s0513-liteduke - RunkIntel

# LiteDuke > Tipo: **malware** · S0513 · [MITRE ATT&CK](https://attack.mitre.org/software/S0513) ## Descrição [[s0513-liteduke|LiteDuke]] é um backdoor de terceiro estágio utilizado pelo [[g0016-apt29|APT29]] (Cozy Bear), principalmente entre 2014 e 2015, em operações de espionagem cibernética de longo prazo. O [[s0513-liteduke|LiteDuke]] utilizava o mesmo dropper que o [[s0518-polyglotduke|PolyglotDuke]] e foi encontrado em máquinas também comprometidas pelo [[s0051-miniduke|MiniDuke]], indicando sua posição como payload final em cadeia de infecção multistage sofisticada. A combinação de steganography e empacotamento de software reflete o alto nível técnico do [[g0016-apt29|APT29]]. O LiteDuke utiliza steganography ([[t1027-003-steganography|T1027.003]]) para ocultar comúnicações C2 dentro de imagens, tornando o tráfego C2 indistinguível de conteúdo benigno. O malware realiza verificações de tempo ([[t1497-003-time-based-checks|T1497.003]]) para evitar execução em ambientes de análise sandbox, enquanto empacotamento de software ([[t1027-002-software-packing|T1027.002]]) dificulta análise estática. A persistência é assegurada via Run Keys do Registry ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]). O backdoor se comúnica via protocolos web ([[t1071-001-web-protocols|T1071.001]]) e realiza extensa descoberta do ambiente antes de executar comandos de exfiltração. A utilização de LiteDuke em conjunto com MiniDuke e PolyglotDuke no mesmo conjunto de vítimas demonstra a estratégia do [[g0016-apt29|APT29]] de manter múltiplos implants redundantes para garantir acesso persistente mesmo quando um componente é detectado. O APT29 é atribuído ao Serviço de Inteligência Estrangeira da Rússia (SVR) e conduz operações de espionagem contra governos ocidentais, organizações diplomáticas e de defesa. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1027-003-steganography|T1027.003 - Steganography]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] ## Grupos que Usam - [[g0016-apt29|APT29]] ## Detecção - **[[ds-0022-file|File Modification]]** - Detectar imagens (JPEG, PNG, GIF) com conteúdo binário suspeito além dos metadados EXIF padrão, indicativo de steganography usada pelo LiteDuke para comunicação C2. - **[[ds-0017-command|Command Execution]]** - Monitorar execução de processos com argumentos relacionados à decodificação de imagens e acesso a Run Keys do Registry em sequência rápida, padrão de inicialização do backdoor. - **[[ds-0029-network-traffic|Network Traffic Content]]** - Analisar requisições HTTP para domínios que retornam imagens com tamanhos incomuns ou padrões de timing regulares sugestivos de polling de C2. ```sigma title: LiteDuke Steganographic C2 Commúnication Pattern status: experimental logsource: category: network_connection product: windows detection: selection: Initiated: 'true' DestinationPort: 80 filter: Image|contains: - 'chrome.exe' - 'firefox.exe' - 'msedge.exe' condition: selection and not filter falsepositives: - Legitimaté applications making HTTP requests level: low tags: - attack.command-and-control - attack.t1071.001 - code/distill ``` ## Relevância LATAM/Brasil O [[g0016-apt29|APT29]], operador do LiteDuke, conduz operações de espionagem de alta sofisticação contra governos, organizações diplomáticas e entidades de defesa globalmente. Embora o foco primário sejá em alvos ocidentais da OTAN, embaixadas e missões diplomáticas de países latino-americanos em cidades europeias estão dentro do escopo de interesse histórico do SVR russo, tornando a ameaça relevante para o contexto de segurança nacional brasileiro. ## Referências - [MITRE ATT&CK - S0513](https://attack.mitre.org/software/S0513)