# Graphite > Tipo: **backdoor** · [Cluster25 / Trellix Research](https://cluster25.io/) ## Descrição [[graphite|Graphite]] é um backdoor identificado pelo grupo de pesquisa Cluster25 em 2022, atribuído ao [[g0007-apt28|APT28]] (Fancy Bear, STRONTIUM), o grupo de espionagem militar russo associado ao GRU (serviço de inteligência militar da Rússia). O [[graphite|Graphite]] utiliza a API do Microsoft OneDrive como canal de comunicação C2, seguindo a tendência de outros malwares APT de abusar de serviços cloud legítimos para evitar detecção por soluções de filtragem baseadas em reputação de domínio. O malware foi identificado em campanhas de spear-phishing contra alvos de defesa e governamentais na Europa e na América do Norte. O [[graphite|Graphite]] é distribuído através de documentos PowerPoint maliciosos com links de "mouse-over" (quando o cursor passa sobre um link, o malware é executado sem clique) - uma técnica incomum que explora a funcionalidade de hover links do PowerPoint. Ao controlar uma conta OneDrive, os operadores do [[g0007-apt28|APT28]] fazem upload de comandos como arquivos na conta, e o malware verifica periodicamente a conta em busca de novos comandos para executar, retornando os resultados como novos arquivos. Esta abordagem torna o tráfego C2 práticamente indistinguível de uso normal do OneDrive. O [[g0007-apt28|APT28]] é um dos grupos APT mais ativos e prolíficos, com operações documentadas em eleições (interferência eleitoral nos EUA em 2016, campanha presidencial francesa em 2017), ataques a agências anti-doping (WADA), organizações de saúde, e alvos militares e governamentais em múltiplos países. O grupo é distinguido pelo uso extensivo de credenciais roubadas via phishing e pela velocidade com que explora vulnerabilidades recentemente divulgadas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] ## Grupos que Usam - [[g0007-apt28|APT28]] ## Detecção > [!tip] Indicadores de Detecção > - Monitorar e controlar comúnicações com a API do OneDrive/Microsoft Graph por aplicativos não-corporativos > - Detectar documentos PowerPoint com links externos (especialmente mouse-over links para URLs externas) > - Alertar sobre arquivos PowerPoint que executam processos ao serem abertos (Protected View bypass) > - Implementar políticas de DLP para uploads automáticos de dados do sistema para OneDrive > - Verificar autenticação OAuth do OneDrive para tokens concedidos a aplicativos não-reconhecidos ## Relevância LATAM/Brasil O [[g0007-apt28|APT28]]/GRU tem histórico de interferência em processos políticos e ataques a instituições de defesa globalmente. O Brasil, como potência regional e membro de organismos internacionais com posição política relevante, é um alvo plausível para operações de espionagem política do GRU. Organizações governamentais, de defesa, e cobertura jornalística de política internacional brasileira devem considerar o APT28 e o Graphite como ameaças relevantes. A técnica de usar OneDrive como C2 é relevante para qualquer organização que usa Microsoft 365, pois o tráfego OneDrive legítimo pode mascarar comúnicações maliciosas. ## Referências - [Cluster25 - Graphite Analysis](https://cluster25.io/2022/09/26/graphite-fancy-bear-apt28/)