outsteel - RunkIntel

# OutSteel > Tipo: **malware** · S1017 · [MITRE ATT&CK](https://attack.mitre.org/software/S1017) ## Descrição [[outsteel|OutSteel]] é um uploader de arquivos e ladrão de documentos desenvolvido com a linguagem de script AutoIT, utilizado pelo [[g1031-saint-bear|Saint Bear]] desde pelo menos março de 2021. O Saint Bear (também rastreado como TA471 e UAC-0056) é um grupo de ameaça com ligações à Rússia que focou intensamente em alvos ucranianos, especialmente durante o período de escalada do conflito russo-ucraniano. O OutSteel realiza coleta automática de documentos do sistema comprometido - focando em arquivos de extensões como .doc, .docx, .xls, .xlsx, .pdf - e os exfiltra automaticamente para infraestrutura controlada pelo atacante. É frequentemente implantado junto com o [[g1031-saint-bear|Saint Bear]]'s SaintBot como parte de uma cadeia de infecção de duplo estágio. O uso do AutoIT como linguagem de scripting é uma escolha que visa dificultar análise e bypass de antivírus. O OutSteel foi amplamente documentado em campanhas contra órgãos governamentais e de infraestrutura crítica ucranianos, sendo parte do arsenal de ciberespionagem utilizado em apoio às operações militares russas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1020-automated-exfiltration|T1020 - Automated Exfiltration]] - [[t1059-010-autohotkey-autoit|T1059.010 - AutoHotKey & AutoIT]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1119-automated-collection|T1119 - Automated Collection]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Grupos que Usam - [[g1031-saint-bear|Saint Bear]] ## Detecção - Monitorar processos AutoIT (AutoIt3.exe) acessando e enviando documentos para a rede ([[t1059-010-autohotkey-autoit|T1059.010]]) - Detectar coleta automatizada de documentos por processos não-autorizados ([[t1119-automated-collection|T1119]]) - Alertar para uploads em volume de documentos Office para endpoints externos ([[t1020-automated-exfiltration|T1020]]) - Identificar links de spear-phishing disfarçados de comúnicações governamentais ([[t1566-002-spearphishing-link|T1566.002]]) ## Relevância LATAM/Brasil O OutSteel é um exemplo paradigmático de ferramenta de ciberespionagem utilizada em conflito geopolítico. Embora o foco sejá ucraniano, o modelo - script AutoIT para coleta e exfiltração automatizada de documentos - é amplamente replicado em campanhas contra alvos governamentais e empresariais em todo o mundo, incluindo o Brasil. Organizações brasileiras com documentos sensíveis devem monitorar acesso anômalo a pastas de documentos por processos de scripting. ## Referências - [MITRE ATT&CK - S1017](https://attack.mitre.org/software/S1017)