s1101-lofise - RunkIntel

# LoFiSe > Tipo: **malware** · S1101 · [MITRE ATT&CK](https://attack.mitre.org/software/S1101) ## Descrição [[s1101-lofise|LoFiSe]] é um coletor de arquivos utilizado pelo grupo [[g1022-toddycat|ToddyCat]] desde pelo menos 2023, projetado específicamente para identificar, filtrar e exfiltrar arquivos de interesse em sistemas Windows comprometidos. O ToddyCat é um ator de ameaça APT com nexo provável na Ásia, focalizado em organizações governamentais e militares na Europa e Ásia, com particular aténção a alvos em países do Sudeste Asiático e Europa Oriental. O LoFiSe opera identificando automaticamente arquivos de alto valor nos sistemas comprometidos via [[t1083-file-and-directory-discovery|T1083]] e [[t1119-automated-collection|T1119]], coletando dados do sistema local ([[t1005-data-from-local-system|T1005]]) e armazenando localmente em staging antes da exfiltração ([[t1074-001-local-data-staging|T1074.001]]). O malware utiliza hijacking de DLL ([[t1574-001-dll|T1574.001]]) para execução stealth dentro de processos legítimos, dificultando a detecção. Os dados coletados são arquivados antes do envio ([[t1560-archive-collected-data|T1560]]), reduzindo o volume de tráfego de saída necessário para a exfiltração. O LoFiSe é tipicamente implantado após o acesso inicial e o movimento lateral já terem sido estabelecidos pelo ToddyCat usando outras ferramentas do seu arsenal. A ferramenta representa a fase de coleta de dados em operações de espionagem de longo prazo, onde a prioridade é identificar documentos de valor estratégico sem gerar alertas de segurança volumosos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1119-automated-collection|T1119 - Automated Collection]] ## Grupos que Usam - [[g1022-toddycat|ToddyCat]] ## Detecção - **[[ds-0022-file|File Creation]]** - Monitorar criação de arquivos compactados (ZIP, RAR) em diretórios temporários por processos não esperados - padrão de staging de dados do LoFiSe antes da exfiltração. - **[[ds-0009-process|Process Creation]]** - Detectar carregamento de DLL por processos legítimos a partir de caminhos incomuns - técnica de DLL hijacking usada pelo LoFiSe para execução stealth. - **[[ds-0012-script|Script Execution]]** - Alertar para enumeração automatizada de arquivos com extensões de interesse (`.docx`, `.pdf`, `.xlsx`, `.pptx`) em múltiplos diretórios consecutivamente. ```sigma title: LoFiSe Automated File Collection Activity status: experimental logsource: category: file_event product: windows detection: selection: TargetFilename|endswith: - '.zip' - '.rar' - '.7z' Image|contains|all: - '\Temp\' timeframe: 5m condition: selection | count() > 5 falsepositives: - Legitimaté backup or archive operations level: medium tags: - attack.collection - attack.t1074.001 - code/distill ``` ## Relevância LATAM/Brasil O [[g1022-toddycat|ToddyCat]], operador do LoFiSe, foca em espionagem contra governos e organizações militares, incluindo entidades de países asiáticos e europeus. Embora a América Latina não sejá o foco primário documentado do ToddyCat, ferramentas similares de coleta automatizada de dados são utilizadas por múltiplos grupos de espionagem que atuam contra órgãos governamentais brasileiros e organismos internacionais com presença na região. ## Referências - [MITRE ATT&CK - S1101](https://attack.mitre.org/software/S1101)