g1038-ta578 - RunkIntel

# TA578 > [!warning] Resumo Executivo > TA578 e um initial access broker (IAB) especializado em distribuição de [[s1160-latrodectus|Latrodectus]], o successor do [[s0483-icedid|IcedID]]. Ativo desde pelo menos maio de 2020, o grupo e notavel por usar **formularios de contato de sites corporativos** como vetor de infecção - impersonando empresas para enviar ameaças legais de copyright. Desde meados de janeiro de 2024, tornou-se o distribuidor primario (e quase exclusivo) do Latrodectus. Infeccoes levam a deploys de [[s0154-cobalt-strike|Cobalt Strike]], [[danabot|DanaBot]] e, ultimamente, [[s1160-latrodectus|Latrodectus v2]] com Brute Ratel C4, preparando terreno para ransomware. ## Visão Geral **TA578** e um IAB de medio porte que se distingue pelo vetor de infecção incomum: **formularios de contato** em sites corporativos, nao email direto. O grupo pesquisa organizacoes alvo, localiza formularios públicos, e envia mensagens que imitam reclamacoes legais de violação de copyright - aumentando a credibilidade e a taxa de clique. O historico de malware do grupo mostra evolução sistematica: - **2020-2023**: Distribuição de [[s0483-icedid|IcedID]], [[s1039-bumblebee|Bumblebee]], [[s0154-cobalt-strike|Cobalt Strike]], Buer Loader, BazaLoader, Ursnif, KPOT Stealer - **Dez 2023**: Primeiro uso observado de [[s1160-latrodectus|Latrodectus]], entregue via infecção por [[danabot|DanaBot]] - **Ján 2024+**: Latrodectus torna-se payload exclusivo do grupo; total abandono de [[s0483-icedid|IcedID]] e [[s1039-bumblebee|Bumblebee]] - **Maio 2024**: Novas campanhas com lures Microsoft Azure e Cloudflare CAPTCHA falso - **2024-2025**: Latrodectus evoluindo para entregar Lumma Stealer, DanaBot e Brute Ratel C4 TA578 e avaliado como parte do ecossistema **LUNAR SPIDER** - os desenvolvedores do [[s0483-icedid|IcedID]] que também criaram o Latrodectus. O grupo provavelmente atua como distribuidor/afiliado dessa infraestrutura MaaS. ## Diagrama de Kill Chain ```mermaid graph TB A["🔎 Reconnaissance Varredura de sites para formularios T1594"] --> B["📝 Contact Form Abuse Legal threat - copyright infringement lure T1566.003"] B --> C["🔗 Malicious URL Firebase / WebDAV link JavaScript download T1059.007"] C --> D["📦 MSI Installer MSIEXEC executa DLL Latrodectus T1218.007"] D --> E["🤖 C2 Registration Sistema registrado info exfiltrada criptografada"] E --> F["🎯 Follow-on Payload Cobalt Strike / BRc4 Ransomware prep"] style A fill:#1a5276,color:#fff style B fill:#154360,color:#fff style C fill:#7b241c,color:#fff style D fill:#922b21,color:#fff style E fill:#a93226,color:#fff style F fill:#6c3483,color:#fff ``` ## Evolução das Campanhas ```mermaid timeline title TA578 - Campanhas e Evolução Mai 2020 : Surgimento do grupo : Distribuição de IcedID e Ursnif : Uso de formularios de contato 2022-2023 : Adicao de Bumblebee e BazaLoader : Cobalt Strike como follow-on : Estilo via contact forms mantido Dez 2023 : Primeiro Latrodectus via DanaBot : Transicao gradual de IcedID Ján 2024 : Latrodectus torna-se payload único : Campanha de copyright infringement : Firebase URL + WebDAV MSI Mai 2024 : Novos lures Azure e Cloudflare falso : CAPTCHA falso para evasão de sandbox : Latrodectus entrega Lumma e DanaBot 2025 : Latrodectus V2 com DLL sideloading : FakeCaptcha framework : Brute Ratel C4 como follow-on ``` ## Técnica Caracteristica - Formulario de Contato A campanha de fevereiro de 2024 demonstra o TTP mais distintivo do TA578: 1. Grupo pesquisa site alvo e identifica formulario de contato público 2. Submete mensagem impersonando uma empresa de direitos autorais (ex: Getty Images, Adobe) 3. Mensagem contem ameaça legal por "violação de copyright" com URL única 4. URL personalizada inclui: dominio do site alvo + nome da empresa impersonada (para legitimar) 5. Se clicado, redireciona para landing page personalizada com branding correto 6. Landing page entrega JavaScript via Google Firebase 7. JavaScript executa `MSIEXEC` para rodar MSI de WebDAV compartilhado 8. MSI instala [[s1160-latrodectus|Latrodectus]] DLL com export "fin" Esta técnica tem **alta eficacia** pois: - Equipes juridicas e de marketing clicam por medo de process legal - Mensagem chega como "contato de cliente" - nao como email de spam - URL personalizada parece legitima e específica para o destinatario - Nao dispara filtros anti-spam tradicionais (sem anexo malicioso) ## Arsenal Tecnico | Ferramenta | Categoria | Período | |-----------|-----------|---------| | [[s0483-icedid\|IcedID]] | Banking Loader | 2020-2023 | | [[s1039-bumblebee\|Bumblebee]] | Loader | 2022-2023 | | [[danabot\|DanaBot]] | Banker / Loader | 2023-presente | | [[s1160-latrodectus\|Latrodectus]] | Loader / Backdoor | Ján 2024-presente | | [[s0154-cobalt-strike\|Cobalt Strike]] | C2 Framework | Intermitente | | Brute Ratel C4 | C2 Framework | 2024-2025 | | Lumma Stealer | Infostealer | 2024-2025 | ## TTPs por Fase ### Acesso Inicial - **Formulario de contato**: Envia URL maliciosa via formulario web corporativo ([[t1566-003-spearphishing-via-service|T1566.003]]) - **Busca por sites alvo**: Varredura para identificar formularios e dados de contato ([[t1594-search-victim-owned-websites|T1594]]) - **Web services abusados**: Google Firebase para hospedar payload JS ([[t1583-006-web-services|T1583.006]]) ### Execução - **JavaScript ofuscado**: Entregue via link Firebase, pesado em comentarios como evasão ([[t1059-007-javascript|T1059.007]]) - **MSIEXEC Proxy Execution**: MSI de WebDAV executa DLL Latrodectus ([[t1218-007-msiexec|T1218.007]]) - **rundll32**: DLL executada com export específico ("fin", "nail") ### Evasão - **Sandbox checks**: Latrodectus verifica número de processos, usernames, presenca de debugger - **CAPTCHA falso**: Pergunta matematica simples para garantir que so humanos reais recebem payload - **DLL sideloading**: Versoes recentes abusam de executavel Intel legitimo para carregar DLL maliciosa ### C2 e Pos-infecção - Comúnicação criptografada RC4 (chave "12345") com servidor C2 Tier 1 - Bot ID único baseado no serial ID do host (criptografado) - Campaign IDs hashados via algoritmo FNV-1a para atribuicao interna - Latrodectus busca instrucoes: executar binarios, enumerar arquivos/processos, atualizar bot ## Relevância para o Brasil e LATAM TA578 representa ameaça **moderada mas crescente** para o Brasil: 1. **Vetor via formulario de contato**: Empresas brasileiras com presenca web sao vulneraveis - equipes juridicas, marketing e aténdimento ao cliente sao alvos de alto risco 2. **Setor financeiro e tecnologia**: Historico com [[s0483-icedid|IcedID]] e [[s1039-bumblebee|Bumblebee]] sugere interesse em acesso a redes corporativas com valor financeiro 3. **Conexão Latrodectus-ransomware**: Infeccoes recentes do Latrodectus tem levado a deploys de ransomware via parceiros LUNAR SPIDER (ALPHV/BlackCat, Wizard Spider) 4. **Lures em portugues potenciais**: Campanha de copyright pode ser adaptada para marcas brasileiras conhecidas (ABRAMUS, Shutterstock Brazil, etc.) > [!tip] Mitigação Prioritaria > Treinar equipes de aténdimento/juridico para nao clicar em links recebidos via formularios de contato sem verificação. Bloquear execução de MSIEXEC originado de paths WebDAV/UNC externos. ## Detecção | Indicador / Comportamento | Técnica | |---------------------------|---------| | MSIEXEC executando DLL de caminho WebDAV/UNC | T1218.007 | | rundll32 executando DLL com export "fin" ou "nail" | T1059 | | Processo descendente de script JS fazendo MSIEXEC | T1059.007 | | Conexão HTTP a Firebase URL no contexto de download | T1583.006 | | DLL em %AppData%\Custom_update\ carregada por rundll32 | T1027 | | Challenge NTLM padrao (se proxy ativo) | T1557 | | Requisicoes RC4 criptografadas a dominios Cloudflare novos | T1095 | ## Referências - [1](https://www.proofpoint.com/us/blog/threat-insight/latrodectus-spider-bytes-ice) Proofpoint / Team Cymru - Latrodectus: Spider Bytes Like Ice (2024) - [2](https://attack.mitre.org/groups/G1038/) MITRE ATT&CK - TA578 (G1038) - [3](https://thehackernews.com/2024/04/watch-out-for-latrodectus-this-malware.html) The Hacker News - Latrodectus: TA577 e TA578 IABs (2024) - [4](https://www.securityhq.com/blog/may-2024-threat-advisory-top-5/) SecurityHQ - Novos TTPs Latrodectus Azure e Cloudflare (2024) - [5](https://blog.eclecticiq.com/inside-intelligence-center-lunar-spider-enabling-ransomware-attacks-on-financial-sector-with-brute-ratel-c4-and-latrodectus) EclecticIQ - LUNAR SPIDER: Brute Ratel C4 via Latrodectus (2024) - [6](https://blog.nviso.eu/2025/10/01/lunar-spider-expands-their-web-via-fakecaptcha/) NVISO - Lunar Spider FakeCaptcha + Latrodectus V2 (2025)