stealerbot - RunkIntel

# StealerBot > Tipo: **implant modular de pos-exploração** · Exclusivo do [[g0121-sidewinder|SideWinder]] · Descoberto em outubro 2024 pela Kaspersky ## Visão Geral [[stealerbot|StealerBot]] e um implant modular de pos-exploração desenvolvido em .NET, projetado exclusivamente para atividades de espionagem e utilizado únicamente pelo [[g0121-sidewinder|SideWinder]] (também rastreado como APT-C-17, Baby Elephant, Hardcore Nationalist, Leafperforator, Rattlesnake, Razor Tiger e T-APT-04), grupo APT com suspeita de origem indiana, ativo desde pelo menos 2012. O malware foi descoberto e documentado públicamente pelos pesquisadores Giampaolo Dedola e Vasily Berdnikov da Kaspersky em outubro de 2024, durante investigação de uma serie de ataques contra entidades de alto perfil e infraestruturas estratégicas no Oriente Medio e Africa. O aspecto mais distintivo do StealerBot e sua execução completamente fileless: nenhum componente do implant e gravado no sistema de arquivos. Todos os módulos sao carregados em memoria pelo componente "Backdoor Loader" a partir de arquivos criptografados, executando inteiramente em RAM e deixando minima superficie de artefatos para análise forense. Esse design torna a detecção por soluções antivirus tradicionais baseadas em assinatura de arquivo essencialmente ineficaz. A arquitetura do StealerBot e baseada em um Orchestrator central que gerencia comunicação com o C2 e carrega/descarrega plugins especializados dinâmicamente. O Orchestrator se comúnica com dois servidores C2 distintos - um para download de módulos e outro para upload de dados exfiltrados - usando comunicação criptografada com RSA para proteção de chaves, compressao Gzip e criptografia AES para o payload. O conjunto de plugins documentado inclui capacidades para: instalacao de malware adicional, capturas de tela, keylogging, roubo de senhas de browsers, interceptação de credenciais RDP, roubo de arquivos, shell reverso, phishing de credenciais Windows e bypass de UAC. Uma caracteristica operacional que distingue o [[g0121-sidewinder|SideWinder]] e sua velocidade de resposta a deteccoes: quando componentes sao identificados por EDRs ou antivirus, o grupo produz versoes atualizadas e evoluidas com frequência documentada de menos de 5 horas. Esse ciclo de desenvolvimento agil, aliado ao StealerBot como ferramenta de pos-exploração persistente, demonstra maturidade operacional superior ao que a percepcao inicial do grupo sugeria. **Plataformas:** Windows ## Como Funciona O StealerBot e entregue ao final de uma cadeia de infecção multi-estagio projetada para evasão maxima: 1. **Spear-phishing com isca geolocalizada** - Emails altamente direcionados com attachments ZIP (contendo arquivo LNK) ou documentos Office; iscas sao adaptadas por regiao - documentos diplomaticos, militares ou governamentais para alvos do Oriente Medio e Asia do Sul 2. **Exploração de CVE-2017-11882 via RTF** - Os documentos Office usam remote templaté injection para baixar RTF de servidor do atacante; o RTF explora a vulnerabilidade de corrupcao de memoria no Microsoft Equation Editor (CVE-2017-11882) para executar shellcode sem interação adicional da vitima 3. **Cadeia JavaScript multi-estagio** - O shellcode executa JavaScript que baixa `App.dll` - uma biblioteca .NET que coleta informações do sistema, identifica soluções de segurança instaladas (usando WMI e comparando 137 nomes de processos contra dicionario embutido) e baixa o segundo estagio `ModuleInstaller.dll` 4. **Detecção de ambiente e evasão sandbox** - Antes de prosseguir, o shellcode verifica RAM disponível (termina se < 950MB), tenta carregar `nlssorting.dll` (termina se bem-sucedido - indica ambiente de