c0021 - RunkIntel

# C0021 - Campanha Spearphishing Suspeita APT29 (2018) > [!info] C0021 - APT29 Reaparece após 2 Anos com Campanha de Spearphishing Global > **Período:** 14-30 novembro 2018 | **Ator:** Atividade suspeita [[g0016-apt29|APT29]] (Cozy Bear, nexo Russia) > **Alvos:** Setor público, ONGs, energia, quimica, hotelaria - foco em Washington D.C. > **Técnicas-chave:** Spearphishing com link malicioso, LNK trojanizado, Cobalt Strike com Pandora C2 profile ## Visão Geral C0021 foi uma campanha de spearphishing conduzida em novembro de 2018 que foi notavel por dois motivos: (1) representou o retorno do [[g0016-apt29|APT29]] após quase 2 anos de silencio desde os ataques contra governos noruegues e holandeses em 2017, e (2) foi a primeira vez que o [[g0016-apt29|APT29]] foi observado usando [[s0154-cobalt-strike|Cobalt Strike]] em vez de seu malware customizado tradicional - indicando possível tentativa de negacao plausivel. A campanha foi detectada em 14 de novembro de 2018 pela FireEye (atual Mandiant), que identificou tentativas de intrusão contra mais de 20 clientes simultaneamente. Os alvos incluiram setor de defesa, aplicação da lei, midia, militares dos EUA, imagem/sensoriamento remoto, transporte, farmaceutico, governo federal e think tanks - mas o perfil público destacava principalmente setor público, ONGs, energia, quimica e hotelaria. A operação utilizou infraestrutura comprometida de terceiros (servidor de email de hospital e site corporativo de empresa de consultoria) para enviar os emails de phishing, evitando infraestrutura propria facil de rastrear. Os emails se passavam por comúnicacoes seguras de um funcionario de Relacoes Publicas do Departamento de Estado dos EUA, com links únicos por vitima (rastreamento de cliques) apontando para um ZIP contendo um arquivo LNK trojanizado. O [[s0154-cobalt-strike|Cobalt Strike]] foi configurado com o perfil Malleable C2 "Pandora" para mascarar o trafego como comúnicacoes com o servico de streaming Pandora. ## Attack Flow ```mermaid graph TB A["📧 Spearphishing Email falso do Dept. de Estado dos EUA Link único por vitima para rastreamento"] --> B["🔗 Download ZIP contendo arquivo LNK trojanizado com payload embutido"] B --> C["⚡ Execução LNK PowerShell deofuscado extrai payload Base64 do LNK"] C --> D["💻 Cobalt Strike Beacon BEACON + documento PDF legitimo do Dept. de Estado"] D --> E["📡 C2 Pandora Profile HTTPS via pandorasong.com mascarado como streaming Pandora"] E --> F["🔧 Pos-Exploração Rundll32 para DLL do BEACON Ferramentas adicionais baixadas"] ``` ## Timeline da Campanha ```mermaid timeline title C0021 - Campanha APT29 Novembro 2018 Out 2018 : APT29 comeca configuração de infraestrutura : ~30 dias antes do ataque (pandorasong.com registrado) 14 Nov 2018 : Campanha de spearphishing lancada : +20 clientes FireEye recebem emails simultaneamente 15 Nov 2018 : FireEye publica alerta inicial no Twitter : CISA e FBI notificados 16-19 Nov 2018 : Análise técnica completa pelo time FireEye : Identificação de sobreposicao com campanha APT29 de 2016 Nov 2018 : Publicacao de relatorio tecnico detalhado (FireEye) : Atribuicao suspeita ao APT29 baseada em artefatos tecnicos ``` ## Técnicas Utilizadas | Técnica | ID | Uso na Campanha | |---------|-----|-----------------| | Spearphishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | Links únicos por vitima para rastreamento de cliques | | Malicious Link | [[t1204-001-malicious-link\|T1204.001]] | Link levava a ZIP com LNK trojanizado | | Embedded Payloads | [[t1027-009-embedded-payloads\|T1027.009]] | Payload Cobalt