c0017 - RunkIntel

# C0017 - APT41 contra Governos Estaduais dos EUA > [!danger] C0017 - APT41 Compromete 6 Governos Estaduais dos EUA em 9 Meses > **Período:** Maio 2021 - Fevereiro 2022 | **Ator:** [[g0096-apt41|APT41]] (nexo China, dupla espionagem/crime) > **Alvos:** Pelo menos 6 redes de governos estaduais nos EUA > **Técnicas-chave:** Exploits de apps web, web shells, exfiltração de PII ## Visão Geral C0017 foi uma campanha do [[g0096-apt41|APT41]] conduzida entre maio de 2021 e fevereiro de 2022 que resultou no comprometimento confirmado de pelo menos seis redes de governos estaduais dos EUA. A campanha se destaca pela adaptabilidade do [[g0096-apt41|APT41]]: o grupo explorou tanto vulnerabilidades públicamente divulgadas quanto zero-days para obter acesso inicial, e em pelo menos dois casos **recomprometeu as vitimas após os esforcos de remediacao** - indicando conhecimento profundo dos ambientes-alvo e persistência operacional excepcional. O [[g0096-apt41|APT41]] obteve acesso inicial principalmente via exploração de aplicações web voltadas para a internet com vulnerabilidades conhecidas (T1190). Após o acesso, o grupo implantou web shells (T1505.003) para persistência e usou [[s1051-keyplug|KEYPLUG]] (implant multiplataforma Go/C++) e [[s1052-deadeye|DEADEYE]] (dropper) em conjunto com [[s0154-cobalt-strike|Cobalt Strike]] para C2. O [[mimikatz|Mimikatz]] foi utilizado para dump do SAM (T1003.002) e lateral movement. O objetivo primario foi a exfiltração de PII (Informacoes de Identificação Pessoal) de cidadaos americanos registrados nos sistemas estaduais. O período sem detecção de 9 meses e a capacidade de recompromisso demonstram a maturidade operacional do [[g0096-apt41|APT41]] - um dos grupos mais prolíficos rastreados, com atividades tanto de espionagem estatal (nexo MSS China) quanto de crime cibernetico lucrativo. ## Attack Flow ```mermaid graph TB A["🌐 Acesso Inicial T1190 - Exploits em apps web governamentais expostas"] --> B["🐚 Persistência T1505.003 - Web shells implantados em servidores"] B --> C["🔧 Ferramentas KEYPLUG + DEADEYE + Cobalt Strike implantados para C2"] C --> D["🔍 Reconhecimento Interno T1033 - System info T1016 - Network config"] D --> E["🔑 Credenciais Mimikatz SAM dump T1003.002 - Credential harvesting"] E --> F["📦 Staging T1074.001 - PII coletada e preparada para exfiltração"] F --> G["📡 Exfiltração T1041 + T1048.003 Via C2 e protocolo nao-criptografado"] G --> H["🔄 Recompromisso Pelo menos 2 vitimas recomprometidas pos-remediacao"] ``` ## Timeline da Campanha ```mermaid timeline title C0017 - Comprometimento de Governos Estaduais Mai 2021 : APT41 inicia campanha contra governos estaduais : Exploração de aplicações web vulneraveis Jun-Set 2021 : Comprometimento progressivo de multiplas redes : Implantação de KEYPLUG e DEADEYE Out-Nov 2021 : Exfiltração de PII de bases de dados governamentais : Uso de Mimikatz para credenciais adicionais Dez 2021 : Primeiros esforcos de remediacao por parte das vitimas Ján 2022 : APT41 recompromete pelo menos 2 vitimas após remediacao Fev 2022 : Mandiant identifica e documenta a campanha completa : CISA e FBI notificados dos comprometimentos ``` ## Técnicas Utilizadas | Técnica | ID | Uso na Campanha | |---------|-----|-----------------| | Exploit Public-Facing App | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de apps web governamentais - zero-days e CVEs públicos | | Web Shell | [[t1505-003-web-shell\|T1505.003]] | Web shells implantados para persistência pos-acesso inicial | | Software Packing | [[t1027-002-software-packing\|T1027.002]] | KEYPLUG e DEADEYE empacotados para evadir AV | | Masquerade Task/Service | [[t1036-004-masquerade-task-or-service\|T1036.004]] | Processos maliciosos mascarados como servicos legitimos do Windows | | Scheduled Task | [[t1053-005-scheduled-task\|T1053.005]] | Tarefas agendadas para persistência | | System Owner Discovery | [[t1033-system-owneruser-discovery\|T1033]] | Enumeracao de usuarios e proprietarios do sistema | | Network Config Discovery | [[t1016-system-network-configuration-discovery\|T1016]] | Mapeamento de configuração de rede dos alvos | | Security Account Manager | [[t1003-002-security-account-manager\|T1003.002]] | Mimikatz para dump de hashes do SAM | | Deobfuscaté/Decode | [[t1140-deobfuscatedecode-files-or-information\|T1140]] | Decodificacao de payloads em múltiplos estagios | | Exfiltration Over C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | PII exfiltrada via canal C2 criptografado | | Exfiltration Non-C2 | [[t1048-003-exfiltration-over-unencrypted-non-c2-protocol\|T1048.003]] | Exfiltração adicional via protocolo nao criptografado | | Local Data Staging | [[t1074-001-local-data-staging\|T1074.001]] | PII preparada localmente antes da exfiltração | ## Software Utilizado - [[s0154-cobalt-strike|Cobalt Strike]] - Framework de C2 para pos-exploração e lateral movement - [[s1051-keyplug|KEYPLUG]] - Implant multiplataforma Go/C++ exclusivo do APT41 para C2 persistente - [[s1052-deadeye|DEADEYE]] - Dropper do APT41 para entrega de payloads adicionais - [[mimikatz|Mimikatz]] - Ferramenta de dump de credenciais (SAM e lsass) - dsquery - Ferramenta de consulta ao Active Directory - Ping - Descoberta de hosts ativos na rede ## Relevância LATAM/Brasil - O [[g0096-apt41|APT41]] tem interesse documentado em governos de múltiplas jurisdicoes e pode direcionar ataques similares a secretarias estaduais brasileiras com sistemas de gestao de dados de cidadaos - Secretarias estaduais de saúde, fazenda e administracao pública no Brasil (com bases de dados de PII de milhões de cidadaos) sao alvos de interesse comparavel - A técnica de recompromisso após remediacao e um sinal de alerta critico: organizacoes brasileiras que sofreram incidentes devem verificar a completude da remediacao com análise forense especializada - parcheamento de vulnerabilidade **nao** e suficiente se web shells persistentes nao forem identificados e removidos - O APT41 combina espionagem estatal e crime financeiro - organizacoes brasileiras no setor de tecnologia e gaming também sao alvos potenciais para o componente criminal do grupo ## Metricas do Comprometimento | Metrica | Dado | |---------|------| | Governos estaduais comprometidos | Pelo menos 6 confirmados | | Período sem detecção | Maio 2021 a Fevereiro 2022 (9 meses) | | Dados exfiltrados | PII de cidadaos americanos | | Recompromisso documentado | Pelo menos 2 vitimas após remediacao | ## Mitigacoes Recomendadas - Aplicar patches imediatamente em aplicações web expostas; priorizar CVEs CISA KEV - Implementar WAF com regras específicas para prevenção de web shell - Após qualquer incidente, realizar análise forense completa antes de declarar remediacao - Monitorar comúnicacoes de saida incomuns de servidores web (C2 sobre HTTPS) - Segmentar servidores web da rede interna e restringir acesso a bases de dados de PII ## Referências - [MITRE ATT&CK - C0017](https://attack.mitre.org/campaigns/C0017) - [Mandiant - APT41 State Government Compromises](https://www.mandiant.com/resources/blog/)