s0045-advstoreshell

# ADVSTORESHELL > Tipo: **malware** · S0045 · [MITRE ATT&CK](https://attack.mitre.org/software/S0045) ## Descrição [[s0045-advstoreshell|ADVSTORESHELL]] é um backdoor de espionagem sofisticado utilizado pelo [[g0007-apt28|APT28]] (também conhecido como Fancy Bear, STRONTIUM e Sofacy) pelo menos entre 2012 e 2016. É geralmente empregado para espionagem de longo prazo em organizações governamentais, militares e de think tanks, sendo implantado após uma fase de reconhecimento inicial. O malware é também rastreado como AZZY, EVILTOSS, NETUI e Sedreco por diferentes fornecedores de segurança, refletindo variantes e versões distintas da mesma família. Funcionalmente, o ADVSTORESHELL oferece capacidades completas de espionagem: keylogging ([[t1056-001-keylogging|T1056.001]]), captura de tela, coleta e staging de arquivos ([[t1074-001-local-data-staging|T1074.001]]), execução de comandos via [[t1059-003-windows-command-shell|Windows Command Shell]], e transferência agendada de dados ([[t1029-scheduled-transfer|T1029]]). Para persistência, utiliza hijacking de COM objects ([[t1546-015-component-object-model-hijacking|T1546.015]]) e chaves de registro de startup ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]). O canal C2 usa [[t1573-001-symmetric-cryptography|criptografia simétrica]] e [[t1132-001-standard-encoding|codificação padrão]] sobre HTTP, com rundll32 para execução de componentes DLL ([[t1218-011-rundll32|T1218.011]]). O [[g0007-apt28|APT28]] implantou o ADVSTORESHELL em campanhas contra governos da Europa Oriental, Alemanha (bundestag hack de 2015), a OTAN e organizações de defesa durante o período 2012-2016. O backdoor foi identificado em investigações do parlamento alemão, do Comitê Nacional Democrático dos EUA (DNC) e de múltiplos ministérios de defesa europeus. A análise forense da infraestrutura C2 conectou o ADVSTORESHELL a outros implantes do APT28 como X-Agent e Sofacy, confirmando a mesma plataforma de desenvolvimento. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1546-015-component-object-model-hijacking|T1546.015 - Component Object Model Hijacking]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1029-scheduled-transfer|T1029 - Scheduled Transfer]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] ## Grupos que Usam - [[g0007-apt28|APT28]] ## Detecção - **Sysmon Event ID 12/13** (Registry Events): monitorar criação ou modificação de chaves de registro em `HKCU\Software\Classes\CLSID\` - indicador de COM hijacking usado pelo ADVSTORESHELL para persistência. - **Sysmon Event ID 7** (Image Loaded) com **rundll32.exe**: alertar sobre carregamento de DLLs a partir de caminhos incomuns (temp folders, AppData) via rundll32, técnica característica do ADVSTORESHELL. - **EDR telemetria**: detectar exfiltração agendada - criação de arquivos comprimidos em intervalos regulares seguida de conexões de rede, padrão do `T1029 Scheduled Transfer`. - **Referência Sigma**: `registry_event_com_hijacking.yml` - detecção de COM hijacking via modificações de registro; e `proc_creation_win_rundll32_susp.yml` para uso suspeito do rundll32. ## Relevância LATAM/Brasil O [[g0007-apt28|APT28]] é um dos grupos APT mais ativos globalmente, com foco primário em espionagem política e militar contra governos ocidentais, OTAN, organizações eleitorais e think tanks de política externa. Embora não hajá registros de campanhas do ADVSTORESHELL específicamente direcionadas ao Brasil ou à América Latina, o APT28 representa uma ameaça relevante para embaixadas brasileiras na Europa, organizações diplomáticas do Mercosul com contato com países da OTAN e jornalistas que cobrem conflitos internacionais. ## Referências - [MITRE ATT&CK - S0045](https://attack.mitre.org/software/S0045)