g1046-storm-1811 - RunkIntel

# Storm-1811 > [!danger] Storm-1811 - Email Bombing + Vishing + Quick Assist = Black Basta > Storm-1811 (STAC5777 per Sophos) é um grupo de crimes financeiros documentado pela Microsoft em abril-maio de 2024, com uma cadeia de ataque altamente inovadora que combina **email bombing**, **vishing** (phishing por voz) e abuso do **Quick Assist** (ferramenta de suporte remoto nativa do Windows) para implantar o ransomware [[black-basta|Black Basta]]. A técnica de sobrecarregar intencionalmente a caixa de entrada da vítima com centenas de emails de spam legítimo para depois se passar por "help desk" da empresa é uma engenharia social de alta eficácia que contorna defesas técnicas. Em 2025, o grupo expandiu o playbook para incluir Microsoft Teams como vetor adicional de vishing. ## Visão Geral **Storm-1811** é rastreado pela Microsoft como afiliado distribuidor do [[black-basta|Black Basta]] ransomware, com sobreposição documentada com o cluster **STAC5777** identificado pela Sophos. O grupo é ativo desde pelo menos abril de 2024 e representa uma evolução preocupante em táticas de engenharia social aplicadas a ransomware. **A cadeia de ataque é engenhosamente simples e eficaz:** 1. Inscrever o email corporativo da vítima em centenas de newsletters e serviços legítimos simultaneamente 2. Aguardar a vítima ficar frustrada com centenas de emails não solicitados 3. Ligar para a vítima (ou enviar mensagem no Teams) se passando por suporte de TI da empresa 4. Oferecer ajuda para "resolver o problema de spam" 5. Solicitar acesso via Quick Assist (ferramenta nativa Windows - não bloqueada por controles corporativos) 6. Com acesso remoto, instalar ferramentas de pós-comprometimento e ransomware **Diferencial técnico do grupo:** - **Quick Assist como vetor**: ferramenta de suporte nativa da Microsoft, presente em todos os Windows 10/11, raramente bloqueada por políticas corporativas - **EvilProxy para MFA bypass**: em algumas campanhas, usa EvilProxy antes do vishing para roubar sessões autenticadas - **Teams como canal alternativo**: desde meados de 2024, usa Microsoft Teams para vishing via contas de tenants externos gratuitos - **QakBot → Cobalt Strike → Black Basta**: cadeia de persistência com múltiplas camadas antes do payload final **Contexto do Black Basta**: Storm-1811 é um afiliado do ecossistema Black Basta RaaS - um dos grupos de ransomware mais ativos entre 2022-2025. O modelo de negócio significa que o Storm-1811 recebe comissão por cada resgaté pago. ```mermaid graph TB A["Preparação Inscricao massiva em newsletters T1667 - Email bombing"] --> B["Vishing/Teams Ligacao se passando por helpdesk T1566.004 + T1656"] B --> C["Acesso Remoto Quick Assist sessao aprovada T1219.002 - RDS nativo"] C --> D["Pos-Comprometimento QakBot ou ScreenConnect T1105 download de tools"] D --> E["Movimento Lateral Cobalt Strike beacon T1570 - lateral tool transfer"] E --> F["Black Basta Deploy PsExec para distribuição T1486 criptografia em massa"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#922b21,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2980b9,color:#fff style F fill:#7b241c,color:#fff ``` ## Campanhas Documentadas ### Campanha Quick Assist (Abril-Maio 2024) Documentada pela Microsoft Threat Intelligence em maio de 2024: **Fase 1 - Email bombing:** - Scripts automatizados inscrevem email da vítima em 200-500 newsletters e serviços legítimos - Objetivo: sobrecarregar inbox para criar urgência e frustração - Duração: 1-2 horas de bombardeio de emails **Fase 2 - Vishing:** - Operador liga para a vítima em inglês (com sotaque variável) - Apresenta-se como "IT Support" ou "Help Desk" da empresa - Referencia o problema de spam como prova de "ataque cibernético" sendo investigado - Vítima recebe instrução para abrir Quick Assist **Fase 3 - Quick Assist:** - Vítima concede acesso de visualização ou controle total via Quick Assist - Atacante executa cscript para instalar NetSupport RAT ou QakBot via payload ofuscado - Em segundos, estabelece C2 independente do Quick Assist **Fase 4 - Persistência e Black Basta:** - Cobalt Strike beacon instalado para C2 primário - SystemBC para proxy C2 encoberto - Impacket para reconhecimento de domínio - Black Basta implantado via PsExec em múltiplos hosts simultaneamente ### Campanha Teams Vishing (Junho 2024+) Variante identificada pela Sophos (STAC5777): - Uso de contas Microsoft Teams de tenants gratuitos externos (`.onmicrosoft.com`) - Mensagens no Teams se passando por "suporte de TI" ou "segurança da informação" - Convida vítima para chamada de vídeo para "verificar credenciais" - Durante chamada, solicita instalação de software de acesso remoto ### EvilProxy MFA Bypass (Variante 2025) Alguns clusters relacionados combinam: - EvilProxy (adversary-in-the-middle) para capturar sessões MFA válidas - Seguido por vishing para confirmar acesso e instalar Quick Assist - Encadeamento que contorna MFA e engenharia social em uma única operação ## Arsenal | Ferramenta | Tipo | Função | |-----------|------|--------| | Quick Assist | LOLBIN nativo | Acesso remoto via ferramenta nativa Windows - contorna DLP | | [[black-basta\|Black Basta]] | Ransomware RaaS | Payload final - criptografia + extorsao dupla | | [[s0650-qakbot\|QakBot]] | Loader/Backdoor | Acesso inicial pos-Quick Assist; historico como botnet bancario | | [[s0154-cobalt-strike\|Cobalt Strike]] | C2 Framework | C2 primário para movimento lateral e persistência | | [[s0533-systembc\|SystemBC]] | Proxy C2 | Proxy SOCKS5 encoberto para trafego C2 secundario | | [[psexec\|PsExec]] | Lateral Movement | Distribuição do ransomware Black Basta em rede corporativa | | [[s0357-impacket\|Impacket]] | Reconhecimento | Enumeracao de AD e servicos de rede Windows | | NetSupport RAT | RAT | Controle remoto alternativo em algumas variantes | | ScreenConnect | RAT | Acesso remoto comercial como alternativa ao Quick Assist | ## TTPs Mapeados | Tática | Técnica | ID | Descrição | |--------|---------|----|-----------| | Initial Access | Email Bombing | [[t1667-email-bombing\|T1667]] | Subscricao massiva em newsletters para frustrar vitima | | Initial Access | Spearphishing Voice | [[t1566-004-spearphishing-voice\|T1566.004]] | Ligacao telefonica ou Teams se passando por helpdesk | | Initial Access | Impersonation | [[t1656-impersonation\|T1656]] | Personificacao de suporte de TI da empresa | | Initial Access | Remote Desktop Software | [[t1219-002-remote-desktop-software\|T1219.002]] | Quick Assist como ferramenta de acesso inicial | | Resource Dev | Cloud Accounts | [[t1585-003-cloud-accounts\|T1585.003]] | Tenants Teams gratuitos para comunicação com vítimas | | Persistence | Registry Run Keys | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Persistência de backdoors via Run Keys no registro | | Lateral Movement | Lateral Tool Transfer | [[t1570-lateral-tool-transfer\|T1570]] | Transferencia de Cobalt Strike e Black Basta entre hosts | | Impact | Encrypt Data | [[t1486-data-encrypted-for-impact\|T1486]] | Black Basta criptografa em massa via PsExec | ## Timeline ```mermaid timeline title Storm-1811 - Linha do Tempo 2024-04 : Primeiros ataques documentados : Quick Assist como vetor primario 2024-05 : Microsoft publica alerta : Atribui a Storm-1811 2024-06 : Sophos identifica STAC5777 : Teams como canal adicional 2024-08 : Expansao de campanhas : Setores financeiro e saude 2025 : EvilProxy integrado ao playbook : MFA bypass + vishing combinado 2025+ : Operacoes continuas ativas : Teams vishing padrao estabelecido ``` ## Relevância para o Brasil e LATAM > [!danger] Risco Alto - Técnica de Vishing Eficaz em Contexto Brasileiro > Storm-1811 representa ameaça crescente para organizações brasileiras. A técnica de email bombing + vishing em português é facilmente adaptável, e o Quick Assist está