# Cleopatra Backdoor > [!critical] Java Backdoor no Centro do Ataque Supply Chain Cleo 2024 > **Cleopatra** (também chamado **Malichus** pela Huntress) e um backdoor Java modular implantado pelo grupo [[s0611-clop-ransomware|Cl0p]] durante a exploração massiva das vulnerabilidades [[cve-2024-50623|CVE-2024-50623]] e [[cve-2024-55956|CVE-2024-55956]] nos produtos de transferencia de arquivos da Cleo em dezembro de 2024. O ataque afetou mais de 300 organizacoes globalmente - principalmente nos setores de logistica, supply chain e financeiro - replicando o escopo devastador do ataque MOVEit de 2023 pelo mesmo grupo. ## Visão Geral [[cleopatra-backdoor|Cleopatra]] e o payload Java pos-exploração implantado pelo grupo [[s0611-clop-ransomware|Cl0p]] (TA505) nos servidores Cleo comprometidos via as vulnerabilidades criticas CVE-2024-50623 e CVE-2024-55956. O nome "Cleopatra" foi atribuido pela Arctic Wolf; a Huntress rastreou o mesmo malware como "Malichus". O ataque segue o padrao establecido pelo Cl0p em campanhas anteriores contra softwares de transferencia de arquivos gerenciada (MFT): **MOVEit (2023)**, **GoAnywhere (2023)** e **Accellion FTA (2021)**. Em cada caso, o grupo explorou vulnerabilidades zero-day, implantou backdoors modulares, exfiltrou dados sensiveis, e exigiu resgate sob ameaça de públicacao - modelo de **dupla extorsao** em escala industrial. A Cleo, empresa de soluções B2B para integracao de supply chain, tem seus produtos Harmony, VLTrader e LexiCom amplamente utilizados no setor de logistica e varejo. Isso resultou em vitimologia desproporcionalmente concentrada nestes setores - aproximadamente 20% das vitimas identificadas pertencem a supply chain e logistica. O ataque foi inicialmente atribuido ao grupo **Termite** (que havia atacado a Blue Yonder anteriormente), mas o Cl0p reivindicou responsabilidade em 13 de dezembro de 2024. Ate fevereiro de 2025, mais de 300 organizacoes foram identificadas como vitimas. **Plataformas:** Servidores Windows/Linux com Cleo Harmony, VLTrader ou LexiCom ## Como Funciona 1. **Exploração CVE-2024-50623:** Upload de arquivo malicioso sem autenticação para RCE no servidor Cleo ([[t1190-exploit-public-facing-application|T1190]]). 2. **Exploração CVE-2024-55956:** Escrita de arquivo nao autenticada no diretorio Autorun do Cleo, permitindo execução de comandos bash/PowerShell ([[t1190-exploit-public-facing-application|T1190]]). 3. **Implantação do Backdoor Java:** Upload e execução do Cleopatra/Malichus - framework Java modular para pos-exploração ([[t1059-007-javascript|T1059.007]]). 4. **Reconhecimento:** Acesso a arquivos de configuração sensíveis e credenciais armazenadas no servidor Cleo ([[t1083-file-and-directory-discovery|T1083]]). 5. **Exfiltração:** Staging de dados sensiveis antes da extorcao ([[t1041-exfiltration-over-c2-channel|T1041]]). O Cl0p nao criptografa dados neste modelo - foco em exfiltração e ameaça de públicacao. 6. **Extorcao:** Vitimas listadas no site de vazamento; dados públicados progressivamente para maximizar pressao de pagamento. ```mermaid graph TB A["CVE-2024-50623<br/>Upload sem autenticação<br/>Cleo Harmony/VLTrader"] --> B["CVE-2024-55956<br/>Escrita em Autorun dir<br/>CISA KEV 17/12/2024"] B --> C["Cleopatra Java Backdoor<br/>Framework modular<br/>Acesso persistente"] C --> D["Reconhecimento<br/>Config files + credentials<br/>T1083 servidor Cleo"] D --> E["Exfiltração de Dados<br/>Double extortion model<br/>T1041 sem criptografia"] E --> F["Extorcao Cl0p<br/>Site vazamento dark web<br/>300+ vitimas Q4 2024"] classDef vuln fill:#c0392b,color:#fff classDef implant fill:#8e44ad,color:#fff classDef recon fill:#d35400,color:#fff classDef exfil fill:#16a085,color:#fff classDef impact