s0642-badflick - RunkIntel

# BADFLICK > Tipo: **malware** · S0642 · [MITRE ATT&CK](https://attack.mitre.org/software/S0642) ## Descrição [[s0642-badflick|BADFLICK]] é um backdoor utilizado pelo [[g0065-leviathan|Leviathan]] (também conhecido como TEMP.Periscope, APT40 e Mudcarp) em campanhas de espionagem contra as indústrias de engenharia marítima e defesa dos EUA, relatadas pela primeira vez em 2018. O [[g0065-leviathan|Leviathan]] é um grupo APT atribuído à China com foco em setores de interesse estratégico para a marinha e tecnologia militar chinesa, e o BADFLICK representa uma das ferramentas de accesso remoto usadas para coletar informações técnicas sensíveis. O BADFLICK é distribuído via spearphishing com anexos maliciosos ([[t1566-001-spearphishing-attachment|T1566.001]]) que exploram execução de arquivos pelo usuário ([[t1204-002-malicious-file|T1204.002]]). Inclui verificações de tempo ([[t1497-003-time-based-checks|T1497.003]]) para evadir sandboxes que executam amostras de forma acelerada. Após implantação, realiza reconhecimento do sistema ([[t1082-system-information-discovery|T1082]]), rede ([[t1016-system-network-configuration-discovery|T1016]]) e arquivos ([[t1083-file-and-directory-discovery|T1083]]), coleta dados locais ([[t1005-data-from-local-system|T1005]]) e os comprime para exfiltração ([[t1560-002-archive-via-library|T1560.002]]). O download de ferramentas adicionais ([[t1105-ingress-tool-transfer|T1105]]) e a decodificação de payloads ([[t1140-deobfuscatedecode-files-or-information|T1140]]) completam as capacidades do backdoor. O [[g0065-leviathan|Leviathan]] foi associado a campanhas de espionagem contra contratados de defesa e estaleiros navais nos EUA e em países aliados entre 2017 e 2019. O BADFLICK foi parte de uma operação de múltiplos estágios que também incluiu outras ferramentas como MURKYTOP e HOMEFRY para escalada de privilégios e movimento lateral após o comprometimento inicial. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1560-002-archive-via-library|T1560.002 - Archive via Library]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] ## Grupos que Usam - [[g0065-leviathan|Leviathan]] ## Detecção - **Sysmon Event ID 1** (Process Creation): monitorar abertura de anexos de e-mail (`.doc`, `.xls`, `.pdf`) seguida de criação de processos filhos inesperados - vetor de entrega do BADFLICK via spearphishing. - **Análise de tempo de execução**: o BADFLICK realiza verificações de tempo antes de ativar comportamento malicioso; em ambientes de sandbox com aceleração de tempo, o malware pode parecer inativo. - **EDR telemetria**: detectar acesso a arquivos de configuração de rede e documentos sensíveis por processos não reconhecidos, seguido de criação de arquivos comprimidos em diretórios temporários. - **Referência Sigma**: `proc_creation_win_susp_attachment_execution.yml` - execução suspeita de processos a partir de anexos de e-mail; e `file_event_win_creation_archive_susp.yml` para criação suspeita de arquivos comprimidos. ## Relevância LATAM/Brasil O [[g0065-leviathan|Leviathan]] (APT40) foca em espionagem marítima, de defesa e tecnologia naval, com alvos primários nos EUA, Europa e Sudeste Asiático. O Brasil possui interesses relevantes nesse domínio - incluindo a Marinha do Brasil, estaleiros como o Arsenal de Marinha do Rio de Janeiro e contratos de defesa com tecnologias navais sensíveis. Organizações brasileiras do setor de defesa marítima ou com parcerias em programas de tecnologia naval avançada devem considerar o [[g0065-leviathan|Leviathan]] e ferramentas como o BADFLICK como ameaças de espionagem relevantes. ## Referências - [MITRE ATT&CK - S0642](https://attack.mitre.org/software/S0642)