s1133-apstle - RunkIntel

# Apóstle > Tipo: **malware** · S1133 · [MITRE ATT&CK](https://attack.mitre.org/software/S1133) ## Descrição [[apóstle|Apóstle]] é um malware desenvolvido em .NET pelo grupo [[g1030-agrius|Agrius]] que evoluiu de um wiper puro para um malware híbrido capaz de atuar também como ransomware. Essa dualidade é característica das operações do [[g1030-agrius|Agrius]], que frequentemente disfarça ataques destrutivos como extorsão financeira. O [[apóstle|Apóstle]] compartilha sobreposições significativas de código e funcionalidade com o [[s1132-ipsec-helper|IPsec Helper]], indicando base de código comum ou desenvolvimento pelo mesmo operador. Em sua função de wiper, o [[apóstle|Apóstle]] emprega [[t1561-001-disk-content-wipe|T1561.001 - Disk Content Wipe]] combinado com [[t1485-data-destruction|T1485 - Data Destruction]] para destruir dados de forma irrecuperável. O uso de [[t1070-001-clear-windows-event-logs|T1070.001 - Clear Windows Event Logs]] e [[t1070-004-file-deletion|T1070.004 - File Deletion]] apaga rastros forenses, enquanto [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] garante a execução no momento adequado. A técnica [[t1480-execution-guardrails|T1480 - Execution Guardrails]] evita execução em ambientes não pretendidos, protegendo a identidade do operador. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1529-system-shutdownreboot|T1529 - System Shutdown/Reboot]] - [[t1480-execution-guardrails|T1480 - Execution Guardrails]] - [[t1070-001-clear-windows-event-logs|T1070.001 - Clear Windows Event Logs]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1561-001-disk-content-wipe|T1561.001 - Disk Content Wipe]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1485-data-destruction|T1485 - Data Destruction]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] ## Grupos que Usam - [[g1030-agrius|Agrius]] ## Referências - [MITRE ATT&CK - S1133](https://attack.mitre.org/software/S1133)