s0340-octopus - RunkIntel

# Octopus > Tipo: **malware** · S0340 · [MITRE ATT&CK](https://attack.mitre.org/software/S0340) ## Descrição [[s0340-octopus|Octopus]] é um Trojan para Windows escrito na linguagem de programação Delphi, utilizado pelo [[g0133-nomadic-octopus|Nomadic Octopus]] para atacar organizações governamentais na Ásia Central desde pelo menos 2014. O malware se disfarça como software legítimo do Telegram para enganar os usuários, explorando a popularidade do aplicativo de mensagens na região-alvo. O Octopus apresenta capacidades de espionagem abrangentes: coleta dados do sistema, realiza descoberta de usuários e configuração de rede, comprime dados coletados antes da exfiltração, e utiliza serviços de armazenamento em nuvem como canal alternativo de exfiltração - uma técnica que dificulta o bloqueio por firewalls tradicionais. A persistência é garantida via Run Keys do registro do Windows. O [[g0133-nomadic-octopus|Nomadic Octopus]] focou historicamente em alvos diplomáticos e governamentais do Cazaquistão, Uzbequistão, Tadjiquistão e outros países da ex-URSS, demonstrando interesse em coleta de inteligência geopolítica na região. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] ## Grupos que Usam - [[g0133-nomadic-octopus|Nomadic Octopus]] ## Detecção - Monitorar executáveis assinando como Telegram ou aplicativos populares sem certificado válido ([[t1036-005-match-legitimate-resource-name-or-location|T1036.005]]) - Detectar exfiltração para serviços de armazenamento em nuvem (OneDrive, Dropbox, Google Drive) por processos não-autorizados ([[t1567-002-exfiltration-to-cloud-storage|T1567.002]]) - Alertar para compressão de arquivos por processos suspeitos seguida de upload de rede ([[t1560-001-archive-via-utility|T1560.001]]) - Monitorar WMI executando comandos de descoberta ([[t1047-windows-management-instrumentation|T1047]]) ## Relevância LATAM/Brasil A técnica de disfarçar malware como aplicativos populares de mensagens - estratégia central do Octopus - é amplamente replicada no Brasil, onde o WhatsApp e Telegram têm penetração massiva. Campanhas brasileiras de trojans bancários e RATs frequentemente utilizam ícones e nomes de aplicativos legítimos para enganar usuários. A exfiltração via cloud storage também é uma técnica crescente em campanhas direcionadas ao setor corporativo brasileiro. ## Referências - [MITRE ATT&CK - S0340](https://attack.mitre.org/software/S0340)