s1015-milan - RunkIntel

# Milan > Tipo: **malware** · S1015 · [MITRE ATT&CK](https://attack.mitre.org/software/S1015) ## Descrição [[s1015-milan|Milan]] é um implante backdoor baseado no [[s1014-danbot|DanBot]], escrito em Visual C++ e .NET, utilizado pelo [[g1001-hexane|HEXANE]] (também conhecido como Lyceum) desde pelo menos junho de 2020. O HEXANE é um grupo de ciberespionagem associado ao Irã que tem como alvo primário organizações dos setores de petróleo, gás, telecomúnicações e aviação no Oriente Médio, África e Ásia Central. O Milan apresenta funcionalidades características de backdoor de segunda fase: comunicação C2 via DNS ([[t1071-004-dns|T1071.004]]) e HTTP ([[t1071-001-web-protocols|T1071.001]]) com capacidade de tunelamento de protocolo ([[t1572-protocol-tunneling|T1572]]), coleta de informações do sistema ([[t1082-system-information-discovery|T1082 ]]), persistência via tarefas agendadas ([[t1053-005-scheduled-task|T1053.005]]) e capacidade de download e execução de payloads adicionais ([[t1105-ingress-tool-transfer|T1105]]). O Milan utiliza Component Object Model (COM) para execução ([[t1559-001-component-object-model|T1559.001]]) e mascaramento de processos ([[t1036-masquerading|T1036]]) para reduzir visibilidade. A base de código compartilhada com o DanBot sugere evolução iterativa das ferramentas do HEXANE, onde versões mais recentes incorporam melhorias de evasão e novos canais de comunicação. O uso de DNS como canal C2 é especialmente relevante para detecção, pois muitas organizações não monitoram tráfego DNS com o mesmo rigor que tráfego HTTP/S. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1071-004-dns|T1071.004 - DNS]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1559-001-component-object-model|T1559.001 - Component Object Model]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1036-masquerading|T1036 - Masquerading]] - [[t1572-protocol-tunneling|T1572 - Protocol Tunneling]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1106-native-api|T1106 - Native API]] ## Grupos que Usam - [[g1001-hexane|HEXANE]] ## Detecção A detecção do Milan foca em consultas DNS suspeitas com subdomínios longos ou incomuns ([[t1071-004-dns|T1071.004]]) - padrão típico de C2 via DNS tunneling. Monitoramento de tarefas agendadas criadas por processos não-administrativos ([[t1053-005-scheduled-task|T1053.005]]), comúnicações COM incomuns ([[t1559-001-component-object-model|T1559.001]]) e mascaramento de processos ([[t1036-masquerading|T1036]]) são controles complementares. O uso de protocolos de tunelamento ([[t1572-protocol-tunneling|T1572]]) pode ser identificado por análise de tráfego de rede com inspeção profunda de pacotes (DPI). ## Relevância LATAM/Brasil O [[g1001-hexane|HEXANE]] concentra suas operações em setores de energia (petróleo e gás) e telecomúnicações, com alvos documentados no Oriente Médio e África. O Brasil, como importante produtor de petróleo (Petrobras) e grande mercado de telecomúnicações, representa um alvo potencial para grupos com esse perfil. Organizações do setor de energia brasileiro devem incluir IOCs do Milan e do HEXANE em seus programas de inteligência de ameaças, especialmente aquelas com parceiros ou operações no Oriente Médio. ## Detecção A detecção do Milan deve focar em consultas DNS anômalas com subdomínios longos ou codificados ([[t1071-004-dns|T1071.004]]) e criação de tarefas agendadas por processos não esperados ([[t1053-005-scheduled-task|T1053.005]]). O uso de COM para execução ([[t1559-001-component-object-model|T1559.001]]) pode ser detectado monitorando chamadas a objetos COM incomuns por processos legítimos. Análise de tráfego de rede para padrões de tunelamento ([[t1572-protocol-tunneling|T1572]]) e verificação de integridade de processos do sistema também são relevantes. ## Relevância LATAM/Brasil O [[g1001-hexane|HEXANE]] tem foco primário em setores de petróleo, gás e telecomúnicações - todos com presença significativa no Brasil (Petrobras, operadoras de telecom, empresas de energia). Embora os alvos documentados estejam concentrados no Oriente Médio e África, subsidiárias e parceiros de empresas desses setores na América Latina são alvos potenciais de campanha de espionagem industrial. Organizações brasileiras do setor energético devem incluir IOCs do Milan em seus programas de ameaças. ## Referências - [MITRE ATT&CK - S1015](https://attack.mitre.org/software/S1015) - [Kaspersky - Lyceum Group Reborn](https://securelist.com/lyceum-group-reborn/108170/)