s0052-onionduke - RunkIntel

# OnionDuke > Tipo: **malware** · S0052 · [MITRE ATT&CK](https://attack.mitre.org/software/S0052) ## Descrição [[s0052-onionduke|OnionDuke]] é um malware utilizado pelo [[g0016-apt29|APT29]] (Cozy Bear, SVR russo) entre 2013 e 2015. É notável por sua distribuição via nós de saída do Tor comprometidos, onde binários legítimos baixados pela rede Tor eram infectados com o OnionDuke antes de chegarem ao usuário final - uma técnica de ataque man-in-the-middle na camada de rede que não requer interação direta com a vítima. O OnionDuke faz parte do extenso arsenal "Duke" do [[g0016-apt29|APT29]], uma família de malware modular que inclui CosmicDuke, MiniDuke, CozyDuke e outros. Utiliza comunicação unidirecional via serviços web para receber comandos, e implementa deofuscação de payload antes da execução para dificultar análise estática. Também inclui capacidades de credential dumping e endpoint denial of service. A abordagem de distribuição via Tor comprometido demonstra a criatividade operacional do [[g0016-apt29|APT29]] em alcançar alvos que utilizam ferramentas de privacidade, potencialmente incluindo jornalistas, ativistas e pesquisadores de segurança. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] - [[t1499-endpoint-denial-of-service|T1499 - Endpoint Denial of Service]] - [[t1102-003-one-way-communication|T1102.003 - One-Way Commúnication]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] ## Grupos que Usam - [[g0016-apt29|APT29]] ## Detecção - Verificar hash de binários baixados via Tor ou redes de anonimato antes da execução - Monitorar credential dumping de processos não-administrativos ([[t1003-os-credential-dumping|T1003]]) - Detectar comunicação C2 one-way para serviços web sem resposta bidirecional ([[t1102-003-one-way-communication|T1102.003]]) - Alertar para deofuscação de payload em memória por processos suspeitos ([[t1140-deobfuscatedecode-files-or-information|T1140]]) ## Relevância LATAM/Brasil O [[g0016-apt29|APT29]] é um dos grupos de espionagem mais sofisticados do mundo e frequentemente amplia seus alvos globalmente. A técnica de comprometer nós de saída do Tor para infectar usuários que buscam anonimato é particularmente relevante no Brasil, onde a rede Tor tem uso significativo por jornalistas, ativistas e profissionais de segurança. Usuários e organizações que dependem do Tor para comúnicações sensíveis devem verificar a integridade dos downloads realizados pela rede. ## Referências - [MITRE ATT&CK - S0052](https://attack.mitre.org/software/S0052)