CURIUM

OrigemIrã

Técnicas (MITRE ATT&CK)19

FonteMITRE ATT&CK

Também conhecido como:Crimson SandstormTA456Tortoise ShellYellow Liderc

Análise Vexday

CURIUM é um grupo de ameaça persistente avançada (APT) de origem iraniana, reportado pela primeira vez em setembro de 2019 e ativo desde pelo menos julho de 2018, com atuação documentada contra provedores de serviços de TI no Oriente Médio. O grupo é reconhecido por cultivar relacionamentos com alvos potenciais por meio de redes sociais ao longo de meses, estabelecendo confiança gradualmente antes de entregar malware — chegando a manter conversas diárias e enviar arquivos benignos para reduzir a vigilância dos alvos. Rastreado pelo MITRE ATT&CK sob o identificador G1012, o CURIUM possui 19 técnicas documentadas na base de conhecimento, sendo também conhecido pelos aliases Crimson Sandstorm, TA456, Tortoise Shell e Yellow Liderc.

Técnicas (MITRE ATT&CK) 19

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Reconhecimento

Spearphishing Link

Preparação de recursos

Domains Virtual Private Server Server Web Services Social Media Accounts Email Accounts Drive-by Target

Acesso inicial

Drive-by Compromise Spearphishing Attachment Spearphishing via Service

Execução

PowerShell Malicious File

Persistência

Web Shell

Descoberta

System Information Discovery System Time Discovery

Coleta

Data from Local System

Exfiltração

Exfiltration Over C2 Channel Exfiltration Over Asymmetric Encrypted Non-C2 Protocol

Vulnerabilidades exploradas

Nenhuma CVE atribuída a este grupo nas fontes públicas (MITRE ATT&CK). Ausência de atribuição não significa ausência de atividade.

O grupo CURIUM usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →