# Mivast > Tipo: **malware** · S0080 · [MITRE ATT&CK](https://attack.mitre.org/software/S0080) ## Descrição [[s0080-mivast|Mivast]] é um backdoor utilizado pelo [[g0009-deep-panda|Deep Panda]] (também conhecido como Shell Crew, WebMasters, KungFu Kittens e Bronze Firestone), grupo de ciberespionagem com nexo na China. O Mivast teria sido implantado durante a violação de dados da Anthem em 2015, um dos maiores ataques a uma seguradora de saúde nos EUA, que resultou no comprometimento de dados pessoais e médicos de aproximadamente 78,8 milhões de indivíduos. O Mivast estabelece persistência através de chaves de autorun no registro ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) e mantém capacidades de execução de comandos via shell Windows ([[t1059-003-windows-command-shell|T1059.003]]), transferência de ferramentas adicionais ([[t1105-ingress-tool-transfer|T1105]]) e extração de credenciais do Security Account Manager ([[t1003-002-security-account-manager|T1003.002]]). Este último recurso era especialmente valioso na fase de movimentação lateral pós-comprometimento do ambiente da Anthem. A atribuição do ataque à Anthem ao [[g0009-deep-panda|Deep Panda]] foi realizada por múltiplas empresas de segurança, embora nunca confirmada públicamente pelo governo americano. O Mivast representa um exemplo de como backdoors simples, com capacidades limitadas mas focadas, podem ser suficientes para comprometer organizações de grande porte quando implantados por operadores experientes com acesso a credenciais válidas obtidas por outros meios. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1003-002-security-account-manager|T1003.002 - Security Account Manager]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] ## Grupos que Usam - [[g0009-deep-panda|Deep Panda]] ## Detecção Detecção do Mivast envolve monitoramento de chaves de autorun criadas em locais incomuns do registro ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]), acesso ao SAM para extração de credenciais ([[t1003-002-security-account-manager|T1003.002]]) e transferência de ferramentas via HTTP/S para hosts internos ([[t1105-ingress-tool-transfer|T1105]]). Regras YARA para binários do Mivast estão disponíveis em repositórios públicos. Em ambientes com EDR, o comportamento de acesso ao SAM deve disparar alertas de alta prioridade, pois indica tentativa de movimento lateral. ## Relevância LATAM/Brasil O [[g0009-deep-panda|Deep Panda]] tem histórico de ataques a organizações de saúde e seguradoras - setor com crescimento acelerado no Brasil. Embora o Mivast sejá uma ferramenta histórica (2015), o [[g0009-deep-panda|Deep Panda]] continua ativo com novas ferramentas. Operadoras de planos de saúde, seguradoras e empresas do setor de saúde no Brasil devem monitorar TTPs deste grupo, especialmente técnicas de extração de credenciais e persistência em registro. ## Referências - [MITRE ATT&CK - S0080](https://attack.mitre.org/software/S0080)