fill:#922b21,color:#fff class A,B vuln class C implant class D recon class E exfil class F impact ``` ## Timeline ```mermaid timeline title Cleopatra / Cleo Campaign - 2024 Out 2024 : Cleo publica patch CVE-2024-50623 : Patch incompleto - vulnerável ainda 3 Dez 2024 : Exploração ativa comecou : Huntress identifica comprometimentos 9 Dez 2024 : Huntress publica relatorio tecnico : Malichus Java backdoor documentado 13 Dez 2024 : CISA adiciona CVE ao KEV : Cl0p reivindica responsabilidade 15 Dez 2024 : CVE-2024-55956 identificado : Patch v5.8.0.24 liberado por Cleo 17 Dez 2024 : CISA adiciona CVE-2024-55956 ao KEV Jan 2025 : Cl0p nomeia 66 vitimas no leak site Fev 2025 : +300 organizacoes confirmadas vitimas ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | CVE-2024-50623 + CVE-2024-55956 RCE | | Execution | [[t1059-007-javascript\|T1059.007]] | Framework Java modular Cleopatra | | Persistence | [[t1505-003-web-shell\|T1505.003]] | Backdoor Java em servidor MFT | | Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Configuracoes e credenciais Cleo | | Collection | [[t1005-data-from-local-system\|T1005]] | Dados de parceiros B2B armazenados | | Exfiltration | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração pre-extorcao | | Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download de módulos adicionais | ## Relevância LATAM/Brasil O Brasil possui diversas empresas de logistica e supply chain que utilizam soluções de MFT para integracao B2B com parceiros internacionais. Plataformas como Cleo sao utilizadas por importadores/exportadores, operadores de porto e distribuidores de grande porte. O ataque Cleo/Cleopatra demonstrou que a vulnerabilidade em **uma plataforma de integracao B2B** pode ter impacto em **centenas de organizacoes** por efeito cascata - um risco de cadeia de suprimentos digital que o Brasil comeca a enfrentar com a crescente digitalizacao do comercio exterior. O impacto desproporcionalmente alto no setor de logistica (20% das vitimas) e direto para cadeias de abastecimento brasiliras integradas com parceiros americanos e europeus via soluções Cleo. **Setores impactados:** [[supply-chain|supply chain]] - logistica - [[financial|financeiro]] - [[manufacturing|manufatura]] - varejo ## Detecção e Defesa - **Patch imediato:** Atualizar para Cleo Harmony/VLTrader/LexiCom versao 5.8.0.24 ou superior - **Remover da internet:** Produtos Cleo nao devem estar expostos diretamente na internet pública - **Desabilitar Autorun:** Diretorio Autorun do Cleo deve ser desabilitado - vetor critico do CVE-2024-55956 - **Monitorar processos Java:** Alertar para execução de processos Java inesperados no servidor Cleo - **Revisar configuracoes:** Auditar credenciais armazenadas no servidor Cleo para detectar acesso nao autorizado - **Segmentacao de rede:** Isolar servidores MFT do resto da rede interna - **Inspecionar logs Autorun:** Qualquer arquivo criado no diretorio Autorun deve ser investigado ## Referências - [1](https://www.securityweek.com/cve-assigned-to-cleo-vulnerability-as-cl0p-ransomware-group-takes-credit-for-exploitation/) SecurityWeek - CVE Assigned to Cleo Vulnerability (2024) - [2](https://www.theregister.com/2024/12/16/ransomware_attacks_exploit_cleo_bug/) The Register - Ransomware Attacks Exploit Cleo Bug (2024) - [3](https://blackkite.com/blog/cl0ps-exploitation-of-cleo-puts-the-supply-chain-at-immediate-risk) Black Kite - Cl0p Cleo Supply Chain Risk (2024) - [4](https://socradar.io/cleo-file-transfer-vulnerabilities-cl0ps-attack-vector/) SOCRadar - Cleo File Transfer Vulnerabilities (2025) - [5](https://www.zerofox.com/intelligence/flash-report-cl0p-publishes-data-of-cleo-compromise-victims/) ZeroFox - Cl0p Publishes Cleo Victims Data (2025)