análise) e verifica processos ativos contra lista de ferramentas de segurança 5. **DLL Sideloading do Backdoor Loader** - O `ModuleInstaller.dll` instala o Backdoor Loader via DLL sideloading (`T1574.001`) usando aplicativo legitimo e assinado digitalmente como host; o comportamento exato de sideloading e adaptado por alvo - caminhos específicos com nome de usuario do alvo estao embutidos nos samples 6. **Carregamento do Orchestrator em memoria** - O Backdoor Loader carrega o Orchestrator do StealerBot a partir de arquivo criptografado sem gravar em disco; o Orchestrator inicializa, estabelece comunicação C2 com RSA para troca de chaves, e aguarda instrucoes 7. **Execução modular sob demanda** - O Orchestrator recebe IDs de módulos do C2 e os carrega em memoria via pipes de comunicação inter-módulo; cada módulo executa tarefa específica e se comúnica com o Orchestrator via protocolo de mensagens estruturado com IDs predefinidos (captura de tela, keylogging, roubo de credenciais RDP, shell reverso, etc.) ```mermaid graph TB A["Spear-phishing ZIP/LNK ou Office document"] --> B["CVE-2017-11882 RTF exploit sem clique adicional"] B --> C["JavaScript multi-estagio App.dll coleta ambiente"] C --> D["Anti-análise RAM, nlssorting.dll, 137 processos AV"] D --> E["DLL Sideloading Backdoor Loader via app legitima"] E --> F["StealerBot Orchestrator Carregado em memoria via RSA+AES"] F --> G1["Keylogger SetWindowsHookEx capturas de teclado"] F --> G2["Screenshot Capturas periodicas de tela"] F --> G3["RDP Stealer Injecao em mstsc.exe"] F --> G4["Browser stealer Chrome, Firefox cookies e senhas"] F --> G5["Reverse shell Execução de comandos CLI"] F --> G6["UAC bypass Escalada de privilegios"] ``` ## Timeline ```mermaid timeline title StealerBot - Evolução e Campanhas 2020 : Backdoor Loader documentado por primeira vez : SideWinder expande alvos na Asia do Sul 2024-10 : Kaspersky descobre StealerBot em campanha Oriente Medio e Africa : Primeiro uso documentado de toolkit de pos-exploração avancado : Alvos: militares, governo, maritimo em EAU, Arabia Saudita, Egito 2024-11 : CyberStash publica análise detalhada da campanha StealerBot : 9 plugins documentados com funções específicas : Comportamento anti-análise com 137 processos AV identificados 2025 : Securelist documenta expansao para setores nuclear e maritimo : Nova versao C++ do Backdoor Loader observada : Atualização de variantes em menos de 5 horas pos-detecção 2025-02 : Campanha contra Pakistan Cabinet Division com WarHawk + Cobalt Strike 2025-03 : Securelist publica H2 2024 update - expansao geografica confirmada ``` ## TTPs MITRE ATT&CK | Tática | Técnica | Uso | |--------|---------|-----| | Acesso inicial | [[t1566-001-spearphishing-attachment\|T1566.001]] | ZIP com LNK ou documento Office com isca regional | | Execução | [[t1203-exploitation-for-client-execution\|T1203]] | CVE-2017-11882 no Microsoft Equation Editor | | Execução | [[t1059-007-javascript\|T1059.007]] | JavaScript multi-estagio para download de módulos | | Evasão | [[t1574-001-dll-search-order-hijacking\|T1574.001]] | DLL sideloading para carregamento do Backdoor Loader | | Evasão | [[t1055-012-process-hollowing\|T1055.012]] | Módulos carregados em memoria sem artefatos em disco | | Evasão | [[t1027-obfuscated-files-or-information\|T1027]] | Módulos armazenados em arquivos criptografados | | Evasão | [[t1497-001-virtualizationsandbox-evasion\|T1497.001]] | Verificação de RAM, nlssorting.dll, 137 processos AV | | Coleta | [[t1056-001-keylogging\|T1056.001]] | SetWindowsHookEx para captura de teclas e mouse | | Coleta | [[t1113-screen-capture\|T1113]] | Capturas periodicas de tela | | Acesso credencial | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de