s0128-badnews - RunkIntel

# BADNEWS > Tipo: **malware** · S0128 · [MITRE ATT&CK](https://attack.mitre.org/software/S0128) ## Descrição [[s0128-badnews|BADNEWS]] é um backdoor sofisticado utilizado pelo grupo [[g0040-patchwork|Patchwork]] (APT indiano também conhecido como Dropping Elephant e Monsoon). O nome foi atribuído por pesquisadores devido à característica incomum de usar feeds RSS, fóruns e blogs legítimos como canais de C2 (dead drop resolvers), o que dificulta a detecção por soluções que permitem tráfego para sites de mídias sociais e blogs conhecidos. O BADNEWS é implantado em alvos de espionagem - tipicamente entidades governamentais e militares no Sul da Ásia. O BADNEWS opera com múltiplos canais de C2: comunicação bidirecional ([[t1102-002-bidirectional-communication|T1102.002]]) via blogs e fóruns como dead drops ([[t1102-001-dead-drop-resolver|T1102.001]]), além de HTTP ([[t1071-001-web-protocols|T1071.001]]). Implementa keylogging ([[t1056-001-keylogging|T1056.001]]), captura de tela ([[t1113-screen-capture|T1113]]), coleta automatizada ([[t1119-automated-collection|T1119]]) de dados do sistema local ([[t1005-data-from-local-system|T1005]]) e de compartilhamentos de rede ([[t1039-data-from-network-shared-drive|T1039]]). Para persistência, usa chaves de registro ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) e tarefas agendadas ([[t1053-005-scheduled-task|T1053.005]]). O tráfego é cifrado ([[t1573-001-symmetric-cryptography|T1573.001]]) e codificado ([[t1132-data-encoding|T1132]]) para dificultar análise. O [[g0040-patchwork|Patchwork]] implantou o BADNEWS em campanhas documentadas entre 2016 e 2021 contra ministérios de defesa e forças armadas no Paquistão, Sri Lanka e outros países do Sul da Ásia. A técnica de C2 via plataformas legítimas como WordPress, Blogspot e fóruns específicos demonstra o nível de sofisticação do grupo para evadir controles de segurança de rede corporativos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1102-001-dead-drop-resolver|T1102.001 - Dead Drop Resolver]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1132-data-encoding|T1132 - Data Encoding]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1102-002-bidirectional-communication|T1102.002 - Bidirectional Commúnication]] - [[t1036-001-invalid-code-signature|T1036.001 - Invalid Code Signature]] - [[t1119-automated-collection|T1119 - Automated Collection]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1039-data-from-network-shared-drive|T1039 - Data from Network Shared Drive]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Grupos que Usam - [[g0040-patchwork|Patchwork]] ## Detecção - **Análise de tráfego web**: monitorar requisições HTTP para plataformas de blog (WordPress.com, Blogspot) com parâmetros de URL incomuns ou padrões de acesso de alta frequência - indicador de uso como dead drop para C2. - **EDR telemetria**: alertar sobre processos que leem conteúdo de RSS feeds ou blogs em intervalos regulares (beaconing) via `wininet.dll` ou bibliotecas HTTP de terceiros. - **Sysmon Event ID 11** (FileCreaté): monitorar criação de arquivos de staging em diretórios temporários com extensões ocultas ou duplas, típico do comportamento de coleta e compressão do BADNEWS. - **Referência Sigma**: `net_connection_win_susp_social_media_c2.yml` - detecção de C2 via plataformas de mídia social/blogging; e `proc_creation_win_susp_keylogger.yml` para atividade de keylogging. ## Relevância LATAM/Brasil O [[g0040-patchwork|Patchwork]] opera com foco em espionagem no Sul da Ásia e não tem histórico de campanhas na América Latina. No entanto, a técnica inovadora de C2 via blogs e feeds RSS utilizada pelo BADNEWS tem relevância analítica para o Brasil, pois demonstra como plataformas de conteúdo legítimas podem ser abusadas para contornar controles de segurança de rede. Atores de ameaça com interesse no Brasil poderiam adaptar técnicas similares, tornando este padrão de ataque um referêncial importante para equipes de defesa de redes brasileiras. ## Referências - [MITRE ATT&CK - S0128](https://attack.mitre.org/software/S0128)