presente em todos os Windows corporativos brasileiros. O Black Basta possui histórico documentado de ataques contra empresas no Brasil, e o modelo RaaS significa que afiliados locais ou regionais podem adotar o mesmo playbook do Storm-1811. **Fatores de risco específicos para o Brasil:** - **Quick Assist amplamente disponível**: presente em todos os Windows 10/11 - raramente bloqueado por GPO em empresas brasileiras de médio porte - **Cultura de helpdesk externo**: terceirização de TI é comum no Brasil - vítimas têm dificuldade em verificar autenticidade de chamadas de suporte - **Teams corporativo amplamente adotado**: pós-pandemia, Microsoft Teams é padrão em grandes corporações brasileiras - vetor de vishing via Teams é particularmente eficaz - **Black Basta no Brasil**: campanhas de Black Basta afetaram organizações brasileiras em 2023-2025; Storm-1811 é distribuidor do mesmo ransomware **Defesas prioritárias:** - Desabilitar Quick Assist via GPO se não for necessário no ambiente (`HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services`) - Bloquear comunicação de tenants externos no Teams (configurar restrições de domínio externo) - Treinar equipes de helpdesk para **nunca iniciar sessões Quick Assist sem verificação via canal oficial** - Implementar monitoramento de anomalias em inbox (flood de emails = indicador de ataque iminente) ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | 200+ emails em 1h em mailbox corporativa (email bombing) | SIEM: alerta de volume anormal de emails recebidos por usuario | | `msra.exe` (Quick Assist) iniciado por usuario comum em horario incomum | EDR: alerta para Quick Assist fora do baseline de uso | | Processo `cscript.exe` executado imediatamente após sessao Quick Assist | EDR: correlação de evento Quick Assist + execução de script | | NetSupport ou ScreenConnect instalado por usuario sem ticket de TI | EDR/SIEM: instalacao de RAT sem provisionamento formal | | Cobalt Strike beacon: comunicação HTTPS regular em intervalos fixos | NDR: detecção de beacons por jitter de trafego | | `PsExec` executando em múltiplos hosts simultaneamente | SIEM: alerta de lateral movement em escala | | Teams: mensagem de conta externa com link para software de suporte | Teams DLP: alerta para links de download em mensagens externas | ## Referências - [1](https://www.microsoft.com/en-us/security/blog/2024/05/15/threat-actors-misusing-quick-assist-in-social-engineering-attacks-leading-to-ransomware/) Microsoft - Threat Actors Misusing Quick Assist Leading to Black Basta (Mai 2024) - [2](https://attack.mitre.org/groups/G1046/) MITRE ATT&CK - G1046 Storm-1811 (2024) - [3](https://news.sophos.com/en-us/2024/11/06/stac5777-uses-microsoft-teams-vishing-black-basta/) Sophos - STAC5777 Teams Vishing and Black Basta Deployment (Nov 2024) - [4](https://www.microsoft.com/en-us/security/blog/2024/10/02/storm-1811-teams-vishing-evilproxy/) Microsoft - Storm-1811 Expands to Teams Vishing and EvilProxy (Oct 2024) - [5](https://www.proofpoint.com/us/blog/threat-insight/black-basta-ransomware-affiliates-social-engineering) Proofpoint - Black Basta Affiliates Social Engineering Tactics (2024) - [6](https://cyberscoop.com/black-basta-quick-assist-microsoft-warning/) CyberScoop - Microsoft Warns of Black Basta Quick Assist Attacks (Mai 2024) **Atores relacionados:** [[black-basta|Black Basta]] · [[g0046-fin7|FIN7]] · [[g1015-scattered-spider|Scattered Spider]] (similar social engineering) **Malware e ferramentas:** [[black-basta|Black Basta]] · [[s0154-cobalt-strike|Cobalt Strike]] · [[s0650-qakbot|QakBot]] · [[s0533-systembc|SystemBC]] **TTPs principais:** [[t1667-email-bombing|T1667]] · [[t1566-004-spearphishing-voice|T1566.004]] · [[t1656-impersonation|T1656]] · [[t1219-002-remote-desktop-software|T1219.002]] **Setores alvejados:** [[financial|Financeiro]] · [[healthcare|Saúde]] · [[technology|Tecnologia]] · [[manufacturing|Manufatura]]