cookies e senhas do Chrome e Firefox | | Acesso credencial | [[t1021-001-remote-desktop-protocol\|T1021.001]] | Injecao em mstsc.exe para roubo de credenciais RDP | | Escalada | [[t1548-002-bypass-user-account-control\|T1548.002]] | Bypass de UAC para escalada de privilegios | | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTPS para comunicação C2 | | Exfiltração | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados comprimidos Gzip + AES enviados ao C2 | | Descoberta | [[t1082-system-information-discovery\|T1082]] | Coleta de versao OS, RAM, processos, nome de usuario | ## Relevância LATAM/Brasil O [[g0121-sidewinder|SideWinder]] tem foco primario na Asia do Sul e Oriente Medio, com expansao documentada para Africa. A relevância para o Brasil e crescente: - **Expansao geografica documentada**: Em 2024-2025, o SideWinder expandiu operações para novos territorios em busca de alvos militares e governamentais de interesse estratégico indiano - embaixadas brasileiras em regioes de interesse (Paquistao, Bangladesh, Sri Lanka) estao em area de risco elevado - **Setor maritimo e portuario**: A Securelist documentou aumento significativo de ataques a infraestrutura maritima em 2024; portos brasileiros (Santos, Paranagua, Itaqui) com presenca de parceiros ou tecnologia de origem asiatica sao potencialmente expostos - **Alvos diplomaticos**: O padrao de ataques via iscas diplomaticas e aplicavel a representacoes diplomaticas brasileiras em regioes de interesse do SideWinder - **CVE-2017-11882 ainda relevante**: Muitas organizacoes brasileiras do setor público e empresas medias ainda operam versoes desatualizadas do Microsoft Office - o exploit antigo mas confiavel do SideWinder continua eficaz em ambientes sem patch management rigoroso ## Detecção - **Email**: Inspecionar emails com attachments ZIP contendo arquivo .LNK ou documentos Office com templates externos; alertar sobre documentos RTF que fazem download de conteudo remoto - **CVE-2017-11882**: Garantir patch do Microsoft Equation Editor; monitorar `eqnedt32.exe` executando processos filhos - indicador de exploração desta vulnerabilidade - **DLL Sideloading**: Alertar sobre aplicativos legitimos assinados carregando DLLs de caminhos nao-padrao ou DLLs sem assinatura digital válida; monitorar `propsys.dll`, `winmm.dll`, `UxTheme.dll` carregados de caminhos incomuns - **Anti-análise bypass**: O StealerBot verifica `nlssorting.dll` e tamanho de RAM - ambientes de análise devem simular RAM >= 950MB e nao ter `nlssorting.dll` para observar comportamento completo - **Injecao mstsc.exe**: Monitorar criação de threads remotas em `mstsc.exe` por processos nao relacionados a RDP - indicador do módulo RDP Credential Stealer do StealerBot - **C2 anomalo**: Detectar requisicoes HTTP GET periodicas com headers customizados de processos nao-browser; monitorar conexoes a dominios com subdomains dinâmicos que mudam frequentemente (infraestrutura SideWinder rotaciona regularmente) ## Referências - [Kaspersky Securelist - SideWinder APT StealerBot (2024)](https://securelist.com/sidewinder-apt/114089/) - [Kaspersky Securelist - SideWinder H2 2024 Updates (2025)](https://securelist.com/sidewinder-apt-updates-its-toolset-and-targets-nuclear-sector/115847/) - [The Hacker News - SideWinder Middle East Africa (2024)](https://thehackernews.com/2024/10/sidewinder-apt-strikes-middle-east-and.html) - [CyberStash - SideWinder APT StealerBot Campaign (2024)](https://www.cyberstash.com/wp-content/uploads/2024/10/SideWinder-APT-StealerBot-Campaign.pdf) - [CyberStash - SideWinder APT Agile Retool (2025)](https://www.cyberstash.com/wp-content/uploads/2025/04/SideWinder-APT-Agile-Retool-and-Evolving-Tactics.pdf)