# T1496 - Resource Hijacking ## Descrição **Resource Hijacking** é uma técnica de impacto na qual adversários sequestram e utilizam os recursos de sistemas comprometidos para benefício próprio, geralmente à custa do desempenho e disponibilidade dos sistemas da vítima. No framework [[mitre-attack|MITRE ATT&CK]], esta técnica está classificada na tática de **Impacto** e representa uma categoria distinta de monetização de acesso não autorizado - em vez de exfiltrar dados ou extorquir vítimas, o adversário simplesmente explora a infraestrutura comprometida como um ativo gerador de receita. O Resource Hijacking difere das técnicas tradicionais de impacto como [[t1486-data-encrypted-for-impact|Data Encrypted for Impact]] (ransomware) e [[t1561-002-disk-structure-wipe|Disk Structure Wipe]] por ser fundamentalmente **parasitário** em vez de destrutivo - o adversário tem interesse em manter os sistemas operacionais para continuar explorando seus recursos, o que paradoxalmente pode tornar o ataque mais persistente e difícil de detectar. Os recursos que podem ser sequestrados incluem: - **Capacidade computacional (CPU/GPU)**: mineração de criptomoedas - a forma mais comum, abrangida por [[t1496-001-compute-hijacking|T1496.001 - Compute Hijacking]] - **Largura de banda de rede**: revenda de tráfego para redes de proxy residencial, descrita em [[t1496-002-bandwidth-hijacking|T1496.002 - Bandwidth Hijacking]] - **Serviços de nuvem**: abuso de APIs de plataformas SaaS/IaaS pagas pela vítima, coberto por [[t1496-004-cloud-service-hijacking|T1496.004 - Cloud Service Hijacking]] - **Créditos de SMS**: exploração de serviços de telefonia para fraude de tráfego inflado, documentado em [[t1496-003-sms-pumping|T1496.003 - SMS Pumping]] Em muitos casos, adversários combinam múltiplas formas de Resource Hijacking simultaneamente, maximizando o retorno de cada sistema comprometido. Um servidor Linux comprometido pode simultaneamente minerar Monero, vender largura de banda como nó de proxy, e usar créditos de API de SMS da vítima para campanhas de spam. A motivação subjacente é predominantemente **financeira**, tornando Resource Hijacking característico de grupos de cibercrime motivados por lucro, gangues de ransomware que usam cryptojacking como complemento de renda, e até mesmo atores estatais que usam essa atividade para financiamento autossuficiente de operações (notavelmente grupos norte-coreanos como o [[g0032-lazarus-group|Lazarus Group]]). --- ## Como Funciona ### Taxonomia de Sub-técnicas #### T1496.001 - Compute Hijacking A sub-técnica mais prevalente: sequestro da CPU/GPU para mineração de criptomoedas. Adversários instalam mineradores como XMRig (Monero), lolMiner (Ethereum/Zcash), ou variantes customizadas. Ambientes IaaS e Kubernetes são alvos prioritários por oferecerem recursos computacionais escaláveis e, em muitos casos, configurações permissivas de segurança. Detalhes completos em [[t1496-001-compute-hijacking|T1496.001 - Compute Hijacking]]. #### T1496.002 - Bandwidth Hijacking Sequestro da conexão de rede da vítima para revenda como proxy residencial ou corporativo. Redes de proxy residencial são vendidas comercialmente para scraping de dados, compra de ingressos de eventos, bypass de geo-restrictions. O endereço IP da vítima aparece como o IP do cliente final nessas transações, potencialmente expondo a vítima a investigações legais. Detalhes em [[t1496-002-bandwidth-hijacking|T1496.002 - Bandwidth Hijacking]]. #### T1496.003 - SMS Pumping Fraude de telecomúnicações em que adversários exploram formulários de verificação por SMS (OTP, 2FA) em aplicações web para gerar volumes massivos de mensagens SMS para números premium controlados pelo adversário. As operadoras de telefonia pagam pelo tráfego gerado, criando um esquema de monetização que pode custar milhares de dólares em créditos de SMS à vítima em poucas horas. Detalhes em [[t1496-003-sms-pumping|T1496.003 - SMS Pumping]]. #### T1496.004 - Cloud Service Hijacking Abuso de serviços de nuvem pagos pela vítima para fins do adversário: execução de workloads massivos em instâncias EC2/GCP/Azure, uso de serviços de LLM via API (AI jácking), armazenamento de dados maliciosos em S3/Blob Storage, ou uso de serviços de envio de e-mail (SES, SendGrid) para campanhas de spam. Detalhes em [[t1496-004-cloud-service-hijacking|T1496.004 - Cloud Service Hijacking]]. ### Padrão Geral de Operação Independente da sub-técnica, o padrão de operação segue uma estrutura consistente: 1. **Obtenção de acesso**: exploração de vulnerabilidades, credenciais comprometidas ou supply chain 2. **Estabelecimento de persistência**: mecanismos de sobrevivência a reboots e remoção parcial 3. **Instalação do agente de hijacking**: minerador, cliente de proxy, módulo de SMS bombing 4. **Evasão de detecção**: throttling de recursos, mascaramento de processos, rootkits 5. **Operação continuada**: geração de receita para o adversário enquanto a vítima arca com os custos --- ## Attack Flow ```mermaid graph TB A[Reconhecimento<br/>Scan de ativos expostos e APIs vulneráveis] --> B[Acesso Inicial<br/>Exploit / Credenciais vazadas / Supply chain] B --> C[Execução<br/>Shell reverso / Código malicioso em container] C --> D[Persistência<br/>Cronjob / Serviço / Registry / Init script] D --> E[Evasão<br/>Mascaramento de processo / Throttling de CPU] E --> F1[Compute Hijacking<br/>XMRig / Mineração de Monero] E --> F2[Bandwidth Hijacking<br/>Proxy residencial / Revenda de tráfego] E --> F3[Cloud Service Hijacking<br/>API LLM / S3 abuse / SES spam] E --> F4[SMS Pumping<br/>Formulários OTP / Números premium] F1 --> G[Geração de Receita<br/>Criptomoeda / Tráfego / Créditos] F2 --> G F3 --> G F4 --> G G --> H[Impacto na Vítima<br/>Performance degradada / Custos elevados] ``` --- ## Exemplos de Uso ### TeamTNT - Especialista em Cloud Resource Hijacking O [[g0139-teamtnt|TeamTNT]] é o grupo mais documentado em operações de Resource Hijacking em ambientes cloud. Desenvolveu um conjunto de ferramentas especializadas para: - Comprometer Docker APIs e Kubernetes clusters expostos - Roubar credenciais de AWS/Azure/GCP para acessar serviços cloud adicionais - Instalar mineradores Monero em containers efêmeros que se auto-destroem para limpar evidências - Vender largura de banda de servidores comprometidos para redes de proxy O grupo opera de forma semi-automatizada, com scripts que escaneiam bilhões de IPs e comprometem automaticamente sistemas vulneráveis em minutos após descoberta de novas vulnerabilidades. ### Grupos de Ransomware com Cryptojacking Paralelo Grupos como [[lockbit|LockBit]], [[blackcat|ALPHV]] e [[conti|Conti]] documentadamente instalavam mineradores de criptomoedas em sistemas comprometidos durante o período de dwell time (tempo entre comprometimento inicial e execução do ransomware), gerando receita adicional enquanto preparavam o ataque principal. Esta prática dupla - também chamada de "triple extortion" quando combinada com exfiltração de dados - demonstra que Resource Hijacking não é exclusividade de grupos de baixo nível. ### Atores Estatais - Financiamento Autossuficiente O [[g0032-lazarus-group|Lazarus Group]] da Coreia do Norte é único ao usar Resource Hijacking como parte de uma estratégia nacional de financiamento de operações. Além dos famosos roubos de criptomoedas por outras técnicas, o grupo usa cryptojacking como gerador de renda sustentável de longo prazo, pois é mais difícil de detectar e atribuir do que movimentações de wallets conhecidas. --- ## Detecção ### Monitoramento de Recursos e Performance ```yaml title: Sustained High CPU Usage by Unknown Process status: experimental logsource: category: process_creation product: windows detection: selection: Image|endswith: - '\svchost.exe' - '\taskhost.exe' - '\conhost.exe' CommandLine|contains: - '--algo' - '--url stratum' - '--coin' - 'donaté-level' condition: selection level: high tags: - attack.impact - attack.t1496 ``` ### Detecção de Conexões a Serviços de Proxy/Mining ```yaml title: Connection to Known Cryptomining or Proxy Service status: experimental logsource: category: network_connection product: linux detection: selection_mining: DestinationPort: - 3333 - 4444 - 5555 - 7777 - 14444 selection_proxy_services: DestinationHostname|contains: - 'iproyal.com' - 'peer2profit.com' - 'traffmonetizer.com' - 'packetstream.io' - 'honeygain.com' condition: selection_mining or selection_proxy_services level: medium tags: - attack.impact - attack.t1496 ``` ### Indicadores por Sub-técnica | Sub-técnica | Indicadores Primários | |-------------|----------------------| | Compute Hijacking | CPU > 80% sustentado, conexões a mining pools, processo XMRig/cgminer | | Bandwidth Hijacking | Transferência de dados anormalmente alta sem justificativa, conexões a IPs de proxy networks conhecidas | | Cloud Service Hijacking | Aumento repentino de custos em cloud billing, uso de APIs fora do horário normal, novas instâncias não provisionadas pelo time | | SMS Pumping | Volume anormal de requisições de OTP/SMS, cobranças em serviços de SMS provider, requisições de IPs suspeitos em formulários de verificação | ### Fontes de Dados Recomendadas | Fonte | Relevância | |-------|-----------| | Cloud billing alerts | Detecção de Compute e Cloud Service Hijacking por aumento de custos | | Network flow analysis | Bandwidth Hijacking por volume e destinos anormais | | Process monitoring (EDR) | Compute Hijacking por processos de mineração | | SMS provider logs | SMS Pumping por volumes de requisição | | Container/K8s audit logs | Hijacking em ambientes cloud-native | --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | - | Autenticação Forte em APIs Cloud | Nunca expor APIs de gerenciamento de containers ou cloud sem autenticação mútua. É o vetor de entrada mais explorado para Resource Hijacking em IaaS. | | - | Alertas de Billing Cloud | Configurar alertas de anomalia de custos em todos os cloud providers utilizados. É frequentemente a primeira detecção de Resource Hijacking em ambientes cloud. | | - | Limites de Recursos (Container) | Definir `resources.limits` em todos os workloads Kubernetes. Impede que um container comprometido consuma recursos ilimitados do cluster. | | - | Monitoramento de Performance | Baselinar o uso normal de CPU/memória/rede por servidor e alertar para desvios estatísticos significativos. | | - | Raté Limiting em Formulários SMS | Implementar raté limiting rigoroso, CAPTCHA e válidação de padrões abusivos em qualquer formulário que dispare SMS. Mitigação principal contra SMS Pumping. | | - | Egress Filtering | Bloquear conexões de saída para serviços de proxy e mining pools conhecidos via firewall de egresso. Tanto Compute quanto Bandwidth Hijacking dependem de conectividade para services externos. | | - | Inventário de Processos | Manter lista branca de processos autorizados por servidor. Qualquer novo processo com alto consumo de recursos deve gerar alerta imediato. | | - | Gestão de Credenciais Cloud | Rotacionar regularmente credenciais de acesso a cloud, usar roles IAM com mínimo privilégio e habilitar CloudTrail/Audit Logs para detectar uso anômalo de APIs. | --- ## Sub-técnicas - [[t1496-001-compute-hijacking|T1496.001 - Compute Hijacking]] - [[t1496-002-bandwidth-hijacking|T1496.002 - Bandwidth Hijacking]] - [[t1496-003-sms-pumping|T1496.003 - SMS Pumping]] - [[t1496-004-cloud-service-hijacking|T1496.004 - Cloud Service Hijacking]] ## Contexto Brasil/LATAM Resource Hijacking representa uma ameaça crescente e subestimada para organizações brasileiras e latino-americanas. Diferente de ransomware ou espionagem, o impacto imediato é financeiro e operacional (degradação de performance, custos cloud elevados) em vez de catastrófico, o que frequentemente resulta em menor urgência de resposta e maior dwell time do adversário. No contexto brasileiro, os vetores mais explorados são: **E-commerce e Fintechs**: empresas de alto crescimento que escalam infraestrutura cloud rapidamente frequentemente introduzem misconfigurations (buckets S3 públicos, APIs sem autenticação). O setor de fintechs brasileiro - um dos mais dinâmicos do mundo com empresas como Nubank, PicPay e Inter - opera em ambientes cloud-native que são alvos primários de Resource Hijacking. **Setor Público**: Prefeituras e órgãos estaduais com sistemas legados e falta de monitoramento de segurança são alvos fáceis para cryptojacking. O CTIR.gov documentou múltiplos casos de servidores governamentais comprometidos para mineração, frequentemente descobertos apenas quando o desempenho de sistemas essenciais como portais de licitação ou e-Saúde tornou-se inaceitável para usuários. **SMS Pumping no Brasil**: O Brasil tem um dos maiores volumes de verificação por SMS do mundo, impulsionado pela ampla adoção de 2FA em bancos digitais e aplicativos governamentais (Gov.br, Meu INSS). Isso cria uma superfície de ataque substancial para SMS Pumping, especialmente em aplicações com controles inadequados de raté limiting. **Grupos Locais**: O ecossistema de cibercrime brasileiro, historicamente focado em fraudes bancárias via trojans (como os grupos por trás do [[s0531-grandoreiro|Grandoreiro]] e [[mekotio|Mekotio]]), está diversificando para Resource Hijacking como forma adicional de monetização de acesso. Análises do CERT.br e de empresas como Tempest e Apura identificaram operações de cryptojacking com infraestrutura sediada no Brasil. Para organizações do [[financial|setor financeiro]], [[government|governo]] e [[setor-tecnologia|tecnologia]] no Brasil, Resource Hijacking deve ser incluído nos modelos de ameaças e programas de threat hunting, com foco especial em monitoramento de custos cloud e detecção de cryptomining em ambientes de containers. --- ## Referências - [MITRE ATT&CK - T1496](https://attack.mitre.org/techniques/T1496) - [Kaspersky - Cryptojacking LATAM Report](https://latam.kaspersky.com/blog/) - [CERT.br - Segurança em Ambientes Cloud](https://www.cert.br/) - [CrowdStrike - Resource Hijacking Techniques](https://www.crowdstrike.com/cybersecurity-101/cryptomining-cryptojacking/) - [Palo Alto Unit42 - TeamTNT Cloud Campaigns](https://unit42.paloaltonetworks.com/teamtnt-cloud-attacks/) - [Intezer - Cloud-Native Attacks Taxonomy](https://intezer.com/blog/cloud-security/) - [CTIR.gov - Alertas de Segurança Cibernética](https://www.ctir.gov.br/) --- *Fonte: [MITRE ATT&CK - T1496](https://attack.mitre.org/techniques/T1496)*