# LITTLELAMB.WOOLTEA > Tipo: **malware** · S1121 · [MITRE ATT&CK](https://attack.mitre.org/software/S1121) ## Descrição [[s1121-littlelambwooltea|LITTLELAMB.WOOLTEA]] é um backdoor utilizado pelo UNC5325, ator de ameaça com nexo China, durante a campanha [[cutting-edge|Cutting Edge]] para implantar malware em dispositivos VPN Ivanti Connect Secure e manter persistência mesmo após atualizações de software, patches e redefinições de fábrica. O malware foi documentado pela Mandiant em 2024 como parte de um conjunto de ferramentas sofisticadas explorando vulnerabilidades críticas na plataforma Ivanti. O LITTLELAMB.WOOLTEA estabelece persistência comprometendo binários de software do host ([[t1554-compromise-host-software-binary|T1554]]) e criando ou modificando processos do sistema ([[t1543-create-or-modify-system-process|T1543]]), permitindo sobreviver a ações de remediação padrão. As comúnicações C2 usam protocolo não-aplicação ([[t1095-non-application-layer-protocol|T1095]]) com criptografia assimétrica ([[t1573-002-asymmetric-cryptography|T1573.002]]) para proteger o canal de comando. O backdoor utiliza funcionalidades de proxy ([[t1090-proxy|T1090]]) para tunelamento de tráfego e realiza descoberta de arquivos e informações do sistema para mapear o ambiente comprometido. A campanha Cutting Edge explorou as [[cve-2023-46805|CVE-2023-46805]] e [[cve-2024-21887|CVE-2024-21887]] em dispositivos Ivanti Connect Secure globalmente. Organizações governamentais, de defesa e de infraestrutura crítica foram os alvos primários. O padrão de comprometimento de dispositivos de borda de rede é consistente com objetivos de espionagem de longo prazo atribuídos a atores estatais chineses. **Plataformas:** Network Devices ## Técnicas Utilizadas - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1090-proxy|T1090 - Proxy]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1554-compromise-host-software-binary|T1554 - Compromise Host Software Binary]] - [[t1543-create-or-modify-system-process|T1543 - Creaté or Modify System Process]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] ## Detecção - **[[ds-0022-file|File Modification]]** - Monitorar alterações em binários de sistema de appliances Ivanti Connect Secure após aplicação de patches - o LITTLELAMB.WOOLTEA sobrevive a atualizações modificando componentes do sistema. - **[[ds-0029-network-traffic|Network Traffic Content]]** - Analisar tráfego de saída de dispositivos VPN Ivanti em busca de conexões a IPs externos não associados a servidores de atualização ou gerenciamento legítimos. - **[[ds-0009-process|Process Creation]]** - Detectar criação de processos incomuns no contexto do sistema operacional do appliance Ivanti, especialmente aqueles que persistem entre ciclos de atualização. ```sigma title: Ivanti Connect Secure Persistence Post-Patch status: experimental logsource: category: application product: ivanti-connect-secure detection: selection: EventID: 1000 Message|contains: - 'upgrade complete' timeframe: 10m condition: selection falsepositives: - Normal post-upgrade system checks level: medium tags: - attack.persistence - attack.t1554 - code/distill ``` ## Relevância LATAM/Brasil Dispositivos VPN Ivanti Connect Secure são amplamente utilizados em organizações governamentais e corporativas no Brasil e na América Latina. A campanha Cutting Edge, que implantou o LITTLELAMB.WOOLTEA, explorou vulnerabilidades críticas em Ivanti que afetaram também organizações brasileiras. Organizações usando Ivanti Connect Secure devem verificar imediatamente a integridade do sistema e aplicar as mitigações recomendadas pela Ivanti e pela CISA. ## Referências - [MITRE ATT&CK - S1121](https://attack.mitre.org/software/S1121) - [Mandiant - Cutting Edge Campaign Analysis](https://www.mandiant.com/resources/blog/ivanti-post-exploitation-lateral-movement)