# APT28 Nearest Neighbor Campaign ## Descrição A APT28 Nearest Neighbor Campaign (MITRE C0051) foi conduzida pelo [[g0007-apt28|APT28]] (Fancy Bear / GRU Unidade 26165) entre fevereiro de 2022 e novembro de 2024, contra organizações e indivíduos com expertise sobre a Ucrânia. A campanha é notável por introduzir a técnica operacional "Nearest Neighbor Attack" - um método inédito de acesso inicial que usa redes Wi-Fi de organizações fisicamente adjacentes ao alvo como trampolim, eliminando a necessidade de presença física no local-alvo. O [[g0007-apt28|APT28]] identificou sistemas dual-homed (conectados simultaneamente a redes cabeadas e Wi-Fi) em empresas próximas ao alvo, comprometeu essas empresas remotamente, e usou as credenciais roubadas (obtidas via password spraying e pass-the-hash) para autenticar na rede Wi-Fi corporativa do alvo real. O grupo explorou a CVE-2022-38028 (zero-day no Windows Print Spooler) para escalar privilégios após o acesso inicial. A campanha visou organizações com foco em assuntos da Ucrânia localizadas em Washington D.C. e outras capitais ocidentais, durante o período mais crítico do conflito russo-ucraniano. O [[g0007-apt28|APT28]] demonstrou sofisticação operacional significativa: ao comprometer múltiplas empresas em cadeia (cada uma servindo como relay para a próxima), o grupo obscureceu a origem real do ataque e bypassou controles baseados em geolocalização de IP. A técnica é particularmente eficaz contra alvos que possuem segmentação de rede robusta na camada cabeada mas redes Wi-Fi corporativas com segurança menos rigorosa. Após obter acesso à rede alvo via Wi-Fi, o [[g0007-apt28|APT28]] usou técnicas de living-off-the-land (LOtL) - incluindo netsh para reconfigurar adaptadores de rede e cipher.exe para limpeza de dados - minimizando artefatos detectáveis. O grupo exfiltrou dados via serviços web legítimos, usou RDP para movimento lateral interno e coletou hashes NTDS. A Volexity detectou e documentou a campanha em novembro de 2024, nomeando-a "Nearest Neighbor Attack" na públicação que revelou a técnica ao público. ## Atores Envolvidos - [[g0007-apt28|APT28]] ## Técnicas Utilizadas - [[t1003-003-ntds|T1003.003 - NTDS]] - [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1110-003-password-spraying|T1110.003 - Password Spraying]] - [[t1016-002-wi-fi-discovery|T1016.002 - Wi-Fi Discovery]] - [[t1562-004-disable-or-modify-system-firewall|T1562.004 - Disable or Modify System Firewall]] - [[t1669-wi-fi-networks|T1669 - Wi-Fi Networks]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - [[t1003-002-security-account-manager|T1003.002 - Security Account Manager]] - [[t1561-001-disk-content-wipe|T1561.001 - Disk Content Wipe]] - [[t1584-compromise-infrastructure|T1584 - Compromise Infrastructure]] ## Software Utilizado - [[s0108-netsh|netsh]] - reconfiguração de adaptadores de rede (living-off-the-land) - [[s1205-cipherexe|cipher.exe]] - limpeza de dados para cobertura de rastros - [[chopstick|Chopstick]] - backdoor modular do APT28 para acesso persistente e C2 - [[s0137-coreshell|CoreShell]] - downloader/dropper utilizado na fase inicial de comprometimento ## Impacto A campanha resultou na exfiltração de dados de organizações com expertise em assuntos ucranianos - provavelmente incluindo análises de política, documentos estratégicos e comúnicações internas de think tanks, ONGs e órgãos governamentais relacionados ao apoio ocidental à Ucrânia. Embora o impacto específico não tenha sido divulgado, a natureza dos alvos indica interesse em inteligência política e diplomática de alto valor para o GRU russo durante o conflito. A principal inovação desta campanha foi a técnica operacional "Nearest Neighbor Attack", que redefine o modelo de defesa para organizações: o comprometimento pode chegar via redes Wi-Fi de vizinhos, não apenas via internet pública, tornando inadequadas as defesas baseadas exclusivamente em controles de acesso remoto convencional. ## Relevância LATAM/Brasil - A técnica "Nearest Neighbor Attack" é geograficamente agnóstica - pode ser replicada contra qualquer organização com rede Wi-Fi corporativa, independentemente de localização - Embassadas e representações diplomáticas latino-americanas em Washington D.C. e capitais europeias podem estar em risco similar ao dos alvos originais desta campanha - O Itamaraty (Ministério das Relações Exteriores) e organizações brasileiras com missões diplomáticas em regiões de alto interesse do [[g0007-apt28|APT28]] devem revisar políticas de segurança de rede Wi-Fi corporativa - A segmentação rigorosa entre redes Wi-Fi e redes cabeadas, além de autenticação MFA resistente a phishing, são mitigações críticas --- *Fonte: [MITRE ATT&CK - C0051](https://attack.mitre.org/campaigns/C0051)* *Fonte: [Volexity - The Nearest Neighbor Attack](https://www.volexity.com/blog/2024/11/22/the-nearest-neighbor-attack/)*