s0417-griffon - RunkIntel

# GRIFFON > Tipo: **backdoor JavaScript** · S0417 · [MITRE ATT&CK](https://attack.mitre.org/software/S0417) ## Descrição [[s0417-griffon|GRIFFON]] é um backdoor implementado em JavaScript utilizado pelo grupo de cibercrime financeiro [[g0046-fin7|FIN7]] (também conhecido como Carbanak Group e Carbon Spider) em campanhas de spear-phishing contra o setor de hospedagem, varejo e restaurantes desde pelo menos 2017. O malware é entregue via e-mails de phishing com documentos Office maliciosos que utilizam scripts VBScript ou JScript para executar o GRIFFON. A escolha de JavaScript como linguagem de implementação do backdoor é intencional - código JavaScript é frequentemente menos suspeito que executáveis PE e pode ser executado via Windows Script Host (wscript.exe) sem necessidade de compilação. O [[s0417-griffon|GRIFFON]] fornece capacidades de reconhecimento e backdoor remotas: captura de screenshots, enumeração de grupos de domínio, descoberta de tempo do sistema, coleta de informações do sistema, e execução de comandos PowerShell adicionais para baixar e executar payloads de próxima fase. O malware estabelece persistência via chaves de registro Run ou tarefas agendadas e se comúnica com servidores C2 para receber módulos adicionais. O [[g0046-fin7|FIN7]] usa o GRIFFON primariamente para válidação do ambiente comprometido antes de implantar ferramentas mais pesadas como o CARBANAK ou [[flawedammyy|FlawedAmmyy]]. O [[g0046-fin7|FIN7]] é responsável por perdas de mais de US$1 bilhão em ataques a mais de 100 empresas em 40 países, com foco em restaurantes de fast-food, hotéis, cassinos e varejistas. O grupo é reconhecido por suas campanhas de spear-phishing sofisticadas com lures altamente personalizados para cada organização alvo, incluindo referências a fornecedores reais, cardápios de restaurantes e contratos comerciais legítimos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1069-002-domain-groups|T1069.002 - Domain Groups]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1059-001-powershell|T1059.001 - PowerShell]] ## Grupos que Usam - [[g0046-fin7|FIN7]] ## Detecção > [!tip] Indicadores de Detecção > - Monitorar execução de scripts JavaScript/JScript via wscript.exe ou cscript.exe, especialmente iniciados por processos Office > - Detectar tarefas agendadas e chaves de registro Run criadas por processos de script > - Alertar sobre execução de PowerShell com encoded commands a partir de processos de script > - Implementar regras de e-mail para detectar documentos Office com scripts externos embedados > - Correlacionar com IoCs do FIN7 - o grupo usa campanhas de phishing de alto volume com alvos específicos ## Relevância LATAM/Brasil O [[g0046-fin7|FIN7]] tem histórico de ataques a redes de restaurantes, hotéis e varejo - setores com forte presença no Brasil. O Brasil, com sua enorme base de fast-food (McDonald's, Burger King, Subway), redes hoteleiras internacionais e grandes varejistas, representa um alvo potencial para as operações do FIN7. O modelo de comprometimento de sistemas POS em conjunto com o GRIFFON para reconhecimento e o [[s0503-frameworkpos|FrameworkPOS]] para coleta de dados de cartão é diretamente aplicável ao ecossistema de pagamentos brasileiro. Operadores de sistemas de restaurante e hotelaria no Brasil devem incluir o FIN7/GRIFFON em seus modelos de ameaça. ## Referências - [MITRE ATT&CK - S0417](https://attack.mitre.org/software/S0417)