Strike BEACON embutido em arquivo LNK | | Command Obfuscation | [[t1027-010-command-obfuscation\|T1027.010]] | PowerShell com `'FromBase'+0x40+'String'` no lugar de `FromBase64String` | | Deobfuscaté/Decode | [[t1140-deobfuscatedecode-files-or-information\|T1140]] | Decodificacao do payload Base64 via PowerShell | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Execução do BEACON via PowerShell a partir do LNK | | Rundll32 | [[t1218-011-rundll32\|T1218.011]] | Execução da DLL do Cobalt Strike BEACON loader | | Acquire Domains | [[t1583-001-domains\|T1583.001]] | `pandorasong[.]com` registrado para C2 | | Compromise Domains | [[t1584-001-domains\|T1584.001]] | Infraestrutura comprometida de hospital e consultoria para envio | | Upload Malware | [[t1608-001-upload-malware\|T1608.001]] | Payload hospedado em sites comprometidos | | Obtain Tool | [[t1588-002-tool\|T1588.002]] | Cobalt Strike configurado com Pandora Malleable C2 profile | | Asymmetric Cryptography | [[t1573-002-asymmetric-cryptography\|T1573.002]] | SSL/TLS via TCP 443 para comunicação C2 | | Non-App Layer Protocol | [[t1095-non-application-layer-protocol\|T1095]] | TCP para algumas comúnicacoes C2 | | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | HTTP como canal C2 adicional | ## Software Utilizado - [[s0154-cobalt-strike|Cobalt Strike]] - Framework de pos-exploração com perfil Malleable C2 "Pandora" mascarando trafego como Pandora music streaming ## Indicadores de Comprometimento > [!ioc]- IOCs - C0021 APT29 Spearphishing 2018 (TLP:WHITE) > Fonte: FireEye / Mandiant, novembro 2018. Fonte primaria: MITRE ATT&CK C0021. > > **Dominio C2 (Defanged)** > - `pandorasong[.]com` - dominio C2 Cobalt Strike com perfil Malleable C2 "Pandora" > > **IPs Associados** > - `95.216.59[.]92` - IP do servidor C2 `pandorasong[.]com` > > **Hashes MD5** > - `6ed0020b0851fb71d5b0076f4ee95f3c` - LNK malicioso (ds7002.lnk) com BEACON embutido > - `313f4808aa2a2073005d219bc68971cd` - PDF decoy (ds7002.pdf - formulario Dept. de Estado) > > **Contas de Email** > - `vleger@tutanota[.]com` - conta SOA usada para distribuição de phishing ## Relevância LATAM/Brasil - O padrao de targeting desta campanha (ONGs, setor público, energia, think tanks) e similar ao de grupos de espionagem que operam contra paises da LATAM - Organizacoes brasileiras nos setores de petroleo e gas ([[petrobras|Petrobras]], distribuidoras), quimico e entidades governamentais em Brasilia sao alvos de interesse comparavel para o [[g0016-apt29|APT29]] - A técnica de **spearphishing com link** (vs. anexo) esta crescendo no Brasil e requer treinamento específico de usuarios - O uso de infraestrutura de terceiros comprometida para envio de phishing dificulta o bloqueio baseado em reputacao de dominio do remetente - organizacoes brasileiras devem implementar DMARC, DKIM e SPF rigorosos ## Mitigacoes Recomendadas - Implementar DMARC/DKIM/SPF em todos os dominios corporativos para prevenir spoofing - Treinar usuarios para verificar links antes de clicar (especialmente comúnicacoes que parecem urgentes ou de alto escalao) - Bloquear execução de arquivos LNK de fontes externas via Group Policy - Detectar PowerShell com técnicas de evasão (substituicao de string `FromBase64String`) - Monitorar trafego HTTPS para dominios recentemente registrados ## Referências - [MITRE ATT&CK - C0021](https://attack.mitre.org/campaigns/C0021) - [Mandiant/FireEye - Not So Cozy: APT29 Phishing Campaign](https://cloud.google.com/blog/topics/threat-intelligence/not-so-cozy-an-uncomfortable-examination-of-a-suspected-apt29-phishing-campaign)