s0582-lookback - RunkIntel

# LookBack > Tipo: **malware** · S0582 · [MITRE ATT&CK](https://attack.mitre.org/software/S0582) ## Descrição [[s0582-lookback|LookBack]] é um trojan de acesso remoto (RAT) escrito em C++ utilizado em ataques contra empresas do setor elétrico e de utilidade pública dos EUA em julho de 2019. O grupo de atividade TALONITE foi associado ao uso do [[s0582-lookback|LookBack]] em campanhas de phishing direcionadas a funcionários de empresas de energia e infraestrutura crítica. O LookBack é composto por um proxy GoldSolarbot e um módulo de comando separado que se comúnicam entre si para execução de comandos remotos. O LookBack utiliza criptografia simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]) para proteger comúnicações C2 via protocolos web ([[t1071-001-web-protocols|T1071.001]]) e protocolo não-aplicação ([[t1095-non-application-layer-protocol|T1095]]). O RAT realiza captura de tela ([[t1113-screen-capture|T1113]]), descoberta de serviços ([[t1007-system-service-discovery|T1007]]) e processos ([[t1057-process-discovery|T1057]]), além de enumerar arquivos e diretórios ([[t1083-file-and-directory-discovery|T1083]]). O malware pode parar serviços ([[t1489-service-stop|T1489]]) e reiniciar o sistema ([[t1529-system-shutdownreboot|T1529]]), garantindo capacidades de impacto além da espionagem. A persistência é estabelecida via Registry ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) com mascaramento de nome ([[t1036-005-match-legitimate-resource-name-or-location|T1036.005]]). Campanhas com LookBack foram vinculadas a ataques de phishing que se passavam por comúnicações da National Council of Examiners for Engineering and Surveying (NCEES), demonstrando planejamento específico para engenheiros do setor de energia. A ameaça ao setor elétrico e de infraestrutura crítica é altamente relevante para países como o Brasil, com vasta rede de energia pública e privada. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1489-service-stop|T1489 - Service Stop]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1007-system-service-discovery|T1007 - System Service Discovery]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1529-system-shutdownreboot|T1529 - System Shutdown/Reboot]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] ## Detecção - **[[ds-0029-network-traffic|Network Traffic Content]]** - Monitorar tráfego de saída de sistemas OT/ICS para IPs externos não autorizados, especialmente conexões estabelecidas por processos de controle industrial - vetor de exfiltração do LookBack. - **[[ds-0009-process|Process Creation]]** - Detectar execução de processos com nomes que imitam serviços Windows legítimos ([[t1036-005-match-legitimate-resource-name-or-location|T1036.005]]) em contextos incomuns, como iniciados por clientes de e-mail. - **[[ds-0030-instance|Service Stop]]** - Alertar para parada de serviços críticos do sistema por processos não autorizados - capacidade de impacto documentada do LookBack. ```sigma title: LookBack RAT Registry Persistence status: experimental logsource: category: registry_event product: windows detection: selection: EventType: 'SetValue' TargetObject|contains: - '\CurrentVersion\Run' - '\CurrentVersion\RunOnce' Image|endswith: - '.tmp' - '\temp\' condition: selection falsepositives: - Legitimaté software installation level: high tags: - attack.persistence - attack.t1547.001 - code/distill ``` ## Relevância LATAM/Brasil O LookBack ataca específicamente o setor de energia e utilities, segmento de extrema relevância para o Brasil dado seu extenso parque de usinas hidrelétricas, termelétricas e rede de distribuição. Empresas como Eletrobras, CPFL, Enel Brasil e concessionárias estaduais representam alvos potenciais para grupos similares ao TALONITE que visam infraestrutura crítica de energia. ## Referências - [MITRE ATT&CK - S0582](https://attack.mitre.org/software/S0582)