# CozyDuke > Tipo: **backdoor** · S0023 · [MITRE ATT&CK](https://attack.mitre.org/software/S0023) ## Descrição [[s0023-cozyduke|CozyDuke]] (também conhecido como CozyCar, CozyBear, MiniDionis e CloudLook) é um backdoor modulares utilizado pelo [[g0016-apt29|APT29]], grupo de espionagem cibernética associado ao Serviço de Inteligência Estrangeira da Rússia (SVR). Ativo principalmente entre 2014 e 2015, o [[s0023-cozyduke|CozyDuke]] foi identificado em campanhas de espionagem de alto perfil, incluindo o ataque às redes do Comitê Nacional Democrata (DNC) dos Estados Unidos em 2016, juntamente com o [[minidionis|MiniDuke]] e o [[s0037-hammertoss|HAMMERTOSS]]. O [[s0023-cozyduke|CozyDuke]] é distribuído via e-mails de spear-phishing contendo links ou anexos maliciosos disfarçados de conteúdo legítimo - frequentemente vídeos engraçados ou documentos aparentemente oficiais. Após a execução, o malware estabelece persistência via chaves Run do registro do Windows e inicia coleta de inteligência: informações do sistema, usuários, processos e arquivos de interesse. O backdoor suporta execução de comandos arbitrários via shell do Windows e exfiltra dados em arquivos comprimidos para servidores C2 controlados pelo [[g0016-apt29|APT29]]. A modularidade do [[s0023-cozyduke|CozyDuke]] permite ao operador carregar componentes adicionais conforme necessário, incluindo stealers de credenciais e módulos de movimento lateral. A ofuscação do código e a utilização de infraestrutura C2 legítima (incluindo contas comprometidas em plataformas legítimas) demonstram a sofisticação do [[g0016-apt29|APT29]] em manter operações prolongadas sem detecção. Embora considerado inativo em sua forma original, os TTPs documentados do CozyDuke continuam sendo utilizados em variantes posteriores do arsenal APT29. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] ## Grupos que Usam - [[g0016-apt29|APT29]] ## Detecção - Monitorar e-mails com links para vídeos ou conteúdo multimídia que executam código ([[t1566-001-spearphishing-attachment|T1566.001]]) - Detectar criação de chaves Run no registro por processos iniciados via e-mail ou navegador ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) - Alertar sobre compressão de arquivos seguida de exfiltração para servidores externos ([[t1560-001-archive-via-utility|T1560.001]]) - Identificar execuções de cmd.exe com parâmetros suspeitos iniciados por processos de usuário ([[t1059-003-windows-command-shell|T1059.003]]) - Monitorar comúnicações C2 para domínios com padrões de registro recentes ou infraestrutura suspeita ## Relevância LATAM/Brasil O [[g0016-apt29|APT29]] tem interesse em governos, organizações diplomáticas e think tanks globalmente. Para o Brasil, o grupo representa ameaça para embaixadas e consulados brasileiros no exterior, ministérios de relações exteriores, organizações de pesquisa em política externa e empresas com operações estratégicas na Rússia ou Europa Oriental. O [[s0023-cozyduke|CozyDuke]] e as ferramentas sucessoras do [[g0016-apt29|APT29]] são especialmente relevantes durante períodos de tensão diplomática ou quando o Brasil assume posições em foros internacionais com implicações para interesses russos. ## Referências - [MITRE ATT&CK - S0023](https://attack.mitre.org/software/S0023) - [F-Secure - Duke Malware Family](https://www.f-secure.com/documents/996508/1030745/dukes_whitepaper.pdf)