# BarbWire Backdoor > [!high] Backdoor do APT-C-23 - Operação Bearded Barbie Contra Israel > BarbWire Backdoor é um implante customizado do grupo APT-C-23 (Arid Viper), vinculado ao Hamas, documentado na Operação Bearded Barbie em 2022. Entregue via engenharia social em Facebook com perfis femininos falsos, usa base64 customizado e grava áudio, captura tela e keylogging. ## Visão Geral BarbWire Backdoor é um implante de acesso remoto desenvolvido pelo grupo [[g1028-apt-c-23]], também rastreado como Arid Viper - uma APT associada ao Hamas com histórico de ataques contra alvos israelenses, especialmente militares e funcionários governamentais. O backdoor foi documentado extensivamente pela Check Point Research na análise da [[operation-bearded-barbie]] em 2022. A Operação Bearded Barbie demonstrou engenharia social sofisticada: o grupo criou perfis femininos fictícios e convincentes no Facebook, estabelecendo relacionamentos de confiança com soldados e oficiais israelenses ao longo de semanas ou meses antes de enviar o malware. Os perfis usavam fotos de mulheres atraentes e mantinham conversas naturais para construir confiança antes de convencer a vítima a baixar um aplicativo ou arquivo malicioso. O BarbWire emprega ofuscação via base64 customizado - uma variante modificada do encoding base64 padrão que dificulta a análise automática e o reconhecimento por ferramentas de segurança. O backdoor tem capacidades abrangentes de espionagem: captura de tela periódica, keylogging, gravação de áudio do microfone e exfiltração de arquivos. Usa o [[barbie-downloader]] como primeiro estágio antes de instalar o backdoor completo. A persistência é mantida via chaves de registro Run do Windows, garantindo reinicialização automática do implante. O canal C2 usa HTTP com dados de exfiltração codificados em base64 customizado, dificultando inspeção de conteúdo por proxies e soluções de segurança de rede. > [!latam] Relevância para o Brasil > O **BarbWire** é relevante para o Brasil como modelo de **engenharia social via redes sociais** — a técnica de perfis falsos usada pelo **APT-C-23** na Operação Bearded Barbie é amplamente replicada contra alvos militares e governamentais em todo o mundo. Forças Armadas e servidores do governo brasileiro com presença em redes sociais são potenciais alvos de campanhas similares. As capacidades de **keylogging, captura de tela e gravação de áudio** tornam o BarbWire um dos backdoors de espionagem mais completos documentados em operações do Hamas. ## Attack Flow ```mermaid graph TB A["👤 Perfil Falso Facebook<br/>Mulher atraente - semanas de contato"] --> B["💬 Engenharia Social<br/>Construcao de confianca"] B --> C["📱 Instalador Falso<br/>App Android ou executavel Windows"] C --> D["📥 Barbie Downloader<br/>Primeiro estagio - verifica ambiente"] D --> E["💀 BarbWire Backdoor<br/>Segundo estagio instalado"] E --> F["🔑 Persistência Registry<br/>Run key para reinicio automatico"] F --> G["🎙️ Coleta Multi-Modal<br/>Audio + Screenshot + Keylog"] G --> H["📤 Exfiltração C2<br/>Base64 customizado via HTTP"] ``` *Campanha: [[operation-bearded-barbie]] · Downloader: [[barbie-downloader]] · Grupo: [[g1028-apt-c-23]]* ## Técnicas MITRE ATT&CK | ID | Técnica | Fase | Descrição | |----|---------|------|-----------| | T1566.001 | Spearphishing Attachment | Acesso Inicial | Arquivo malicioso enviado via Facebook Messenger | | T1204.002 | Malicious File | Execução | Usuário executa instalador falso | | T1547.001 | Registry Run Keys | Persistência | Chave de registro Run para persistência | | T1056.001 | Keylogging | Coleta | Captura de teclas digitadas | | T1113 | Screen Capture | Coleta | Capturas de tela periódicas | | T1123 | Audio Capture | Coleta | Gravação de áudio via microfone | | T1005 | Data from Local System | Coleta | Exfiltração de arquivos do sistema | | T1041 | Exfiltration Over C2 | Exfiltração | HTTP com encoding base64 customizado | ## Infraestrutura da Operação Bearded Barbie ```mermaid graph TB subgraph Engenharia Social FB["Facebook<br/>Perfis femininos falsos"] CHAT["Conversas longas<br/>Semanas de contato"] TRUST["Confianca estabelecida<br/>Antes de enviar malware"] end subgraph Malware Chain BD["Barbie Downloader<br/>Primeiro estagio"] BW["BarbWire Backdoor<br/>Implante completo"] SPY["SpyNote<br/>Mobile Android"] end subgraph Alvos Documentados SOL["Soldados israelenses<br/>IDF"] OFF["Oficiais governo<br/>Israel"] INT["Inteligencia<br/>Pessoal de segurança"] end FB --> CHAT CHAT --> TRUST TRUST --> BD BD --> BW TRUST --> SPY BW --> SOL BW --> OFF SPY --> INT ``` *Técnicas: [[t1056-001-keylogging|T1056.001]] · [[t1113-screen-capture|T1113]] · [[t1123-audio-capture|T1123]]* ## Detecção e Defesa **Indicadores comportamentais:** - Arquivo executável baixado via aplicativo de mensagens (Facebook, WhatsApp) - Chave de registro Run criada por processo desconhecido - Processo acessando microfone sem interação do usuário - Capturas de tela periódicas por processo em background - Tráfego HTTP com payload base64 de tamanho variável e padrão periódico **Mitigações recomendadas:** - Treinamento de consciência de segurança sobre engenharia social em redes sociais - Política organizacional proibindo instalação de software não autorizado - [[m1049-antivirus-antimalware|EDR]] com monitoramento de acesso a câmera e microfone - Inspeção de tráfego de saída para padrões de beaconing HTTP - Controle de dispositivos com bloqueio de aplicativos de origem desconhecida ## Referências - [1](https://research.checkpoint.com/2022/operation-bearded-barbie-apt-c-23-campaign-targeting-israeli-officials/) Check Point Research - Operation Bearded Barbie (2022) - [2](https://attack.mitre.org/groups/G0130/) MITRE ATT&CK - APT-C-23 Group G0130 (2023) - [3](https://www.bleepingcomputer.com/news/security/apt-c-23-hackers-using-new-android-spyware-in-middle-east-attacks/) BleepingComputer - APT-C-23 New Android Spyware (2022) - [4](https://cybergeeks.tech/how-arid-viper-compromised-israeli-defense-officials/) CyberGeeks - Arid Viper Compromises Israeli Defense Officials (2022)