s0051-miniduke - RunkIntel

# MiniDuke > Tipo: **malware** · S0051 · [MITRE ATT&CK](https://attack.mitre.org/software/S0051) ## Descrição [[s0051-miniduke|MiniDuke]] é um malware sofisticado utilizado pelo [[g0016-apt29|APT29]] (Cozy Bear, SVR) de 2010 a 2015, notável por seu tamanho extremamente reduzido e técnicas de evasão avançadas para a época. Descoberto em 2013 pela Kaspersky Lab e CrySys Lab, o MiniDuke chamou aténção ao explorar a vulnerabilidade CVE-2013-0640 no Adobe Reader para comprometer alvos governamentais e diplomáticos em múltiplos países europeus. O toolkit do MiniDuke é composto por múltiplos componentes modulares - loaders, downloaders e backdoors - que funcionam em cadeia. Uma técnica característica é o uso de "dead drop resolvers" via redes sociais legítimas como Twitter para recuperar endereços de servidores C2 ([[t1102-001-dead-drop-resolver|T1102.001]]), tornando os IOCs de rede extremamente resistentes a bloqueio. O malware também utiliza algoritmos de geração de domínio ([[t1568-002-domain-generation-algorithms|T1568.002]]) como fallback e roteamento via proxy interno ([[t1090-001-internal-proxy|T1090.001]]) para ofuscar a infraestrutura de C2. O MiniDuke foi usado em conjunto com [[s0050-cosmicduke|CosmicDuke]] e [[s0048-pinchduke|PinchDuke]], formando um ecossistema de ferramentas do [[g0016-apt29|APT29]] para diferentes fases de comprometimento. Embora considerado obsoleto desde 2015, o MiniDuke representa um marco histórico no desenvolvimento de malware de espionagem estatal russo e suas técnicas influenciaram ferramentas posteriores do grupo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1102-001-dead-drop-resolver|T1102.001 - Dead Drop Resolver]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1568-002-domain-generation-algorithms|T1568.002 - Domain Generation Algorithms]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1008-fallback-channels|T1008 - Fallback Channels]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1090-001-internal-proxy|T1090.001 - Internal Proxy]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] ## Grupos que Usam - [[g0016-apt29|APT29]] ## Detecção A detecção do MiniDuke inclui monitoramento de consultas a plataformas de redes sociais (Twitter, Google+) por processos inesperados como mecanismo de dead-drop resolver ([[t1102-001-dead-drop-resolver|T1102.001]]). Análise de tráfego DNS para domínios gerados algoritmicamente ([[t1568-002-domain-generation-algorithms|T1568.002]]) e monitoramento de conexões de proxy interno ([[t1090-001-internal-proxy|T1090.001]]) são controles relevantes. Regras YARA para o loader minimalista em Assembly e detecção de arquivos executáveis abaixo de 20KB com alta entropia são indicadores comportamentais eficazes. ## Relevância LATAM/Brasil O [[g0016-apt29|APT29]] (SVR russo) tem histórico de comprometimento de ministérios de relações exteriores e embaixadas em múltiplos continentes. Missões diplomáticas brasileiras no exterior e órgãos governamentais com interface com política externa são alvos potenciais. Embora o MiniDuke sejá considerado obsoleto, o [[g0016-apt29|APT29]] continua ativo com ferramentas modernizadas ([[s0154-cobalt-strike|Cobalt Strike]], [[s0637-nativezone|NativeZone]]) que seguem os mesmos princípios de design. Profissionais de segurança governamental devem manter-se atualizados com o arsenal completo do grupo. ## Detecção Detecção histórica do MiniDuke inclui monitoramento de comúnicações com APIs do Twitter e Google+ para recuperação de C2 ([[t1102-001-dead-drop-resolver|T1102.001]]) - padrão ainda relevante para detecção de malware moderno que usa serviços legítimos. Regras de hash para componentes documentados e análise de padrões de DGA ([[t1568-002-domain-generation-algorithms|T1568.002]]) permanecem úteis para threat hunting histórico. O MiniDuke está amplamente documentado com IOCs públicos de múltiplas fontes, facilitando detecção por plataformas SIEM modernas. ## Relevância LATAM/Brasil O [[g0016-apt29|APT29]] (SVR russo) realizou campanha global que incluiu alvos governamentais e diplomáticos em múltiplos continentes. Embora o MiniDuke sejá considerado obsoleto, as técnicas do [[g0016-apt29|APT29]] evoluíram e continuam ativas contra alvos governamentais, diplomáticos e do setor de saúde no Brasil e LATAM. Compreender o MiniDuke fornece contexto histórico essencial para entender a sofisticação crescente do [[g0016-apt29|APT29]] e seus descendentes técnicos como [[s0046-cozycar|CozyBear]] e outras ferramentas ativas. ## Referências - [MITRE ATT&CK - S0051](https://attack.mitre.org/software/S0051) - [Kaspersky Lab - The MiniDuke Mystery: PDF 0-day Government Spy Assembler 0x29A Micro Backdoor](https://securelist.com/the-miniduke-mystery-pdf-0-day-government-spy-assembler-0x29a-micro-backdoor/31112/) - [Kaspersky - MiniDuke is Back](https://securelist.com/miniduke-is-back-nemesis-gemina-and-the-botgen-studio/68714/)