unc2565 - RunkIntel

# UNC2565 > [!warning] > Grupo especializado exclusivamente no desenvolvimento e operação do GOOTLOADER - um framework avançado de acesso inicial via SEO poisoning em sites WordPress comprometidos. Opera como broker de acesso inicial, entregando Cobalt Strike e IcedID para outros grupos ransomware e de espionagem. ## Visão Geral **UNC2565** é o operador exclusivo do **[[s1138-gootloader|GOOTLOADER]]** (anteriormente conhecido como Gootkit), rastreado pela Mandiant como um dos mais sofisticados operadores de acesso inicial (Initial Access Broker - IAB) ativos. O grupo é especializado em SEO poisoning - a manipulação de resultados de mecanismos de busca para posicionar sites comprometidos como primeiros resultados para buscas corporativas específicas. A tática principal do UNC2565 é comprometer centenas de sites WordPress legítimos e configurá-los para responder a buscas de documentos empresariais específicos (contratos, acordos de confidencialidade, formulários de compliance, etc.). Quando um funcionário de uma empresa-alvo busca por um documento de negócios específico, o site comprometido aparece como primeiro resultado e oferece um arquivo ZIP contendo um script JScript malicioso - o loader GOOTLOADER - disfarçado como o documento buscado. Após a infecção inicial, o UNC2565 entrega payloads de segunda fase para clientes que pagam pelo acesso - principalmente [[s0154-cobalt-strike|Cobalt Strike]] BEACON para grupos ransomware, e [[s0483-icedid|IcedID]] para operações de fraude bancária. O grupo é um IAB puro: não conduz ele mesmo o ransomware ou fraude final, mas vende o acesso às redes comprometidas. ## Attack Flow - SEO Poisoning para Acesso Corporativo ```mermaid graph TB A["🌐 SEO Poisoning Compromete sites WordPress Manipula ranking de busca"] --> B["🔍 Vítima busca documento Contrato / NDA / Formulário Resultado falso no topo"] B --> C["📥 Download ZIP JScript disfarçado como documento empresarial"] C --> D["💻 Execução GOOTLOADER wscript.exe ou cscript.exe Código ofuscado em jQuery"] D --> E["⏰ Persistência Scheduled Task Payload no registro Windows"] E --> F["🚀 FONELAUNCH Launcher Carrega payload .NET na memória"] F --> G["💰 Entrega de Acesso Cobalt Strike BEACON ou IcedID para cliente"] classDef seo fill:#1a1a2e,color:#e0e0ff,stroke:#4a4a8a classDef social fill:#2d1b4e,color:#c4b5fd,stroke:#7c3aed classDef exec fill:#7b1c1c,color:#fff,stroke:#a02020 classDef persist fill:#1c4a7b,color:#bfdbfe,stroke:#3b82f6 classDef deliver fill:#4f3d0d,color:#fde68a,stroke:#f59e0b class A,B seo class C social class D exec class E,F persist class G deliver ``` | Técnica | ID | Uso | |---------|-----|-----| | Drive-by Compromise | [[t1189-drive-by-compromise\|T1189]] | SEO poisoning em sites WordPress legítimos | | JavaScript | [[t1059-007-javascript\|T1059.007]] | Execução de GOOTLOADER via wscript/cscript | | Scheduled Task | [[t1053-005-scheduled-task\|T1053.005]] | Persistência pós-infecção | | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Código ofuscado em bibliotecas jQuery | | Modify Registry | [[t1112-modify-registry\|T1112]] | Payload armazenado em chaves de registro | ## Componentes do Framework GOOTLOADER ```mermaid graph TB subgraph Loaders["Loaders GOOTLOADER"] A["GOOTLOADER JScript Stage 1 - Loader principal Ofuscado em jQuery/Underscore.js"] B["GOOTLOADER.POWERSHELL Variante PowerShell Novembro 2022+"] end subgraph Launchers["Launchers .NET - FONELAUNCH"] C["FAX FONELAUNCH variante A Carrega BEACON"] D["PHONE FONELAUNCH variante B Carrega IcedID"] E["DIALTONE FONELAUNCH variante C Carrega SNOWCONE"] end subgraph Downloaders["Downloaders Adicionais"] F["SNOWCONE Downloader leve Entrega IcedID