s0351-cannon - RunkIntel

# Cannon > Tipo: **malware** · S0351 · [MITRE ATT&CK](https://attack.mitre.org/software/S0351) ## Descrição [[s0351-cannon|Cannon]] é um Trojan com variantes escritas em C# e Delphi, utilizado pelo grupo [[g0007-apt28|APT28]] (Fancy Bear/Sofacy). Foi observado pela primeira vez em abril de 2018 em campanhas de espionagem contra governos, defesa e setores políticos. O malware emprega protocolos de e-mail (IMAP/SMTP/POP3) como canal de comando e controle, disfarçando comúnicações maliciosas como tráfego legítimo de correio eletrônico. O Cannon realiza reconhecimento extenso do sistema comprometido, coletando informações sobre processos em execução ([[t1057-process-discovery|T1057]]), arquivos e diretórios ([[t1083-file-and-directory-discovery|T1083]]), hora do sistema ([[t1124-system-time-discovery|T1124]]) e informações do proprietário ([[t1033-system-owneruser-discovery|T1033]]). Capturas de tela periódicas ([[t1113-screen-capture|T1113]]) fornecem visibilidade das atividades do usuário ao operador. A persistência é estabelecida via Winlogon Helper DLL ([[t1547-004-winlogon-helper-dll|T1547.004]]), garantindo sobrevivência entre reinicializações. A exfiltração de dados ocorre exclusivamente através do canal C2 de e-mail ([[t1041-exfiltration-over-c2-channel|T1041]]), utilizando caixas de e-mail criadas específicamente pelos operadores para receber screenshots e informações do sistema. Esta técnica de C2 via e-mail é característica das operações do APT28, que usou abordagem similar em outras ferramentas como SEDUPLOADER e X-Agent. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1071-003-mail-protocols|T1071.003 - Mail Protocols]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1547-004-winlogon-helper-dll|T1547.004 - Winlogon Helper DLL]] ## Grupos que Usam - [[g0007-apt28|APT28]] ## Detecção - Monitorar conexões IMAP/SMTP/POP3 originadas de processos não relacionados a clientes de e-mail ([[t1071-003-mail-protocols|T1071.003]]) - Detectar modificações em chaves Winlogon Helper DLL no registro ([[t1547-004-winlogon-helper-dll|T1547.004]]): `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon` - Alertar sobre capturas de tela periódicas por processos em segundo plano ([[t1113-screen-capture|T1113]]) - Identificar binários Delphi ou C# não assinados fazendo conexões a serviços de e-mail externos - Regra Sigma: processo acessando API Windows de screenshot com comportamento de loop temporal ## Relevância LATAM/Brasil O [[g0007-apt28|APT28]] possui histórico de operações de espionagem contra entidades governamentais, diplomáticas e militares em múltiplos continentes. Para o Brasil, o risco é relevante especialmente para o Ministério de Relações Exteriores, Forças Armadas e organizações com vínculos a países da OTAN ou diretamente envolvidos em conflitos de interesse russo. O C2 via protocolos de e-mail ([[t1071-003-mail-protocols|T1071.003]]) utilizado pelo Cannon é particularmente difícil de bloquear sem impactar operações legítimas, tornando a detecção comportamental essencial para organizações brasileiras de interesse estratégico. ## Referências - [MITRE ATT&CK - S0351](https://attack.mitre.org/software/S0351)