# Gazer > Tipo: **backdoor** · S0168 · [MITRE ATT&CK](https://attack.mitre.org/software/S0168) ## Descrição [[s0168-gazer|Gazer]] (também conhecido como WhiteBear) é um backdoor de segundo estágio sofisticado desenvolvido pelo grupo de espionagem russo [[g0010-turla|Turla]] (Snake, Uroburos, Venomous Bear), utilizado em campanhas de espionagem desde pelo menos 2016. O malware foi identificado principalmente em ataques contra embaixadas, ministérios de relações exteriores e organizações ligadas à segurança nacional em países europeus e da ex-URSS. O [[s0168-gazer|Gazer]] representa a evolução do arsenal do [[g0010-turla|Turla]] para alvos de alto valor diplomático e governamental. O [[s0168-gazer|Gazer]] implementa um conjunto extenso de técnicas de persistência e evasão: usa Winlogon Helper DLL para carregar na inicialização do Windows, realiza timestomping para ocultar datas de criação e modificação de arquivos, injeta código em threads de processos legítimos para mascarar sua presença, e utiliza atributos NTFS alternativos para armazenar dados de configuração de forma oculta. A comunicação C2 é cifrada com criptografia assimétrica (RSA) para proteger as comúnicações contra interceptação, com chaves geradas por sessão. O malware suporta múltiplos mecanismos de persistência simultaneamente como failsafe. O [[g0010-turla|Turla]] é um dos grupos APT mais técnicamente sofisticados conhecidos, com mais de duas décadas de operações documentadas. O grupo é reconhecido por sua paciência operacional - campanhas podem durar anos sem detecção - e por sua infraestrutura C2 diversificada que inclui uso de satelites de comunicação hackeados, comentários em posts do Instagram, e hijacking da infraestrutura de outros grupos APT. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1547-004-winlogon-helper-dll|T1547.004 - Winlogon Helper DLL]] - [[t1070-006-timestomp|T1070.006 - Timestomp]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1547-009-shortcut-modification|T1547.009 - Shortcut Modification]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1055-003-thread-execution-hijacking|T1055.003 - Thread Execution Hijacking]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1546-002-screensaver|T1546.002 - Screensaver]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1564-004-ntfs-file-attributes|T1564.004 - NTFS File Attributes]] ## Grupos que Usam - [[g0010-turla|Turla]] ## Detecção > [!tip] Indicadores de Detecção > - Monitorar modificações às chaves de registro Winlogon (especialmente `Userinit` e `Shell`) > - Detectar processos com atributos de arquivo alterados (timestomping) comparando timestamps do sistema de arquivos com metadados do PE > - Alertar sobre DLLs carregadas pelo processo winlogon.exe que não correspondem ao catálogo esperado > - Verificar atributos NTFS alternativos (ADS - Alternaté Data Streams) em arquivos do sistema > - Monitorar injeção de threads em processos legítimos do sistema usando APIs como CreateRemoteThread ## Relevância LATAM/Brasil O [[g0010-turla|Turla]] conduz operações de espionagem primariamente contra alvos diplomáticos e governamentais. O Ministério das Relações Exteriores (Itamaraty), embaixadas brasileiras no exterior, e organizações de segurança nacional do Brasil são alvos potenciais compatíveis com o perfil histórico do grupo. O Brasil, como país com política externa independente e participação em fóruns multilaterais como BRICS e G20, representa um alvo de inteligência relevante para serviços de espionagem russos. A sofisticação técnica do Gazer e do Turla exige que organizações governamentais brasileiras implementem capacidades avançadas de detecção e caça a ameaças. ## Referências - [MITRE ATT&CK - S0168](https://attack.mitre.org/software/S0168) - [ESET Research - Gazer/WhiteBear](https://www.eset.com/)