s0438-attor - RunkIntel

# Attor > Tipo: **espionage-platform** · S0438 · [MITRE ATT&CK](https://attack.mitre.org/software/S0438) ## Cadeia de Operação ```mermaid graph TB A["🎯 Acesso inicial Vetor desconhecido Alvo: diplomatas Europa Oriental"] --> B["🔧 Dispatcher instalado Injeta em processos valiosos Navegadores + messengers"] B --> C["📦 Plugins carregados DLLs cifradas apenas em memoria 8 módulos documentados"] C --> D["📱 Fingerprinting GSM Comandos AT para IMSI/IMEI Dispositivos seriais COM"] D --> E["📡 C2 via Tor Onion FTP + Tor + multi-layer T1090.003 anonimizacao"] classDef access fill:#e74c3c,color:#fff classDef dispatch fill:#e67e22,color:#fff classDef plugins fill:#3498db,color:#fff classDef gsm fill:#27ae60,color:#fff classDef c2 fill:#9b59b6,color:#fff class A access class B dispatch class C plugins class D gsm class E c2 ``` ## Descrição [[s0438-attor|Attor]] e uma plataforma de espionagem avancada para Windows observada em operações desde pelo menos 2013 e documentada públicamente pela ESET em outubro de 2019. A plataforma e notavel por dois recursos tecnicos incomuns que lhe deram o nome: o uso do protocolo AT (AT commands) para fingerprinting de dispositivos GSM conectados via porta serial, e o uso da rede Tor como canal C2 para anonimizacao completa do operador. A atribuicao permanece inconclusiva - pesquisadores da ESET identificaram foco geografico em Europa Oriental e usuarios russofones preocupados com privacidade, sugerindo ator estatal de inteligência com mandato de coleta politica e diplomatica. A arquitetura do [[s0438-attor|Attor]] e altamente modular: consiste em um dispatcher central e plugins carregados como DLLs cifradas que so existem descriptografadas em memoria - nunca em disco. Isso torna a análise extremamente dificil sem acesso a todos os componentes. A ESET identificou oito módulos: instalador/watchdog, monitor de dispositivos, gravador de audio, captura de tela, keylogger/clipboard, uploader de arquivos, dispatcher de comandos e módulo de comunicação. Cada plugin e armazenado comprimido e cifrado, carregado pelo dispatcher somente em processos considerados valiosos - navegadores, clientes de email e messengers específicos. O módulo de fingerprinting GSM e o mais curioso do arsenal do [[s0438-attor|Attor]]: ele usa comandos AT (padrao desenvolvido nos anos 1980 para modems, ainda presente em smartphones modernos) para comúnicar com dispositivos GSM/GPRS conectados a portas COM e recuperar identificadores como IMSI, IMEI, MSISDN e versao de firmware. Esse nivel de fingerprinting permite aos operadores identificar o dispositivo movel da vitima e potencialmente deploy um plugin customizado para exfiltrar dados do telefone. O [[s0438-attor|Attor]] monitora ainda o uso de ferramentas de privacidade específicas - TrueCrypt, HMA VPN, Hushmail, The Bat! - sugerindo que seus alvos sao individuos com consciencia de segurança e preocupados em ocultar comúnicacoes. **Plataformas:** Windows ## Diagrama de Plugins ```mermaid graph TB subgraph Attor_Plugins D["Dispatcher Central Injeta em processos alvo Nao comúnica diretamente C2"] P1["Monitor de Dispositivos Fingerprinting GSM via AT IMSI IMEI MSISDN"] P2["Gravador Audio Microfone em reunioes"] P3["Screen Grabber Screenshots apps alvo"] P4["Keylogger/Clipboard T1115"] P5["File Uploader Exfil via FTP + Tor"] end D --> P1 D --> P2 D --> P3 D --> P4 D --> P5 ``` ## Técnicas Utilizadas - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1560-003-archive-via-custom-method|T1560.003 - Archive via Custom Method]] - [[t1010-application-window-discovery|T1010 - Application Window Discovery]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1090-003-multi-hop-proxy|T1090.003 - Multi-hop Proxy]] - [[t1037-001-logon-script-windows|T1037.001 - Logon Script (Windows)]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1115-clipboard-data|T1115 - Clipboard Data]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1120-peripheral-device-discovery|T1120 - Peripheral Device Discovery]] - [[t1112-modify-registry|T1112 - Modify Registry]] ## Detecao A detecao do [[s0438-attor|Attor]] e desafiadora dado que plugins nunca existem descriptografados em disco. Focar em comportamento do dispatcher: monitorar injecao de DLLs via Rundll32 em processos de navegadores e clientes de email por processos nao esperados ([[t1218-011-rundll32|T1218.011]]). Detectar comúnicacoes Tor - conexoes a portas 9001/9030 ou para a rede onion - especialmente de processos de negocio ([[t1090-003-multi-hop-proxy|T1090.003]]). Alertar para processos que acessam portas COM seriais em sistemas sem dispositivos de hardware legítimo conectados. Monitorar logon scripts Windows modificados ([[t1037-001-logon-script-windows|T1037.001]]) e alteracoes no registro para persistência. A ESET públicou IOCs detalhados incluindo hashes de amostras e o endereco onion do C2 (`idayqh3zhj5j243t.onion`) no relatorio tecnico de 2019. ## Relevância LATAM/Brasil O [[s0438-attor|Attor]] tem foco documentado em diplomatas e entidades governamentais na Europa Oriental, com targeting específico de usuarios de redes sociais russas e ferramentas de privacidade. Para o Brasil, a relevância principal e a técnica em si: a combinacao de C2 via Tor, plugins modular em memoria e fingerprinting de dispositivos moveis representa um padrao de espionagem diplomatica de alta sofisticacao. Embassadas e representacoes diplomaticas brasileiras em regioes de tensao geopolitica, bem como funcionarios do Itamaraty com acesso a informações sensiveis, devem monitorar indicadores de plataformas similares ao [[s0438-attor|Attor]]. A capacidade de exfiltrar dados de dispositivos moveis conectados via USB em computadores diplomaticos e especialmente preocupante para ambientes de trabalho governamentais. ## Referências - [1](https://attack.mitre.org/software/S0438/) MITRE ATT&CK - Attor S0438 - [2](https://www.welivesecurity.com/2019/10/10/eset-discovers-attor-spy-platform/) ESET WeLiveSecurity - AT commands, TOR-based commúnications: Meet Attor (2019) - [3](https://www.bleepingcomputer.com/news/security/new-malware-spies-on-diplomats-high-profile-government-targets/) BleepingComputer - New Malware Spies on Diplomats (2019)