final"] end A --> C A --> D A --> E E --> F classDef loader fill:#7b1c1c,color:#fff,stroke:#a02020 classDef launch fill:#1c4a7b,color:#bfdbfe,stroke:#3b82f6 classDef down fill:#1a3a1a,color:#86efac,stroke:#22c55e class A,B loader class C,D,E launch class F down ``` **Técnica de ofuscação característica:** O GOOTLOADER insere o código malicioso dentro de arquivos JavaScript legítimos como jQuery, Chroma.js e Underscore.js - tornando a detecção via assinatura extremamente difícil. O payload de segundo estágio é armazenado fragmentado em múltiplas chaves do registro Windows. ## Técnicas MITRE ATT&CK | Técnica | ID | Fase | Uso | |---------|-----|------|-----| | Phishing via SEO Poisoning | [[t1566-spearphishing\|T1566]] | Acesso Inicial | Sites envenenados em resultados de busca | | User Execution: Malicious File | [[t1204-002-malicious-file\|T1204.002]] | Execução | Vítima abre arquivo ZIP com JScript | | Command and Scripting: JScript | [[t1059-007-javascript\|T1059.007]] | Execução | GOOTLOADER Stage 1 em JScript ofuscado | | Scheduled Task | [[t1053-005-scheduled-task\|T1053.005]] | Persistência | Persistência pós-infecção | | Modify Registry | [[t1112-modify-registry\|T1112]] | Persistência | Payload fragmentado em chaves de registro | | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Evasão | Código malicioso embutido em libs JS legítimas | ## Detecção e Defesa **Indicadores-chave de detecção:** - Processos `wscript.exe` ou `cscript.exe` iniciados por browsers (Chrome, Edge, Firefox) - Criação de Scheduled Tasks com nomes genéricos como `OneDriveStandaloneUpdater` - Escrita de dados fragmentados em chaves de registro HKCU incomuns (>1MB por chave) - Comúnicação de rede para domínios sequestrados via categorias legítimas (jurídico, saúde) **Mitigações recomendadas:** - Bloquear execução de JScript/VBScript via GPO (`Windows Script Host disabled`) - Implementar [[m1038-execution-prevention\|M1038 - Execution Prevention]] para bloquear wscript.exe por usuários comuns - Monitorar via [[t1053-005-scheduled-task\|T1053.005]] — auditoria de Scheduled Tasks no SIEM - EDR com análise comportamental para detectar DLL sideloading e movimentação lateral via BEACON ## Relevância para o Brasil e LATAM > [!latam] > O UNC2565 representa ameaça real para o Brasil. A técnica de SEO poisoning é eficaz em qualquer idioma - e o grupo tem histórico de adaptar operações para buscas em idiomas locais. Funcionários brasileiros de setores jurídico, financeiro e de saúde que buscam documentos empresariais em português estão dentro do perfil de vítima. O setor [[legal|jurídico]] e [[financial|financeiro]] brasileiro são alvos históricos do GOOTLOADER. Escritórios de advocacia e departamentos jurídicos corporativos que buscam contratos e acordos online são perfis de alto risco. O setor de [[healthcare|saúde]] australiano foi fortemente alvo em 2022-2023 - padrão que pode se replicar no Brasil. A cadeia GOOTLOADER - BEACON - ransomware foi documentada como vetor de múltiplos grupos ransomware que afetam organizações brasileiras, incluindo variantes Hive e REvil. ## Referências - [1](https://www.mandiant.com/resources/blog/gootloader-expands-operation) Mandiant - GOOTLOADER UNC2565 Malware Family Expands (2021) - [2](https://www.mandiant.com/resources/blog/tracking-unc2565-gootloader) Mandiant - Tracking UNC2565: GOOTLOADER Threat Actor (2022) - [3](https://www.trendmicro.com/en_us/research/22/l/gootkit-loader-campaigns-from-australia-to-germany.html) Trend Micro - GOOTKIT Loader Campaigns Australia to Germany (2022) - [4](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-228a) CISA - Threat Actor in Business-Process-Outsourcing (2022)