s0335-carbon - RunkIntel

# Carbon > Tipo: **malware** · S0335 · [MITRE ATT&CK](https://attack.mitre.org/software/S0335) ## Descrição [[s0335-carbon|Carbon]] é um backdoor sofisticado de segunda fase e framework que pode ser usado para roubar informações sensíveis de vítimas. [[s0335-carbon|Carbon]] foi seletivamente utilizado pelo [[g0010-turla|Turla]] para atacar organizações governamentais e relacionadas a relações exteriores na Ásia Central. A arquitetura modular do Carbon permite que componentes individuais sejam atualizados independentemente, tornando-o altamente adaptável a diferentes ambientes-alvo. O framework Carbon implementa criptografia assimétrica ([[t1573-002-asymmetric-cryptography|T1573.002]]) para proteger as comúnicações e utiliza serviços web legítimos ([[t1102-web-service|T1102]]) como mecanismo de C2, dificultando a detecção por soluções de segurança baseadas em reputação. A persistência é estabelecida via serviço Windows ([[t1543-003-windows-service|T1543.003]]) e tarefa agendada ([[t1053-005-scheduled-task|T1053.005]]). Dados coletados são preparados em staging local ([[t1074-001-local-data-staging|T1074.001]]) antes de exfiltração via protocolo não-criptografado ([[t1048-003-exfiltration-over-unencrypted-non-c2-protocol|T1048.003]]). O Carbon compartilha infraestrutura e características de código com outros implantes do [[g0010-turla|Turla]], incluindo o Uroburos/Snake e o KOPILUWAK. Pesquisadores da ESET documentaram variantes ativas do Carbon até 2022, demonstrando o comprometimento contínuo do Turla com o desenvolvimento e manutenção desta família de malware para operações de espionagem de longo prazo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1102-web-service|T1102 - Web Service]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1069-permission-groups-discovery|T1069 - Permission Groups Discovery]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1048-003-exfiltration-over-unencrypted-non-c2-protocol|T1048.003 - Exfiltration Over Unencrypted Non-C2 Protocol]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] ## Grupos que Usam - [[g0010-turla|Turla]] ## Detecção - Monitorar criação de serviços Windows por processos não administrativos ([[t1543-003-windows-service|T1543.003]]) - Detectar tarefas agendadas criadas com conteúdo ofuscado ([[t1053-005-scheduled-task|T1053.005]]) - Alertar sobre comúnicações HTTPS para serviços web legítimos com User-Agent ou padrões de tráfego anômalos ([[t1102-web-service|T1102]]) - Identificar uso de criptografia assimétrica em binários sem contexto legítimo ([[t1573-002-asymmetric-cryptography|T1573.002]]) - Regra Sigma: processo criando staging de dados locais seguido de exfiltração via HTTP não criptografado ([[t1048-003-exfiltration-over-unencrypted-non-c2-protocol|T1048.003]]) ## Relevância LATAM/Brasil O [[g0010-turla|Turla]] e o Carbon têm foco primário em organizações governamentais europeias e asiáticas, mas entidades diplomáticas brasileiras com presença em países de interesse russo - especialmente embaixadas e missões em Moscou, Leste Europeu e Ásia Central - podem ser alvos potenciais. Ministérios de Relações Exteriores e organizações de defesa brasileiras que mantêm relações com países-alvo históricos do Turla devem considerar as TTPs do Carbon em seus modelos de ameaça. A sofisticação do Carbon também o torna referência para operações de ciberespionagem contra o Brasil por outros grupos estatais. ## Referências - [MITRE ATT&CK - S0335](https://attack.mitre.org/software/S0335)