lemurloot - RunkIntel

# LemurLoot > [!critical] Webshell do Cl0p - MOVEit Transfer (CVE-2023-34362) > LemurLoot é um webshell em C# implantado pelo grupo **Cl0p** (TA505) após exploração da vulnerabilidade crítica CVE-2023-34362 no MOVEit Transfer. Responsável por uma das maiores campanhas de roubo de dados em massa de 2023, afetando mais de 2.500 organizações globalmente. ## Visão Geral LemurLoot é um webshell desenvolvido em C# e ASP.NET, utilizado exclusivamente pelo grupo [[cl0p]] (também conhecido como [[ta505]]) durante a exploração massiva do MOVEit Transfer em maio e junho de 2023. O nome deriva da aparência visual do webshell quando renderizado - uma estrutura similar a um lêmur quando mapeada graficamente pelos pesquisadores da Mandiant. O malware explora a vulnerabilidade [[cve-2023-34362|CVE-2023-34362]], uma falha crítica de injeção SQL no MOVEit Transfer que permite acesso não autenticado ao banco de dados da aplicação. Após a exploração inicial, o LemurLoot é implantado como arquivo `human2.aspx` no diretório raiz da aplicação web, se disfarçando de componente legítimo da plataforma Progress Software. A campanha de exploração do MOVEit afetou mais de 2.500 organizações e expôs dados de aproximadamente 66 milhões de pessoas, tornando-se um dos maiores incidentes de violação de dados da história. Setores afetados incluem governo federal dos EUA, saúde, financeiro e educação. No Brasil e na América Latina, organizações com filiais multinacionais e fornecedores globais foram impactadas indiretamente pela cadeia de suprimentos. ## Como Funciona O LemurLoot opera como um webshell interativo que recebe comandos via cabeçalho HTTP personalizado `X-siLock-Comment`. Este mecanismo de autenticação não convencional permite que o operador envie instruções sem revelar credenciais na URL ou no corpo da requisição, dificultando a detecção por sistemas de WAF. **Capacidades principais:** - Acesso direto ao banco de dados MySQL/SQL Server do MOVEit via queries parametrizadas - Descoberta e exfiltração de arquivos armazenados (locais e em nuvem Azure Blob) - Criação de contas administrativas temporárias (`Health Check Service`) - Exclusão de registros de sessão e logs do servidor web para anti-forense - Retorno de dados comprimidos em gzip para reduzir volume de tráfego detectável - Listagem de arquivos nos containers de armazenamento em nuvem conectados O webshell autentica requisições verificando o valor do header `X-siLock-Comment`. Quando o valor correto é fornecido, executa a ação solicitada via parâmetros adicionais. Respostas são codificadas em gzip e retornadas como HTTP 200, tornando o tráfego malicioso visualmente similar a requisições legítimas da aplicação. ## Attack Flow ```mermaid graph TB A["🎯 Reconhecimento Varredura de instâncias MOVEit Transfer expostas"] --> B["💥 Exploração CVE-2023-34362 SQL Injection não autenticado"] B --> C["📦 Implantação human2.aspx gravado em /wwwroot/"] C --> D["🔐 Autenticação Header X-siLock-Comment com chave secreta"] D --> E["🗄️ Acesso ao BD Queries ao banco MySQL/SQL Server"] D --> F["☁️ Descoberta Cloud Listagem de blobs Azure Storage"] E --> G["📤 Exfiltração Arquivos comprimidos em gzip via HTTP"] F --> G G --> H["🧹 Anti-Forense Remoção de logs e sessões"] ``` **Legenda:** [[cve-2023-34362|CVE-2023-34362]] · [[cl0p]] · [[t1190-exploit-public-facing-application|T1190]] · [[t1505-003-web-shell|T1505.003]] · [[t1041-exfiltration-over-c2-channel|T1041]] ## Timeline ```mermaid timeline title LemurLoot - Linha do Tempo 2023-05-27 : Zero-day ativo : Cl0p explora CVE-2023-34362 : Implantação inicial em massa 2023-05-31 : Divulgação Progress Software : Patch emergencial lançado : CISA emite alerta urgente 2023-06-01 : Mandiant nomeia LemurLoot : Análise técnica publicada : Confirmação de 100+ vítimas 2023-06-06 : Cl0p reivindica ataques : Site de extorsão atualizado : FBI/CISA emitem aviso conjunto 2023-07 : Escala total revelada : 2.500+ organizações afetadas : 66M+ registros expostos 2023-12 : Processos e investigações : DOJ indicia membros do Cl0p : Recompensa de US$10M oferecida ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | SQL injection no MOVEit Transfer via CVE-2023-34362 | | Web Shell | [[t1505-003-web-shell\|T1505.003]] | Implantação de human2.aspx em diretório web | | Exfiltração via Canal C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados comprimidos em gzip via HTTP | | Mascaramento de Nome | [[t1036-005-match-legitimate-name-or-location\|T1036.005]] | human2.aspx imita componente legítimo do MOVEit | | Cloud Storage Object Discovery | [[t1619-cloud-storage-object-discovery\|T1619]] | Listagem de arquivos em Azure Blob Storage | | Criação de Conta | [[t1136-create-account\|T1136]] | Conta admin temporária "Health Check Service" | | Remoção de Acesso à Conta | [[t1531-account-access-removal\|T1531]] | Exclusão de sessões e contas após exfiltração | ## Relevância para o Brasil e LATAM A campanha MOVEit teve impacto significativo no Brasil e na América Latina, principalmente através de: **Organizações brasileiras afetadas indiretamente:** - Subsidiárias de multinacionais com instâncias MOVEit nos EUA que sincronizavam dados de clientes brasileiros - Prestadores de serviços de transferência de arquivos no setor financeiro ([[financial|financeiro]]) e de saúde ([[healthcare|saúde]]) - Empresas do setor de [[technology|tecnologia]] que usavam MOVEit como solução gerenciada **Impacto no setor regulatório:** - A ANPD abriu investigações sobre tratamento de dados de brasileiros expostos em incidentes globais vinculados à exploração do MOVEit - A [[lgpd|LGPD]] impôs notificações obrigatórias para empresas brasileiras com dados expostos em fornecedores afetados **O grupo [[cl0p]] tem histórico de operações na América Latina**, especialmente contra o setor financeiro e empresas de manufatura. A técnica de exploração em massa de zero-days em softwares de transferência de arquivos (GoAnywhere MFT, Accellion FTA, MOVEit) é característica do grupo e continua sendo uma ameaça ativa. ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - LemurLoot/MOVEit (TLP:GREEN) > **Arquivo webshell:** > `human2.aspx` em diretório /wwwroot/ do MOVEit Transfer > > **Hashes SHA256 conhecidos:** > `6cbf38f5f27e6a3eaf32e2ac73ed944dc41f13870b5c01b3f7cbf2e342e225de` > `c6b4f8b879d5fb55555d9b7c1b3a3d61be76a34a4a6ba3723e527e33d4ea6b8a` > > **Header HTTP suspeito:** > `X-siLock-Comment: [valor secreto]` > > **Conta administrativa criada:** > Usuário `Health Check Service` no MOVEit Transfer > > **Fonte:** [Mandiant](https://www.mandiant.com/resources/blog/zero-day-moveit-data-theft) · [CISA AA23-158A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a) **Regras de detecção:** - Monitorar criação de arquivos `.aspx` no diretório raiz do MOVEit Transfer - Alertar sobre requisições HTTP com header `X-siLock-Comment` incomum - Detectar criação de contas admin com nome "Health Check Service" - Monitorar acesso direto a tabelas do banco de dados MOVEit via queries não autorizadas - Verificar exclusão de logs em `C:\MOVEitTransfer\Logs\` **Mitigação:** - Aplicar patch MOVEit Transfer imediatamente (CVE-2023-34362 corrigida em 31/05/2023) - Restringir acesso ao MOVEit Transfer via firewall para IPs autorizados apenas - Implementar monitoramento de integridade de arquivos (FIM) no diretório web - Revisar contas administrativas e remover contas não reconhecidas - Inspecionar logs de banco de dados para queries anômalas ## Referências - [1](https://www.mandiant.com/resources/blog/zero-day-moveit-data-theft) Mandiant - Zero-Day in MOVEit Transfer Exploited for Data Theft (2023) - [2](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a) CISA - #StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 (2023) - [3](https://www.bleepingcomputer.com/news/security/clop-ransomware-likely-behind-moveit-transfer-data-theft-attacks/) BleepingComputer - Clop ransomware likely behind MOVEit Transfer data-theft attacks (2023) - [4](https://www.progress.com/security/moveit-transfer-and-moveit-cloud-vulnerability) Progress Software - MOVEit Transfer Critical Vulnerability (CVE-2023-34362) Advisory (2023) - [5](https://attack.mitre.org/software/S1077/) MITRE ATT&CK - LemurLoot S1077 (2023) - [6](https://www.therecord.media/moveit-breach-victims-total-2500-organizations-66-million-people) The Record - MOVEit breach victims total 2,500+ organizations, 66M+ people (2023)