badhatch - RunkIntel

# BADHATCH > [!high] Backdoor Modular do FIN8 com Carregamento Reflexivo - Ataques a Setor Financeiro e Varejo > BADHATCH é o backdoor central do [[g0061-fin8|FIN8]] (Sardonic), grupo financeiramente motivado que opera desde 2016 com foco em comprometimento de sistemas POS e infraestrutura financeira. Documentado em ataques nos EUA, Canadá, Panamá, África do Sul e Itália, o BADHATCH usa carregamento reflexivo de código em memória e múltiplas camadas de ofuscação para evadir soluções EDR modernas. ## Visão Geral BADHATCH (MITRE S1081) é um backdoor sofisticado desenvolvido e operado pelo [[g0061-fin8|FIN8]] (também rastreado como Sardonic), grupo de ameaça financeiramente motivado ativo desde pelo menos 2016. O [[g0061-fin8|FIN8]] distingue-se por longos períodos de dormência operacional entre campanhas - durante os quais o grupo atualiza ferramentas e TTPs para evadir as detecções mais recentes - seguidos de ataques cirúrgicos e altamente direcionados. O BADHATCH foi documentado pela Bitdefender em 2021 como parte da campanha "Sardonic", com alvos em seguradoras, varejistas, empresas de tecnologia e setor químico em múltiplos países. O diferencial técnico do BADHATCH está em seu uso extensivo de técnicas de carregamento em memória: executa payloads diretamente na RAM sem gravar arquivos no disco ([[t1620-reflective-code-loading|T1620]]), tornando-o resistente a soluções de antivírus tradicionais baseadas em varredura de arquivos. O backdoor injeta código em processos legítimos do Windows ([[t1055-process-injection|T1055]]) para mascarar sua presença em listas de processos e dificultar correlação com comportamento malicioso por sistemas de monitoramento baseados em processo. Comandos PowerShell são ofuscados ([[t1027-010-command-obfuscation|T1027.010]]) para evadir AMSI (Antimalware Scan Interface). O BADHATCH representa a evolução do arsenal do [[g0061-fin8|FIN8]] desde suas ferramentas anteriores (PUNCHTRACK, PUNCHBUGGY, ShimRat), refletindo a capacidade do grupo de investir continuamente em desenvolvimento de malware customizado. A campanha Sardonic de 2021 representou um salto qualitativo nas capacidades do grupo, com o BADHATCH demonstrando sophistication técnica comparável a ferramentas de grupos APT patrocinados por estados. | Campo | Detalhe | |-------|---------| | **Tipo** | Backdoor modular / ferramenta de acesso persistente | | **Linguagem** | C/C++ | | **Primeira versão** | 2019 (Sardonic 2021 principal campanha) | | **Status** | Ativo - [[g0061-fin8\|FIN8]] continua operacional em 2024 | | **MITRE ID** | S1081 | | **Plataformas** | Windows | | **Alvo principal** | Sistemas POS, financeiro, varejo, seguradoras | ## Como Funciona **Acesso inicial via spear-phishing ou exploração de serviços:** O [[g0061-fin8|FIN8]] obtém acesso inicial via campanhas de spear-phishing direcionadas ou exploração de vulnerabilidades em serviços públicos (VPN, RDP). Emails de phishing usam iscas financeiras ou de RH relevantes para os alvos. **Instalação via PowerShell ofuscado:** O BADHATCH é entregue por scripts PowerShell com múltiplas camadas de ofuscação - concatenação de strings, encoding Base64, substituição de caracteres - para evadir AMSI e políticas de execução de scripts. **Carregamento reflexivo em memória:** O payload BADHATCH é carregado diretamente na memória do processo sem criar arquivos no disco. O carregamento reflexivo usa técnicas de PE injection para mapear o DLL malicioso na memória de um processo alvo sem passar pelo sistema de arquivos do Windows. **Injeção em processos legítimos:** O código do BADHATCH é injetado em processos legítimos do Windows (`svchost.exe`, `explorer.exe`) para mascarar sua presença. Process access hooks monitoram tentativas de enumeração de módulos injetados. **Reconhecimento extensivo:** Após comprometimento, o BADHATCH realiza varredura sistemática do ambiente: compartilhamentos de rede acessíveis, sistemas remotos descobertos via ping e enumeração, processos em execução, usuários e grupos, horário do sistema (para anti-sandbox). **C2 via HTTP/HTTPS com suporte a proxy:** As comúnicações com o servidor de comando usam HTTP/HTTPS, podendo ser roteadas via proxies para aumentar anonimato e dificultar bloqueio. Screenshots periódicos são exfiltrados para monitoramento visual do operador. **Carregamento de payloads adicionais:** O BADHATCH funciona como plataforma de acesso persistente que pode carregar payloads adicionais (como o ShimRatReporter ou ferramentas de coleta específicas de POS) via carregamento reflexivo sob demanda do operador. ## Attack Flow ```mermaid graph TB A["Spear-phishing financeiro Isca RH ou financeira T1566.001 Spearphishing"] --> B["PowerShell ofuscado Multi-camadas AMSI bypass T1027.010 T1059.001"] B --> C["Reflective loading PE injection em memória T1620 sem artefatos disco"] C --> D["Process injection svchost explorer mascarado T1055 invisível em listas"] D --> E["Reconhecimento Rede compartilhamentos POS T1018 T1135 T1057"] E --> F["C2 HTTP/HTTPS proxy Screenshots exfiltrados T1071.001 T1090 T1113"] F --> G["Payload POS adicional Coleta de dados de cartão Exfiltração financeira"] classDef delivery fill:#e74c3c,color:#fff classDef exec fill:#e67e22,color:#fff classDef inject fill:#8e44ad,color:#fff classDef recon fill:#27ae60,color:#fff classDef c2 fill:#1abc9c,color:#fff classDef impact fill:#2c3e50,color:#fff class A delivery class B exec class C,D inject class E recon class F c2 class G impact ``` ## Timeline ```mermaid timeline title BADHATCH - FIN8 Arsenal Evolution 2016 : FIN8 documentado atacando setores financeiros : Ferramentas PUNCHTRACK e PUNCHBUGGY 2017 : FIN8 pausa operacional - atualiza arsenal : Protracted dormancy period 2019 : BADHATCH primeira versão documentada : Adicionado ao arsenal Sardonic 2021 : Campanha Sardonic - Bitdefender documenta : Ataques em EUA Canadá Panamá SA Itália 2022 : FIN8 adota Scattered Spider TTPs : Ransomware adicionado ao objetivo final 2023 : FIN8 usa BlackCat/ALPHV como afiliado : Ransomware como monetização final 2024 : Atividade confirmada em setores financeiros : BADHATCH continua ativo em operações ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|----------------| | Evasão | [[t1620-reflective-code-loading\|T1620]] | Carregamento de payload em memória sem gravar no disco | | Evasão | [[t1027-010-command-obfuscation\|T1027.010]] | PowerShell ofuscado com múltiplas camadas para evadir AMSI | | Evasão | [[t1027-009-embedded-payloads\|T1027.009]] | Código malicioso embutido em estruturas de dados legítimas | | Evasão | [[t1090-proxy\|T1090]] | Roteamento de C2 via proxy para anonimização | | Execução | [[t1059-001-powershell\|T1059.001]] | Scripts PowerShell para carregamento e execução do backdoor | | Execução | [[t1055-process-injection\|T1055]] | Injeção de código em processos legítimos do Windows | | Persistência | [[t1053-005-scheduled-task\|T1053.005]] | Scheduled Tasks para execução persistente | | Descoberta | [[t1082-system-information-discovery\|T1082]] | Reconhecimento do sistema comprometido | | Descoberta | [[t1033-system-owneruser-discovery\|T1033]] | Enumeração de usuários e grupos do sistema | | Descoberta | [[t1057-process-discovery\|T1057]] | Listagem de processos em execução | | Descoberta | [[t1018-remote-system-discovery\|T1018]] | Varredura de sistemas remotos na rede | | Descoberta | [[t1135-network-share-discovery\|T1135]] | Enumeração de compartilhamentos de rede acessíveis | | Descoberta | [[t1124-system-time-discovery\|T1124]] | Verificação do horário do sistema (anti-sandbox) | | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTP/HTTPS para comunicação com servidor de comando | | Coleta | [[t1113-screen-capture\|T1113]] | Screenshots periódicos para monitoramento visual do operador | ## Grupos que Usam - [[g0061-fin8|FIN8]] (Sardonic) - grupo financeiramente motivado especializado em comprometimento de sistemas POS e infraestrutura financeira ## Relevância LATAM/Brasil O [[g0061-fin8|FIN8]] documentadamente comprometeu organizações em múltiplos continentes, com alvos na América do Norte, Europa e África do Sul confirmados. O setor financeiro e de varejo brasileiro representa um alvo de alta prioridade para grupos com TTPs similares ao FIN8 pelos seguintes fatores: o Brasil processa um dos maiores volumes de transações com cartões de pagamento do mundo - com ampla infraestrutura POS em redes de varejo, supermercados, postos de combustível e restaurantes; sistemas POS brasileiros frequentemente operam em redes corporativas sem segmentação adequada; e o ecossistema criminoso financeiro brasileiro tem histórico de adoção e adaptação de técnicas de grupos internacionais. A evolução do [[g0061-fin8|FIN8]] para uso de ransomware como monetização final (via afiliação com BlackCat/ALPHV) amplia o risco para organizações brasileiras além do roubo de dados de cartões: grupos com estas TTPs agora visam paralisação de operações e extorsão, setores onde empresas brasileiras de varejo, logística e financeiras são alvos de alto valor por seu volume transacional e criticidade operacional. ## Detecção **Fontes de dados recomendadas:** - **ETW (Event Tracing for Windows):** Sequência `VirtualAlloc` + `WriteProcessMemory` + `CreateRemoteThread` em curto intervalo - padrão clássico de reflective loading. Monitorar via Microsoft-Windows-Threat-Intelligence provider. - **Sysmon Event ID 10 (ProcessAccess):** Acesso cross-process a `svchost.exe`, `explorer.exe` ou processos de sistema por processos não-relacionados sem privilégio SYSTEM. - **AMSI logs:** Bloquear e alertar para scripts PowerShell com múltiplos níveis de ofuscação (Base64 aninhado, `Invoke-Expression` + concatenação de strings). - **Sysmon Event ID 1 (ProcessCreate):** Processos filhos inesperados originados de `powershell.exe` ou `cmd.exe` em horários incomuns. **Regras de detecção:** - Sigma: `proc_creation_win_fin8_sardonic_badhatch.yml` - padrão de execução PowerShell + reflective loading em sequência - YARA: `fin8_badhatch.yar` - strings internas e estruturas de PE associadas ao BADHATCH (Bitdefender IoC repository 2021) - Network: monitorar tráfego HTTP/HTTPS de processos incomuns (`svchost.exe`, `explorer.exe`) para IPs externos - indicativo de process injection com C2 ## Referências - [1](https://attack.mitre.org/software/S1081/) MITRE ATT&CK - S1081 BADHATCH - [2](https://businessinsights.bitdefender.com/deep-dive-into-a-fin8-attack-a-forensic-investigation) Bitdefender - Deep Dive Into FIN8 Sardonic Backdoor (2021) - [3](https://www.symantec.com/blogs/threat-intelligence/fin8-attack-windows-zero-day) Symantec - FIN8 Attack Uses Windows Zero-Day (2019) - [4](https://www.morphisec.com/blog/targeted-attack-fin8-backdoor) Morphisec - FIN8 Targeted Attack with BADHATCH (2021) - [5](https://www.crowdstrike.com/blog/fin8-returns-with-improved-sardonic-backdoor/) CrowdStrike - FIN8 Returns with Improved Sardonic Backdoor (2022)