s0042-lowball - RunkIntel

# LOWBALL > Tipo: **malware** · S0042 · [MITRE ATT&CK](https://attack.mitre.org/software/S0042) ## Descrição [[s0042-lowball|LOWBALL]] é um malware utilizado pelo grupo [[g0018-admin338|admin@338]], um ator de ameaça com provável nexo chinês focado em espionagem cibernética. Em agosto de 2015, o LOWBALL foi empregado em campanhas de spear-phishing contra organizações de mídia sediadas em Hong Kong, durante o período politicamente sensível que se seguiu ao Movimento dos Guarda-Chuvas de 2014. O malware é notável por utilizar serviços legítimos de armazenamento em nuvem como canal de C2. O LOWBALL abusa do serviço Dropbox para comunicação bidirecional de C2 ([[t1102-002-bidirectional-communication|T1102.002]]), disfarçando o tráfego malicioso como uso legítimo de serviço de nuvem e dificultando a detecção por firewalls e proxies que permitem Dropbox. O malware transfere ferramentas adicionais via [[t1105-ingress-tool-transfer|T1105]] e comúnica-se via protocolos web padrão ([[t1071-001-web-protocols|T1071.001]]). A técnica de utilizar serviços legítimos de nuvem (como Dropbox, Google Drive, OneDrive) como canal de C2 - popularizada pelo LOWBALL - tornou-se uma TTPs amplamente adotada por múltiplos atores de ameaça nos anos seguintes, pois torna a detecção baseada em bloquear domínios C2 ineficaz. Organizações de mídia, ativismo e defesa de direitos humanos na América Latina são alvos potenciais de técnicas similares. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1102-002-bidirectional-communication|T1102.002 - Bidirectional Commúnication]] ## Grupos que Usam - [[g0018-admin338|admin@338]] ## Detecção - **[[ds-0029-network-traffic|Network Traffic Content]]** - Monitorar conexões a API do Dropbox (`api.dropboxapi.com`) por processos não-cliente Dropbox - técnica central do LOWBALL para C2 via serviço legítimo de nuvem. - **[[ds-0017-command|Command Execution]]** - Detectar comandos de shell iniciados por processos não interativos ou com parâmetros de download de arquivos de serviços de armazenamento em nuvem. - **[[ds-0022-file|File Creation]]** - Alertar para criação de arquivos em diretórios sincronizados com Dropbox por processos incomuns, especialmente arquivos executáveis ou scripts. ```sigma title: LOWBALL C2 via Dropbox API status: experimental logsource: category: network_connection product: windows detection: selection: DestinationHostname|endswith: - 'api.dropboxapi.com' - 'content.dropboxapi.com' filter: Image|endswith: - '\Dropbox.exe' - '\DropboxUpdaté.exe' condition: selection and not filter falsepositives: - Applications legitimately using Dropbox API with user consent level: medium tags: - attack.command-and-control - attack.t1102.002 - code/distill ``` ## Relevância LATAM/Brasil A técnica de usar serviços legítimos de nuvem (Dropbox, Google Drive, OneDrive) como canal de C2 - pioneirizada pelo LOWBALL - é amplamente adotada por múltiplos grupos que atacam organizações brasileiras. Organizações de mídia, jornalismo investigativo e grupos de advocacy de direitos humanos no Brasil enfrentam risco aumentado desta abordagem, pois o bloqueio de Dropbox e serviços similares tem alto custo operacional. ## Referências - [MITRE ATT&CK - S0042](https://attack.mitre.org/software/S0042)