# UTA0218 > [!danger] CVSS 10.0 - Máximo em Gateway de Segurança > A [[cve-2024-3400|CVE-2024-3400]] tem score CVSS **10.0** - máximo da escala - em um gateway de segurança amplamente implantado. O UTA0218 explorou como zero-day antes da disponibilização de patches, comprometendo organizações que confiavam no GlobalProtect como perímetro de segurança. > [!info] Designação Volexity - Nexo China > O UTA0218 é uma designação da [[Volexity]] para cluster com suspeito nexo à China. O uso do [[s0633-sliver|Sliver]] (framework open-source) como C2 é compartilhado com outros atores ([[dev-0237|DEV-0237]], [[g0016-apt29|APT29]]), dificultando a atribuição por ferramentas. ## Perfil **UTA0218** é uma designação da [[Volexity]] para um cluster de ameaça com suspeita de nexo à República Popular da China (**RPC**). O grupo foi identificado explorando o [[cve-2024-3400|CVE-2024-3400]] - uma injeção de comando com score CVSS 10.0 na funcionalidade de gateway do GlobalProtect - como **zero-day** em abril de 2024, antes da disponibilização de patches. O grupo conduziu a campanha denominada **[[operation-midnighteclipse|Operation MidnightEclipse]]**, utilizando o acesso para implantar o backdoor **UPSTYLE** e manter persistência em dispositivos comprometidos. ## Ferramentas e Malware - **[[s1164-upstyle|UPSTYLE]]** - backdoor Python implantado em dispositivos PAN-OS comprometidos; executa comandos via requisições de rede especialmente crafted - Uso do framework C2 **[[s0633-sliver|Sliver]]** (open-source) em operações pós-exploração - Shells reversos via `curl`, `wget`, `bash -c` com cargas em base64 ## TTPs Principais O UTA0218, rastreado na Operation MidnightEclipse (C0048), explorou a CVE-2024-3400 no Palo Alto PAN-OS GlobalProtect (T1190) para execução remota de código não autenticada. O grupo utilizou interpretadores de shell Unix (T1059.004) para criar reverse shells e implantou o backdoor Python UPSTYLE. Transferiu ferramentas como o proxy GOST via wget (T1105), coletou dados de configuração e credenciais NTDS.DIT (T1005, T1003.003), e agendou cron jobs (T1053.003) para persistência. Os dados exfiltrados foram staged em diretórios web (T1074.001) e o grupo utilizou proxies (T1090) para comunicação C2. ## Campanhas - [[operation-midnighteclipse|Operation MidnightEclipse]] - exploração do CVE-2024-3400 como zero-day em abril de 2024 - [[ir-pan-os-exploitation]] - exploração encadeada de CVE-2024-0012 + CVE-2024-9474 ## Relevância para o Brasil e LATAM UTA0218 representa ameaça CRÍTICA a Brasil. Palo Alto Networks GlobalProtect é amplamente implantado em governo federal, bancos e grandes corporações brasileiras como "perímetro de confiança" para VPN e acesso remoto. O CVE-2024-3400 (CVSS 10.0) afeta GlobalProtect antes de patch ser disponível (zero-day de abril 2024). Um exploit bem-sucedido permite acesso administrativo ao gateway - o que significa acesso a TODOS os usuários remotos simultâneos (home office, executivos), seus tráfego completo, e pivotamento para rede interna sem qualquer limite de segurança. A confiança depositada no GlobalProtect como "firewall de confiança" torna a sua comprometimento um desastre total de segurança perimetral. LATAM não recebeu tanta aténção de UTA0218 quanto EUA/Europa, mas isso não significa imunidade - apenas que exploração ocorreu silenciosamente. Auditoria completa de GlobalProtect no Brasil é crítica. **CVEs explorados:** [[cve-2024-3400|CVE-2024-3400]] · [[cve-2024-0012|CVE-2024-0012]] **Vendors alvejados:** [[_palo-alto-networks|Palo Alto Networks]] · [[globalprotect|GlobalProtect]] · [[pan-os|PAN-OS]] **Playbook de resposta:** [[ir-pan-os-exploitation]] **Atores relacionados:** [[g1017-volt-typhoon|Volt Typhoon]] · [[g0016-apt29|APT29]] --- *Fonte: [Volexity - UTA0218 / Operation MidnightEclipse](https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-CVE-2024-3400/)* *Fonte: [Palo Alto Networks PSIRT Advisory PAN-SA-2024-0006](https://security.paloaltonetworks.com/CVE-2024-3400)* *Fonte: [Unit 42 - Threat Brief: Operation MidnightEclipse](https://unit42.paloaltonetworks.com/CVE-2024-3400/)* ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota.