# Peirates > Tipo: **tool** · S0683 · [MITRE ATT&CK](https://attack.mitre.org/software/S0683) ## Descrição [[s0683-peirates|Peirates]] é um framework de exploração Kubernetes pós-comprometimento, desenvolvido em Go pela InGuardians Inc. e disponibilizado públicamente no GitHub como ferramenta de red team. Seu objetivo é simular ataques reais contra clusters Kubernetes, coletando tokens de contas de serviço, enumerando recursos do cluster, escapando de containers para o host subjacente e movendo lateralmente dentro do ambiente containerizado. Em contexto malicioso, [[s0683-peirates|Peirates]] foi identificado em uso pelo [[g0139-teamtnt|TeamTNT]] - grupo especializado em ataques a ambientes cloud e Kubernetes para cryptomining e roubo de credenciais. A ferramenta fornece capacidades para: roubar tokens de ServiceAccount com permissões elevadas, escalar para cluster-admin, escalar para o nó host via ataques de escape de container, acessar dados sensíveis armazenados em Secrets do Kubernetes e movimentar lateralmente para outros pods/namespaces. A automação fornecida por Peirates transforma o que seria um processo manual complexo em um fluxo de trabalho acessível até para operadores sem experiência profunda em Kubernetes. Com a crescente adoção de Kubernetes por empresas brasileiras - especialmente em fintechs, e-commerce e empresas de tecnologia - Peirates representa risco relevante para ambientes que não implementam RBAC granular, Pod Security Standards e monitoramento comportamental de containers. **Plataformas:** Containers ## Técnicas Utilizadas - [[t1613-container-and-resource-discovery|T1613 - Container and Resource Discovery]] - [[t1609-container-administration-command|T1609 - Container Administration Command]] - [[t1611-escape-to-host|T1611 - Escape to Host]] - [[t1550-001-application-access-token|T1550.001 - Application Access Token]] - [[t1530-data-from-cloud-storage|T1530 - Data from Cloud Storage]] - [[t1046-network-service-discovery|T1046 - Network Service Discovery]] - [[t1610-deploy-container|T1610 - Deploy Container]] - [[t1552-007-container-api|T1552.007 - Container API]] - [[t1619-cloud-storage-object-discovery|T1619 - Cloud Storage Object Discovery]] - [[t1552-005-cloud-instance-metadata-api|T1552.005 - Cloud Instance Metadata API]] - [[t1528-steal-application-access-token|T1528 - Steal Application Access Token]] - [[t1078-004-cloud-accounts|T1078.004 - Cloud Accounts]] ## Grupos que Usam - [[g0139-teamtnt|TeamTNT]] ## Detecção **Fontes de dados recomendadas:** - **Kubernetes Audit Logs:** Requisições incomuns a `serviceaccounts/token`, listagem massiva de secrets ou roles em namespaces que normalmente não fazem essas chamadas - indica uso de Peirates ou similar - **Falco (CNCF):** Regras para detecção de acesso a Kubernetes ServiceAccount tokens a partir de containers interativos ou processos inesperados - **Container Runtime:** Execução de binários Go compilados não pertencentes à imagem original do container - especialmente em diretórios temporários **Regras de detecção:** - Falco Rule: `k8s_service_account_token_access` - detecta leitura de tokens de ServiceAccount por processos não-autorizados - Kubernetes Network Policy: Bloquear pods sem necessidade de comunicação com a API do Kubernetes de acessar `kubernetes.default.svc` ## Relevância LATAM/Brasil Com a expansão de Kubernetes em empresas brasileiras de tecnologia, fintech e e-commerce, ferramentas como [[s0683-peirates|Peirates]] representam risco crescente para ambientes cloud-native nacionais. [[g0139-teamtnt|TeamTNT]] realizou campanhas de cryptomining contra clusters Kubernetes expostos globalmente, incluindo instâncias brasileiras, explorando credenciais fracas e APIs expostas. Organizações brasileiras que executam Kubernetes em GCP, AWS EKS ou Azure AKS sem RBAC adequado, sem Falco ou similar, e com ServiceAccounts com permissões excessivas são alvos vulneráveis a exploração por Peirates. ## Referências - [MITRE ATT&CK - S0683](https://attack.mitre.org/software/S0683)