# SeaDuke > Tipo: **malware** · S0053 · [MITRE ATT&CK](https://attack.mitre.org/software/S0053) ## Descrição [[s0053-seaduke|SeaDuke]] (também conhecido como SeaDaddy e SeaDesk) é um malware utilizado pelo [[g0016-apt29|APT29]] (Cozy Bear) - grupo de espionagem cibernética atribuído ao Serviço de Inteligência Exterior da Rússia (SVR) - entre 2014 e 2015. Era empregado principalmente como backdoor secundário em vítimas já comprometidas pelo [[s0046-cozycar|CozyCar]] (CozyDuke), funcionando como ferramenta de acesso de fallback caso o backdoor primário fosse detectado e removido - uma estratégia de resiliência operacional sofisticada. O [[s0053-seaduke|SeaDuke]] é escrito em Python e compilado com PyInstaller, o que inicialmente dificultou sua detecção por soluções de antivírus baseadas em assinatura de PE. Uma de suas capacidades mais críticas é o roubo de credenciais Kerberos via técnica Pass-the-Ticket ([[t1550-003-pass-the-ticket|T1550.003]]), permitindo autenticação lateral em ambientes Active Directory sem necessidade de conhecer senhas em texto claro. O malware também realiza coleta de emails de Exchange remotamente ([[t1114-002-remote-email-collection|T1114.002]]), capacidade central nos objetivos de espionagem do [[g0016-apt29|APT29]]. A combinação de backdoors primário e secundário utilizados pelo [[g0016-apt29|APT29]] em operações desta época - [[s0046-cozycar|CozyCar]] + [[s0053-seaduke|SeaDuke]] - demonstra o nível de planejamento e profundidade de comprometimento que caracteriza este grupo. O uso de WMI Event Subscriptions para persistência ([[t1546-003-windows-management-instrumentation-event-subscription|T1546.003]]) e técnicas Pass-the-Ticket para movimento lateral são TTPs que o [[g0016-apt29|APT29]] manteve e aperfeiçoou em operações subsequentes, incluindo a campanha SolarWinds de 2020. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1550-003-pass-the-ticket|T1550.003 - Pass the Ticket]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1560-002-archive-via-library|T1560.002 - Archive via Library]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1114-002-remote-email-collection|T1114.002 - Remote Email Collection]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1547-009-shortcut-modification|T1547.009 - Shortcut Modification]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1546-003-windows-management-instrumentation-event-subscription|T1546.003 - Windows Management Instrumentation Event Subscription]] ## Grupos que Usam - [[g0016-apt29|APT29]] ## Detecção - Monitorar tickets Kerberos anômalos (TGS sem TGT correspondente, tickets de serviço para contas sensíveis) - Detectar acesso remoto ao Exchange por contas sem histórico de acesso remoto (EWS, MAPI over HTTP) - Alertar sobre binários Python empacotados com PyInstaller em ambientes onde Python não é esperado - Auditar WMI Event Subscriptions permanentes como indicador de persistência avançada - Implementar monitoramento de atividade de conta em horários fora do padrão estabelecido ## Relevância LATAM/Brasil O [[g0016-apt29|APT29]] representa uma das ameaças de espionagem mais sofisticadas do mundo, e suas técnicas - especialmente Pass-the-Ticket e coleta remota de emails - são relevantes para qualquer organização brasileira que opere ambientes Active Directory e Exchange. Representações diplomáticas estrangeiras no Brasil e órgãos do governo brasileiro com comúnicações sensíveis devem considerar o [[g0016-apt29|APT29]] como um ator de ameaça de alta prioridade em seus modelos de risco de espionagem cibernética. ## Referências - [MITRE ATT&CK - S0053](https://attack.mitre.org/software/S0053)