s0048-pinchduke - RunkIntel

# PinchDuke > Tipo: **malware** · S0048 · [MITRE ATT&CK](https://attack.mitre.org/software/S0048) ## Descrição [[s0048-pinchduke|PinchDuke]] é um malware utilizado pelo [[g0016-apt29|APT29]] entre 2008 e 2010, durante as fases iniciais das operações desse grupo de espionagem russo. É um dos primeiros instrumentos documentados do extenso arsenal do APT29, também conhecido como Cozy Bear ou The Dukes. O malware foi projetado para coletar credenciais armazenadas em navegadores e outros aplicativos, bem como realizar reconhecimento básico do sistema alvo. Técnicamente, o PinchDuke atua realizando despejo de credenciais ([[t1003-os-credential-dumping|T1003]]), coleta de dados locais ([[t1005-data-from-local-system|T1005]]) e envio de informações ao servidor de comando e controle via protocolos web ([[t1071-001-web-protocols|T1071.001]]). Seu foco em senhas armazenadas em navegadores ([[t1555-003-credentials-from-web-browsers|T1555.003]]) e em outros repositórios de credenciais ([[t1555-credentials-from-password-stores|T1555]]) revela uma estratégia orientada ao acesso inicial privilegiado e à expansão lateral. Embora o PinchDuke sejá considerado inativo desde o início da década de 2010, ele representa um marco histórico importante para compreender a evolução do [[g0016-apt29|APT29]] - grupo que mais tarde desenvolveria ferramentas sofisticadas como [[s0046-cozycar|CozyBear]], [[s0559-sunburst|SUNBURST]] e [[s0154-cobalt-strike|Cobalt Strike]] em suas campanhas de espionagem global. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] ## Grupos que Usam - [[g0016-apt29|APT29]] ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 10 (ProcessAccess):** Acesso a processos de navegador (chrome.exe, firefox.exe, iexplore.exe) por processos não relacionados - indicativo de despejo de credenciais ([[t1555-003-credentials-from-web-browsers|T1555.003]]) - **Windows Security Event ID 4663:** Acesso a arquivos de banco de dados de senhas de navegadores (Login Data, signons.sqlite) - **Rede:** Conexões HTTP/HTTPS de saída em horários incomuns transportando pequenos volumes de dados codificados - padrão de exfiltração de credenciais via C2 **Regras de detecção:** - YARA: Busca por strings internas e estruturas de dados típicas da família PinchDuke/Pinch/LdPinch usadas em campanhas do APT29 (2008–2010) - Sigma: Detecção de acesso a arquivos de credenciais de navegadores por processos não-navegador ## Relevância LATAM/Brasil O PinchDuke, embora inativo, estabeleceu os fundamentos táticos do [[g0016-apt29|APT29]] - grupo que permanece ativo e altamente relevante globalmente. O APT29 conduz operações de espionagem contra governos, organizações diplomáticas e think tanks em todo o mundo, incluindo alvos na América Latina com conexões com organismos multilaterais (ONU, OEA, OCDE). Compreender ferramentas históricas como o PinchDuke ajuda analistas a rastrear a evolução das TTPs do APT29 e a identificar padrões que persistem em variantes modernas como [[s0046-cozycar|CozyBear]] e [[wineloader|WineLoader]]. ## Referências - [MITRE ATT&CK - S0048](https://attack.mitre.org/software/S0048) - [F-Secure - The Dukes: 7 Years of Russian Cyberespionage](https://www.f-secure.com/documents/996508/1030745/dukes_whitepaper.pdf) - Setembro 2015