slightpulse - RunkIntel

# SLIGHTPULSE > Tipo: **malware** · S1110 · [MITRE ATT&CK](https://attack.mitre.org/software/S1110) ## Descrição [[slightpulse|SLIGHTPULSE]] é um web shell utilizado pelo [[g1023-apt5|APT5]] desde pelo menos 2020, incluindo ataques contra VPNs Pulse Secure em entidades da Base Industrial de Defesa (DIB) dos Estados Unidos. O malware é implantado em dispositivos de rede comprometidos e oferece ao atacante capacidade de execução remota de comandos, transferência de arquivos e exfiltração de dados por meio de protocolos web padrão, dificultando sua detecção em ambientes corporativos. O [[slightpulse|SLIGHTPULSE]] opera modificando arquivos legítimos do Pulse Secure VPN para manter persistência discreta. Seu design como web shell aproveita a infraestrutura de rede existente para comunicação com o servidor de comando e controle (C2), utilizando codificação simétrica para ofuscar o tráfego. O [[g1023-apt5|APT5]], grupo de espionagem associado a interesses do Estado chinês, emprega o SLIGHTPULSE como componente de acesso persistente em sua cadeia de ataque contra infraestrutura crítica ocidental, tipicamente em conjunto com outras ferramentas como o [[s1104-slowpulse|SLOWPULSE]] e o [[s1112-steadypulse|STEADYPULSE]]. **Plataformas:** Network Devices, Linux ## Técnicas Utilizadas - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] ## Grupos que Usam - [[g1023-apt5|APT5]] ## Detecção - Monitorar modificações em arquivos legítimos do Pulse Secure VPN, especialmente scripts Perl e arquivos de configuração - Detectar tráfego HTTP/HTTPS anômalo originado de dispositivos VPN em direção a IPs externos não esperados - Alertas para execução de comandos shell ([[t1059-command-and-scripting-interpreter|T1059]]) a partir de processos de servidor web em dispositivos de rede - Inspecionar logs de acesso do servidor web para requisições com padrões incomuns ou parâmetros codificados em Base64 ## Relevância LATAM/Brasil O SLIGHTPULSE é uma ameaça focada em espionagem contra infraestrutura de defesa e governo em países aliados dos EUA e Europa. Embora não hajá registros públicos de ataques diretos ao Brasil, organizações brasileiras dos setores de defesa, governo e telecomúnicações que utilizam VPNs Pulse Secure devem considerar o risco dado o perfil do [[g1023-apt5|APT5]]. A técnica de comprometimento de dispositivos de rede é crescentemente relevante para organizações LATAM que dependem de infraestrutura VPN legada. ## Referências - [MITRE ATT&CK - S1110](https://attack.mitre.org/software/S1110)