta confirmada : Multi-loader resiliente a bloqueios ``` ## Campanhas Notaveis | Campanha | Data | Vetor | Payload | Escala | |----------|------|-------|---------|--------| | Pikabot First Campaign | Fev 2023 | Thread hijacking + OneNote | [[pikabot\|Pikabot]] DLL | Teste inicial | | Post-QakBot Pivot | Set 2023 | Email com URL maliciosa | [[pikabot\|Pikabot]] BB | Escala massiva | | Latrodectus Test | Nov 2023 | Thread hijacking + ISO/ZIP | [[s1160-latrodectus\|Latrodectus]] | 3 campanhas | | NTLM Hash Theft | Fev 2024 | Thread hijacking + HTML ZIP | SMB falso + Impacket | Dezenas de mil mensagens | | Multi-loader 2025 | Ján 2025 | Thread hijacking | [[pikabot\|Pikabot]] + [[s1160-latrodectus\|Latrodectus]] | Global, múltiplos setores | ## Arsenal Tecnico | Ferramenta | Categoria | Uso observado | |-----------|-----------|---------------| | [[s0650-qakbot\|QakBot]] | Banker / Loader | Principal payload até agosto 2023 | | [[pikabot\|Pikabot]] | Loader | Go-to malware desde set 2023; possível autor | | [[s1160-latrodectus\|Latrodectus]] | Loader | Testado nov 2023; adotado em 2024 | | [[s0483-icedid\|IcedID]] | Loader | Entregue ocasionalmente, possívelmente "como servico" | | [[darkgaté\|DarkGaté]] | RAT/Loader | Usado brevemente em set 2023 | | 404 TDS | Traffic Distribution | Sistema de redirecionamento compartilhado | | Impacket | Post-exploitation | Usado para pass-the-hash após roubo NTLM | ## TTPs Detalhados ### Acesso Inicial - **Thread hijacking**: Responde a emails legitimos de threads comprometidas - alta taxa de engajamento ([[t1586-002-email-accounts|T1586.002]]) - **Links maliciosos**: URLs no corpo do email levam a download de JavaScript ([[t1566-002-spearphishing-link|T1566.002]]) - **Embedded payloads**: LNK files executando DLLs embutidas ([[t1027-009-embedded-payloads|T1027.009]]) ### Execução e Evasão - **BAT files**: Scripts .bat para execução de payloads ([[t1059-003-windows-command-shell|T1059.003]]) - **JavaScript ofuscado**: Cadeia de execução via JS pesado ([[t1059-007-javascript|T1059.007]]) - **Geofencing**: Cheques de IP no servidor C2 - entrega apenas para alvos na regiao correta ### Roubo de Credenciais (2024+) - HTML ZIP abre conexão SMB para servidor falso controlado pelo atacante - Captura **NTLMv2 challenge/response pairs** - identificavel pelo challenge padrao "aaaaaaaaaaaaaaaa" do Impacket - Expostos: nomes de computador, domínio, usernames em texto claro - Permite **pass-the-hash** sem quebrar a senha - bypassa MFA em usuarios já autenticados ### Infraestrutura - cPanel + scripts PHP para distribuição de malspam - Rotacao de dominios 404 TDS para filtrar trafego de pesquisadores - "Ferias" observadas: pausa em dezembro/janeiro alinhada ao Natal ortodoxo russo ## Relevância para o Brasil e LATAM O modelo de IAB do TA577 representa uma **ameaça indireta mas de alto impacto** para o Brasil: 1. **Pipeline para ransomware**: Infeccoes por Pikabot/Latrodectus sao vendidas para operadores de [[blackbasta|Black Basta]] - grupo com historico confirmado em LATAM 2. **Roubo de credenciais NTLM**: Empresas brasileiras com Windows/Active Directory sao vulneraveis ao ataque de fevereiro 2024; MFA nao protege contra pass-the-hash de sessoes ativas 3. **Escala massiva**: Campanhas de dezenas de milhares de mensagens atingem alvos globalmente - empresas brasileiras com dominios públicos sao incluidas 4. **Setor financeiro**: Historico com [[s0650-qakbot|QakBot]] (banking trojan) e conexoes com grupos focados em financeiro; bancos e fintechs brasileiras em risco > [!tip] Mitigação Prioritaria > Bloquear e monitorar conexoes SMB de saida (porta 445/TCP) - principal vetor da campanha NTLM de 2024. Implementar SMB Signing obrigatorio em toda a rede. ## Detecção | Indicador / Comportamento | Técnica MITRE | |---------------------------|---------------| | Resposta a email existente com URL maliciosa (thread hijacking) | T1586.002 | | HTML dentro de ZIP abre conexão SMB para IP externo | T1557 | | Challenge NTLM padrao "aaaaaaaaaaaaaaaa" no trafego SMB | T1557 | | DLL executada via `regsvr32` ou `rundll32` com export "scab" ou "nail" | T1027.009 | | Conexão a URL Firebase + download de JS | T1566.002 | | Processo `curl` executado por script BAT | T1059.003 | | Novo host Pikabot C2 (porta nao padrao, certificado auto-assinado) | T1095 | ## Referências - [1](https://attack.mitre.org/groups/G1037/) MITRE ATT&CK - TA577 (G1037) - [2](https://www.proofpoint.com/us/blog/threat-insight/ta577s-unusual-attack-chain-leads-ntlm-data-theft) Proofpoint - TA577 NTLM Data Theft Campaign (2024) - [3](https://blog.sekoia.io/pikabot-a-guide-to-its-deep-secrets-and-operations/) Sekoia - PikaBot Deep Dive e Infraestrutura C2 - [4](https://brandefense.io/blog/ta577-hive0118-the-evolving-phishing-specialist-behind-modern-malware-campaigns/) BrandDefense - TA577/Hive0118 Evolução de TTPs (2026) - [5](https://www.botconf.eu/wp-content/uploads/formidable/2/BOTCONF2024-Fabian-Marquardt-TA577_Talk.pdf) Botconf 2024 - Ecossistema TA577 (apresentacao) - [6](https://www.proofpoint.com/us/blog/threat-insight/latrodectus-spider-bytes-ice) Proofpoint / Team Cymru - Latrodectus: Spider Bytes Like Ice