s1060-mafalda - RunkIntel

# Mafalda > Tipo: **malware** · S1060 · [MITRE ATT&CK](https://attack.mitre.org/software/S1060) ## Descrição [[s1060-mafalda|Mafalda]] é um implant interativo e altamente flexível utilizado pelo misterioso grupo [[g1013-metador|Metador]], descoberto pelo SentinelOne em 2022. O Metador é um dos grupos de APT menos compreendidos em termos de atribuição - análise técnica sugere capacidades de inteligência de um Estado-nação sofisticado, mas a atribuição geopolítica permanece incerta. O nome Mafalda é presumivelmente uma referência ao icônico personagem de quadrinhos argentino, possívelmente como comentário político do desenvolvedor. O Mafalda suporta um conjunto robusto de comandos interativos, incluindo coleta de dados locais ([[t1005-data-from-local-system|T1005]]), staging ([[t1074-001-local-data-staging|T1074.001]]), execução de shell ([[t1059-003-windows-command-shell|T1059.003]]) e PowerShell ([[t1059-001-powershell|T1059.001]]), limpeza de Event Logs ([[t1070-001-clear-windows-event-logs|T1070.001]]) e modificação de Registry ([[t1112-modify-registry|T1112]]). O C2 usa protocolo não-aplicação ([[t1095-non-application-layer-protocol|T1095]]) com proxy interno ([[t1090-001-internal-proxy|T1090.001]]) e codificação padrão ([[t1132-001-standard-encoding|T1132.001]]). A persistência é garantida via Windows Service ([[t1569-002-service-execution|T1569.002]]). A técnica de Port Knocking ([[t1205-001-port-knocking|T1205.001]]) garante que o C2 só responde a clientes que enviaram a sequência correta de pacotes, tornando a detecção da infraestrutura extremamente difícil. O Mafalda foi encontrado em sistemas de provedores de telecomúnicações no Oriente Médio e sul da Ásia, coexistindo com outros implants APT - um padrão incomum que sugere que o Metador opera de forma independente de outros grupos. A referência ao personagem argentino no nome interno do implant adiciona uma dimensão LATAM ao mistério da atribuição. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1205-001-port-knocking|T1205.001 - Port Knocking]] - [[t1134-003-make-and-impersonate-token|T1134.003 - Make and Impersonaté Token]] - [[t1133-external-remote-services|T1133 - External Remote Services]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1070-001-clear-windows-event-logs|T1070.001 - Clear Windows Event Logs]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1552-004-private-keys|T1552.004 - Private Keys]] - [[t1569-002-service-execution|T1569.002 - Service Execution]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1090-001-internal-proxy|T1090.001 - Internal Proxy]] ## Grupos que Usam - [[g1013-metador|Metador]] ## Detecção - **[[ds-0029-network-traffic|Network Traffic Flow]]** - Monitorar padrões de port knocking - sequências de conexões TCP/UDP a portas específicas sem resposta de serviço - técnica única do Mafalda para ativar seu canal C2. - **[[ds-0009-process|Process Creation]]** - Detectar execução de comandos de Windows via serviços de sistema incomuns ou processos sem linha parental esperada - padrão de execução via Service Execution do Mafalda. - **[[ds-0024-windows-registry|Windows Registry Key Modification]]** - Alertar para modificações em chaves de Registry por processos de serviço não conhecidos - técnica de configuração e persistência do Mafalda. ```sigma title: Mafalda Port Knocking Pre-C2 Activation status: experimental logsource: category: firewall detection: selection: Action: 'Drop' timeframe: 30s condition: selection | count(DestinationPort) by SourceIp > 5 falsepositives: - Network scanning tools in authorized security assessments level: medium tags: - attack.command-and-control - attack.t1205.001 - code/distill ``` ## Relevância LATAM/Brasil O [[g1013-metador|Metador]] e o Mafalda são significativos pelo mistério em torno de sua atribuição - e pela referência ao personagem argentino no nome interno do implant, que pode ser uma pista deliberada (ou desinformação) dos desenvolvedores. Provedores de telecomúnicações brasileiros, que detêm dados de comúnicações de milhões de cidadãos, representam o tipo de alvo que grupos como o Metador visam globalmente. ## Referências - [MITRE ATT&CK - S1060](https://attack.mitre.org/software/S1060) - [SentinelOne - Metador: A Modular Espionage Campaign](https://assets.sentinelone.com/sentinellabs22/metador)