s0527-creep - RunkIntel

# CREEP > Tipo: **backdoor** · S0527 · [MITRE ATT&CK](https://attack.mitre.org/software/S0527) ## Descrição [[s0527-creep|CREEP]] é um backdoor utilizado pelo grupo [[g0010-turla|Turla]] (também conhecido como Snake, Venomous Bear e Waterbug), um dos grupos APT mais sofisticados e longevos associados à inteligência russa (FSB). O CREEP funciona como ferramenta de acesso remoto persistente, permitindo ao operador executar comandos, transferir arquivos e coletar informações de sistemas comprometidos de forma furtiva e resiliente. O [[s0527-creep|CREEP]] utiliza protocolos web padrão (HTTP/HTTPS) para comunicação C2, dificultando a detecção em ambientes com inspeção de tráfego limitada. O malware realiza reconhecimento do sistema, incluindo enumeração de arquivos e informações do ambiente, antes de iniciar operações de exfiltração. A capacidade de execução de comandos via Windows Command Shell permite ao operador executar práticamente qualquer ação no sistema comprometido com os privilégios do processo host. O [[g0010-turla|Turla]] é conhecido por manter presença em redes comprometidas por anos sem detecção, e o [[s0527-creep|CREEP]] serve como componente de manutenção de acesso nessa estratégia de longo prazo. O grupo historicamente ataca ministérios de relações exteriores, forças armadas, organizações de defesa e embaixadas - setores onde o valor da inteligência justifica operações prolongadas e de alto risco de detecção. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] ## Grupos que Usam - [[g0010-turla|Turla]] ## Detecção - Monitorar comúnicações HTTP/HTTPS incomuns de processos do sistema para servidores externos ([[t1071-001-web-protocols|T1071.001]]) - Detectar transferências de arquivos não autorizadas via canais C2 ([[t1105-ingress-tool-transfer|T1105]]) - Alertar sobre execuções de cmd.exe iniciadas por processos de serviço ou processos filhos incomuns ([[t1059-003-windows-command-shell|T1059.003]]) - Implementar análise de comportamento de rede (NBA) para identificar beaconing periódico típico de malware de acesso remoto - Monitorar enumração de diretórios e arquivos em sistemas sensíveis por processos não autorizados ## Relevância LATAM/Brasil O [[g0010-turla|Turla]] tem histórico comprovado de espionagem contra ministérios de relações exteriores e forças armadas globalmente, incluindo países da América Latina. O Brasil, com sua política externa ativa, Forças Armadas com capacidade de defesa cibernética em desenvolvimento e representações diplomáticas em países de interesse russo, é um alvo potencial de operações Turla. A longa persistência característica do grupo significa que comprometimentos podem passar anos sem detecção em organizações sem capacidade madura de threat hunting. ## Referências - [MITRE ATT&CK - S0527](https://attack.mitre.org/software/S0527) - [MITRE ATT&CK - Turla](https://attack.mitre.org/groups/G0010)