# PITSTOP > Tipo: **malware** · S1123 · [MITRE ATT&CK](https://attack.mitre.org/software/S1123) ## Descrição [[s1123-pitstop|PITSTOP]] é um backdoor sofisticado implantado em dispositivos VPN Ivanti Connect Secure comprometidos durante a operação [[cutting-edge|Cutting Edge]], uma campanha de espionagem contra organizações de defesa, governos e infraestrutura crítica descoberta em 2024. O PITSTOP opera diretamente no sistema operacional Linux subjacente dos appliances VPN, permitindo execução arbitrária de comandos Unix ([[t1059-004-unix-shell|T1059.004]]) e leitura/escrita irrestrita de arquivos no dispositivo comprometido. O malware utiliza socket filters ([[t1205-002-socket-filters|T1205.002]]) para interceptar tráfego de rede específico no appliance, funcionando como uma backdoor de tráfego seletivo que aguarda pacotes "mágicos" do operador antes de ativar o canal C2. Isso torna o PITSTOP particularmente difícil de detectar, pois permanece inativo na maioria do tempo e apenas responde a gatilhos específicos. A comunicação C2 utiliza criptografia assimétrica ([[t1573-002-asymmetric-cryptography|T1573.002]]) e deobfuscação em tempo de execução ([[t1140-deobfuscatedecode-files-or-information|T1140]]). A operação [[cutting-edge|Cutting Edge]] que distribuiu o PITSTOP explorou múltiplas vulnerabilidades zero-day no Ivanti Connect Secure ([[cve-2023-46805|CVE-2023-46805]] e [[cve-2024-21887|CVE-2024-21887]]) e foi atribuída a atores patrocinados por estado. A persistência em dispositivos de borda como VPNs - onde agentes de EDR tradicionais não operam - representa um dos maiores desafios de detecção para SOCs modernos. **Plataformas:** Network Devices (Linux) ## Técnicas Utilizadas - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1559-inter-process-communication|T1559 - Inter-Process Commúnication]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1205-002-socket-filters|T1205.002 - Socket Filters]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] ## Detecção **Fontes de dados recomendadas:** - **Ivanti Integrity Checker Tool (ICT):** Executar o ICT externo (não o interno ao appliance, que pode ser comprometido) para comparar hash de arquivos do sistema contra baseline conhecido - **Logs de appliance:** Anomalias em logs do Ivanti Connect Secure - acesso a arquivos de configuração fora do horário administrativo, execução de comandos de shell inesperados - **Rede:** Tráfego de saída incomum originado do appliance VPN para IPs externos não pertencentes à infraestrutura Ivanti; socket RAW filter ativo em interfaces de rede **Regras de detecção:** - YARA: Assinaturas de PITSTOP públicadas pela Mandiant/Google Threat Intelligence como parte do relatório da Operação Cutting Edge (2024) - Verificação de integridade: Comparação de binários do sistema contra snapshot limpo - PITSTOP modifica bibliotecas do sistema para garantir execução ## Relevância LATAM/Brasil Dispositivos de borda como VPNs Ivanti são amplamente utilizados por agências governamentais, empresas de defesa e infraestrutura crítica no Brasil e na América Latina. A operação [[cutting-edge|Cutting Edge]] comprometeu dispositivos VPN globalmente, e organizações LATAM que utilizam Ivanti Connect Secure sem os patches de segurança aplicados permanecem vulneráveis a variantes do PITSTOP. A [[cisa|CISA]] emitiu alertas urgentes sobre essas vulnerabilidades, recomendando factory reset e reimplantação completa de appliances suspeitos - medida crítica para organizações brasileiras de infraestrutura crítica que dependem dessas soluções. ## Referências - [MITRE ATT&CK - S1123](https://attack.mitre.org/software/S1123) - [Mandiant - Cutting Edge: Zero-Days Used Against Ivanti Connect Secure VPN](https://www.mandiant.com/resources/blog/investigating-ivanti-zero-day-exploitation) - Janeiro 2024 - [CISA Advisory - Ivanti Connect Secure and Policy Secure Vulnerabilities](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-060b) - 2024