# SHIPSHAPE > Tipo: **malware** · S0028 · [MITRE ATT&CK](https://attack.mitre.org/software/S0028) ## Descrição [[s0028-shipshape|SHIPSHAPE]] é um malware desenvolvido pelo [[g0013-apt30|APT30]] - grupo de espionagem cibernética atribuído à China, ativo desde pelo menos 2004 e focado principalmente em governos e organizações do Sudeste Asiático e Índia. O [[s0028-shipshape|SHIPSHAPE]] foi projetado específicamente para propagação e exfiltração de dados através de dispositivos removíveis como pendrives e discos externos. Esta capacidade é especialmente valiosa para o [[g0013-apt30|APT30]] porque permite coletar dados de sistemas em redes isoladas (air-gap) que não têm conectividade com a internet. O [[s0028-shipshape|SHIPSHAPE]] se auto-propaga para dispositivos removíveis ([[t1091-replication-through-removable-media|T1091]]) modificando atalhos (.lnk) no dispositivo para apontar para o malware ([[t1547-009-shortcut-modification|T1547.009]]), garantindo que sejá executado automaticamente quando um usuário clica nos atalhos do pendrive em outro computador. No sistema comprometido, a persistência é mantida via chaves Run do registro ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]). Os dados coletados são armazenados no dispositivo removível para posterior exfiltração quando o dispositivo retornar a um sistema com conectividade à internet. Esta técnica de propagação via mídia removível foi historicamente significativa - foi o mesmo vetor utilizado pelo Stuxnet para comprometer sistemas de controle industrial iranianos fisicamente isolados. O [[g0013-apt30|APT30]] demonstrou perspicácia ao aplicar essa abordagem em operações de espionagem governamental por mais de uma década, indicando que ambientes air-gap continuam sendo um vetor de ataque relevante que não deve ser ignorado por organizações com dados altamente sensíveis. ## Técnicas Utilizadas - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1091-replication-through-removable-media|T1091 - Replication Through Removable Media]] - [[t1547-009-shortcut-modification|T1547.009 - Shortcut Modification]] ## Grupos que Usam - [[g0013-apt30|APT30]] ## Detecção - Implementar controles de endpoint para bloquear ou monitorar execução automática de conteúdo de dispositivos removíveis (desabilitar AutoRun/AutoPlay) - Monitorar criação de arquivos executáveis em dispositivos removíveis por processos de background - Detectar modificação de arquivos .lnk em dispositivos removíveis para apontar para executáveis - Implementar políticas de Group Policy para restringir o uso de dispositivos USB a dispositivos autorizados - Auditar logs de inserção de dispositivos USB e correlacionar com criação de novos arquivos no sistema ## Relevância LATAM/Brasil A capacidade de propagação via USB do [[s0028-shipshape|SHIPSHAPE]] é altamente relevante para o Brasil, onde o uso de pendrives e discos externos em ambientes corporativos e governamentais continua sendo prático comum - especialmente em órgãos públicos onde o compartilhamento de arquivos via dispositivos físicos é frequente. Ambientes de infraestrutura crítica brasileira, como usinas hidrelétricas, refinarias e instalações militares, que operam redes segregadas para proteção devem considerar a propagação via mídia removível como um vetor de ameaça prioritário em suas políticas de segurança. ## Referências - [MITRE ATT&CK - S0028](https://attack.mitre.org/software/S0028)