# Comnie > Tipo: **malware** · S0244 · [MITRE ATT&CK](https://attack.mitre.org/software/S0244) ## Descrição [[s0244-comnie|Comnie]] é um backdoor remoto utilizado em ataques no Leste Asiático, com foco em organizações governamentais, de defesa e telecomúnicações em países como China, Jápão, Coreia do Sul e Taiwan. O malware realiza coleta automatizada de dados ([[t1119-automated-collection|T1119]]) e efetua amplo reconhecimento do ambiente comprometido antes de exfiltrar informações ao servidor C2. O Comnie utiliza serviços web legítimos de comunicação bidirecional ([[t1102-002-bidirectional-communication|T1102.002]]) como canal C2, incluindo potencialmente blogs e repositórios de código, para disfarçar tráfego malicioso. A criptografia simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]) protege as comúnicações, e o malware emprega Visual Basic Script ([[t1059-005-visual-basic|T1059.005]]) e Windows Command Shell ([[t1059-003-windows-command-shell|T1059.003]]) para execução de comandos. A persistência é estabelecida via modificação de atalhos ([[t1547-009-shortcut-modification|T1547.009]]). O reconhecimento inclui descoberta de serviços do sistema ([[t1007-system-service-discovery|T1007]]), software de segurança ([[t1518-001-security-software-discovery|T1518.001]]), contas locais ([[t1087-001-local-account|T1087.001]]), conexões de rede ([[t1049-system-network-connections-discovery|T1049]]) e sistemas remotos ([[t1018-remote-system-discovery|T1018]]). Esta coleta extensiva de informações de ambiente é consistente com operações de espionagem de longo prazo onde o operador busca mapear completamente a infraestrutura do alvo antes de avançar para objetivos primários. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1007-system-service-discovery|T1007 - System Service Discovery]] - [[t1119-automated-collection|T1119 - Automated Collection]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1102-002-bidirectional-communication|T1102.002 - Bidirectional Commúnication]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1087-001-local-account|T1087.001 - Local Account]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1547-009-shortcut-modification|T1547.009 - Shortcut Modification]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] ## Detecção - Monitorar comunicação bidirecional via serviços web legítimos (GitHub, Pastebin, blogs) por processos não esperados ([[t1102-002-bidirectional-communication|T1102.002]]) - Detectar scripts VBScript ou VBA executados fora de contextos de aplicação Office ([[t1059-005-visual-basic|T1059.005]]) - Alertar sobre modificação de arquivos de atalho (.lnk) em pastas de startup ([[t1547-009-shortcut-modification|T1547.009]]) - Identificar coleta automatizada de dados do sistema em processos em segundo plano ([[t1119-automated-collection|T1119]]) - Regra Sigma: processo realizando múltiplas queries de reconhecimento do sistema em sequência temporal curta ## Relevância LATAM/Brasil O [[s0244-comnie|Comnie]] tem foco em alvos do Leste Asiático, mas a técnica de C2 via serviços web legítimos ([[t1102-002-bidirectional-communication|T1102.002]]) é amplamente adotada por grupos que visam alvos globais, incluindo o Brasil. Organizações brasileiras com presença ou parceiros na Ásia, especialmente no setor de tecnologia e telecomúnicações, podem ser expostas a ameaças que utilizam TTPs similares. A técnica de evasão via serviços web confiáveis é especialmente relevante pois atravéssa controles de proxy e firewall que baseiam decisões em reputação de domínio. ## Referências - [MITRE ATT&CK - S0244](https://attack.mitre.org/software/S0244)