get2-loader - RunkIntel

# GET2 Loader > [!medium] Downloader C++ do TA505 - Elo da Cadeia Clop > GET2 é um downloader em C++ desenvolvido pelo grupo **TA505** como primeiro estágio de acesso pós-exploração, responsável por coletar informações do sistema comprometido e baixar payloads de segunda fase como SDBbot, FlawedAmmyy, FlawedGrace e Cobalt Strike. Componente central da cadeia de ataque que culmina na implantação do ransomware Clop. ## Visão Geral GET2 é um downloader (loader) em C++ desenvolvido e operado pelo grupo [[ta505]], um dos grupos de ameaça financeiramente motivados mais prolíficos da última década. Identificado a partir de 2019, o GET2 serve como primeiro estágio de implantação pós-infecção inicial, sendo tipicamente entregue via emails de phishing com documentos maliciosos ou via instaladores falsos. A funcionalidade principal do GET2 é simples mas eficaz: coletar informações detalhadas do sistema comprometido e enviá-las ao servidor C2, recebendo em troca instruções sobre qual payload de segunda fase implantar. Esta arquitetura modular permite ao [[ta505]] personalizar o ataque com base nas características do alvo - implantando o [[cl0p|ransomware Clop]] em organizações corporativas ou ferramentas de espionagem contra alvos de interesse estratégico. O GET2 foi identificado em campanhas contra o setor [[financial|financeiro]] em múltiplos países, com foco especial em instituições de processamento de pagamentos e bancos. A cadeia típica de ataque do TA505 começa com GET2, progride para SDBbot ou FlawedAmmyy para acesso persistente, e culmina com a implantação manual do [[cl0p]] para extorsão. ## Como Funciona **Fluxo de execução do GET2:** 1. Execução inicial via documento Office malicioso com macro 2. Coleta de informações do sistema via WMI e API do Windows: - Hostname e nome de usuário atual - Versão e arquitetura do SO - Lista de processos em execução - Configurações de rede e domain membership 3. Transmissão das informações ao C2 via HTTP POST (dados em JSON ou form-encoded) 4. Recebimento de instrução do C2: payload a baixar e executar 5. Download do payload de segunda fase (SDBbot, FlawedAmmyy, FlawedGrace ou Cobalt Strike) 6. Execução do payload via Process Hollowing ou execução direta **Características técnicas:** - Implementado em C++ sem dependências externas significativas - Comúnicação HTTP com User-Agent customizado para mimetizar tráfego de navegador - Strings ofuscadas para dificultar análise estática - Sem mecanismo de persistência próprio - depende do loader inicial para persistência **Payloads de segunda fase:** - SDBbot RAT: acesso remoto persistente para espionagem longa - FlawedAmmyy/FlawedGrace RAT: controle remoto via protocolo Ammyy - Cobalt Strike: framework de pós-exploração para ataques avançados - Clop Ransomware: payload final para extorsão financeira ## Attack Flow ```mermaid graph TB A["📧 E-mail Phishing TA505 envia documento com macro maliciosa"] --> B["📄 Macro Executada PowerShell baixa GET2 Loader"] B --> C["📊 Fingerprinting GET2 coleta hostname OS, processos, domínio"] C --> D["📡 POST para C2 HTTP com dados do sistema alvo"] D --> E["⬇️ Payload Recebido SDBbot, FlawedAmmyy ou Cobalt Strike"] E --> F["🏠 Persistência Payload de 2ª fase instala backdoor"] F --> G["🔍 Reconhecimento Mapeamento de AD e servidores críticos"] G --> H["🔒 Ransomware Clop Implantação manual extorsão financeira"] ``` **Legenda:** [[ta505]] · [[cl0p]] · [[t1105-ingress-tool-transfer|T1105]] · [[t1082-system-information-discovery|T1082]] ## Timeline ```mermaid timeline title GET2 Loader - Linha do Tempo 2019 : GET2 identificado : Primeiro uso em campanhas TA505 : Foco no setor financeiro 2019-2020 : Campanhas ativas : Bancos e processadoras de pagamento : SDBbot como payload principal 2021 : Paralelo ao DEWMODE : TA505 usa GET2 e webshells : Accellion FTA explorado 2021-2022 : Diversificação : Cobalt Strike como payload : Alvos em múltiplos setores 2023-2024 : Declínio : TA505 evolui para novos loaders : GET2 em menor uso ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Windows Command Shell | [[t1059-003-windows-command-shell\|T1059.003]] | Execução de comandos via cmd.exe | | System Information Discovery | [[t1082-system-information-discovery\|T1082]] | Coleta de hostname, OS, configurações | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download do payload de segunda fase | | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | C2 via HTTP POST com dados JSON | | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Strings ofuscadas no binário | | System Owner/User Discovery | [[t1033-system-owner-user-discovery\|T1033]] | Coleta de nome de usuário atual | | System Service Discovery | [[t1007-system-service-discovery\|T1007]] | Enumeração de processos em execução | ## Relevância para o Brasil e LATAM > [!latam] TA505 Atacou Bancos e Processadoras Brasileiras > O **TA505** realizou campanhas contra bancos e processadoras de cartão de crédito brasileiros em 2019-2021, usando o GET2 como vetor inicial contra sistemas **SWIFT** e processamento de pagamentos. Iscas com temas fiscais brasileiros (**NF-e**, **boleto**, **IRPF**) foram usadas para entrega, culminando na implantação do **ransomware Clop**. O [[ta505]] tem histórico documentado de ataques contra o setor [[financial|financeiro]] brasileiro: **Campanhas documentadas no Brasil:** - O grupo [[ta505]] realizou campanhas contra bancos e processadoras de cartão de crédito brasileiros em 2019-2021 - O GET2 foi usado como vetor inicial em ataques contra sistemas SWIFT e processamento de pagamentos no Brasil - Campanhas com tema fiscal brasileiro (NF-e, boleto, IRPF) foram usadas como isco para entrega do GET2 **Contexto de risco atual:** - Embora o GET2 específico esteja em declínio, o [[ta505]] continua operando com loaders similares - O padrão de ataque (loader genérico → reconhecimento → payload específico → ransomware) permanece relevante - O [[cl0p]] derivado de operações do TA505 continua sendo uma ameaça ativa para o setor financeiro brasileiro **Lições aprendidas:** - Organizações financeiras brasileiras devem monitorar execução de macros Office com conexões de rede subsequentes - A [[lgpd|LGPD]] exige notificação quando sistemas financeiros são comprometidos e dados de clientes são expostos ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - GET2 Loader (TLP:GREEN) > **Padrão de rede:** > HTTP POST para IP externo logo após execução de macro Office > User-Agent customizado imitando navegador legítimo > Payload binário recebido como resposta HTTP > > **Comportamento:** > Macro Office iniciando processo filho PowerShell > Coleta de WMI (Win32_ComputerSystem, Win32_Process) logo após execução > > **Hashes históricos:** > Consultar [VirusTotal GET2 family](https://www.virustotal.com) > > **Fonte:** [NCC Group TA505 Analysis](https://research.nccgroup.com) · [Proofpoint TA505](https://www.proofpoint.com) **Mitigações:** - Desabilitar macros VBA em documentos de fontes externas (Group Policy) - Monitorar conexões HTTP de saída de processos Office (Word, Excel) - Implementar inspeção de tráfego para payloads binários recebidos via HTTP - Treinar funcionários sobre phishing com temas financeiros brasileiros ## Referências - [1](https://research.nccgroup.com/2020/06/23/wastedlocker-a-new-ransomware-variant-developed-by-the-evil-corp-group/) NCC Group - TA505 Loader Chain Analysis (2020) - [2](https://www.proofpoint.com/us/threat-insight/post/ta505-shifts-its-lolbas-technique-every-campaign) Proofpoint - TA505 Campaign Analysis with GET2 (2019) - [3](https://attack.mitre.org/software/S0527/) MITRE ATT&CK - GET2 S0527 - [4](https://www.mandiant.com/resources/blog/fin7-fin11-global-threat-actors) Mandiant - FIN11/TA505 Global Threat Actor Report (2020) - [5](https://www.bleepingcomputer.com/news/security/ta505-is-actively-delivering-new-sdbot-and-flawedammyy-rat-malware/) BleepingComputer - TA505 Delivering SDBbot via GET2 (2019) - [6](https://www.crowdstrike.com/blog/get2-downloader-analysis/) CrowdStrike - GET2 Downloader Technical Analysis (2020)