s0660-clambling - RunkIntel

# Clambling > Tipo: **malware** · S0660 · [MITRE ATT&CK](https://attack.mitre.org/software/S0660) ## Descrição [[s0660-clambling|Clambling]] é um backdoor modular escrito em C++ utilizado pelo [[g0027-threat-group-3390|Threat Group-3390]] (também conhecido como Bronze Keystone e APT27) desde pelo menos 2017. O malware foi distribuído em campanhas de spearphishing ([[t1566-001-spearphishing-attachment|T1566.001]]) visando organizações de defesa, tecnologia e governo no Leste Asiático. Suas capacidades incluem captura de vídeo ([[t1125-video-capture|T1125]]) e screenshots ([[t1113-screen-capture|T1113]]) em tempo real para vigilância de usuários comprometidos. O Clambling utiliza uma combinação de protocolos de comunicação, incluindo TCP/UDP ([[t1095-non-application-layer-protocol|T1095]]) e serviços web bidirecionais ([[t1102-002-bidirectional-communication|T1102.002]]), além de suporte a exfiltração via armazenamento em nuvem ([[t1567-002-exfiltration-to-cloud-storage|T1567.002]]). Técnicas de evasão incluem verificações de tempo ([[t1497-003-time-based-checks|T1497.003]]) para detectar análise em sandbox, ocultação de arquivos e diretórios ([[t1564-001-hidden-files-and-directories|T1564.001]]), e ofuscação de código ([[t1027-obfuscated-files-or-information|T1027]]). A persistência é mantida via chaves de registro Run ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]). O malware demonstra injeção de processos ([[t1055-process-injection|T1055]]) para execução furtiva e execução via serviços Windows ([[t1569-002-service-execution|T1569.002]]). O [[g0027-threat-group-3390|Threat Group-3390]] utilizou o Clambling em conjunto com outras ferramentas como o ShadowPad e PlugX em operações de comprometimento de longo prazo contra alvos estratégicos de alto valor. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1125-video-capture|T1125 - Video Capture]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1564-001-hidden-files-and-directories|T1564.001 - Hidden Files and Directories]] - [[t1102-002-bidirectional-communication|T1102.002 - Bidirectional Commúnication]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1569-002-service-execution|T1569.002 - Service Execution]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] ## Grupos que Usam - [[g0027-threat-group-3390|Threat Group-3390]] ## Detecção - Monitorar captura de vídeo e screenshot por processos em segundo plano ([[t1125-video-capture|T1125]], [[t1113-screen-capture|T1113]]) - Detectar conexões TCP/UDP de processos injetados para IPs externos ([[t1095-non-application-layer-protocol|T1095]]) - Alertar sobre exfiltração de dados para serviços de armazenamento em nuvem (Google Drive, Dropbox) por processos não autorizados ([[t1567-002-exfiltration-to-cloud-storage|T1567.002]]) - Identificar criação de arquivos ocultos e diretórios por processos suspeitos ([[t1564-001-hidden-files-and-directories|T1564.001]]) - Regra Sigma: processo iniciado por serviço Windows realizando injeção em outros processos ([[t1055-process-injection|T1055]]) ## Relevância LATAM/Brasil O [[g0027-threat-group-3390|Threat Group-3390]] tem foco em alvos asiáticos, mas a exfiltração via armazenamento em nuvem ([[t1567-002-exfiltration-to-cloud-storage|T1567.002]]) é uma técnica amplamente adotada por grupos que visam alvos globais, incluindo organizações brasileiras de tecnologia e defesa. Empresas brasileiras com parceiros ou subsidiárias na Ásia podem ser alvos colaterais em campanhas do TG-3390. A técnica de exfiltração via cloud, em particular, é difícil de detectar em organizações que não monitoram o tráfego para serviços legítimos como Google Drive e OneDrive. ## Referências - [MITRE ATT&CK - S0660](https://attack.mitre.org/software/S0660)