c0026 - RunkIntel

# C0026 - Turla Hijack de Botnet ANDROMEDA na Ucrania > [!warning] C0026 - Turla (UNC4210) Sequestra Infraestrutura de Botnet de Terceiros na Ucrania > **Período:** Janeiro - Setembro 2022 | **Ator:** [[g0010-turla|Turla]] (UNC4210, nexo Russia/FSB) > **Técnica-chave:** Re-registro de dominios C2 expirados do botnet [[s1074-andromeda|ANDROMEDA]] para acesso a sistemas pre-comprometidos > **Alvos:** Organizacoes ucranianas com infeccoes historicas de ANDROMEDA ## Visão Geral C0026 foi uma campanha identificada em setembro de 2022 durante a qual o [[g0010-turla|Turla]] (rastreado pela Mandiant como UNC4210 - grupo atribuido ao FSB russo) executou uma técnica operacional inedita: o **hijack de infraestrutura de botnet de terceiros**. O grupo re-registrou pelo menos tres dominios C2 expirados do botnet [[s1074-andromeda|ANDROMEDA]] (Gamarue/Wauchos) e utilizou o acesso existente em sistemas ucranianos infectados com o ANDROMEDA (via pendrive USB em dezembro de 2021) para distribuir seletivamente suas proprias ferramentas de espionagem. As ferramentas implantadas foram o [[s1075-kopiluwak|KOPILUWAK]] - utilitario de reconhecimento baseado em JavaScript, ativo desde 2017 - e o [[s1076-quietcanary|QUIETCANARY]] (também conhecido como Tunnus) - um backdoor leve em .NET usado principalmente para coleta e exfiltração de dados. A sequencia foi: ANDROMEDA (acesso inicial via USB) > re-registro de dominio C2 expirado (janeiro 2022) > KOPILUWAK para reconhecimento extenso (setembro 2022) > QUIETCANARY para exfiltração de arquivos criados após 1 de janeiro de 2021. Esta campanha demonstra a criatividade operacional do [[g0010-turla|Turla]] e levanta um alerta importante: **dominios C2 expirados de malware antigo continuam representando risco real** se re-registrados por atores sofisticados. O fato de que targets do ANDROMEDA dos anos 2010 ainda carregavam a infecção ilustra também a problematica da persistência de malware legacy em ambientes nao-monitorados. ## Attack Flow ```mermaid graph TB A["💾 Dez 2021 - Vetor USB Pendrive infectado com ANDROMEDA inserido em organização ucraniana"] --> B["🔗 Ján 2022 - Hijack de Dominio Turla re-registra dominios C2 expirados do ANDROMEDA"] B --> C["👤 Ján-Ago 2022 - Perfilamento Turla recebe beacons ANDROMEDA seleciona vitimas de alto valor"] C --> D["📦 6 Set 2022 - KOPILUWAK WinRAR SFX com KOPILUWAK JS executado 7 vezes em 3 dias"] D --> E["🔍 6-8 Set 2022 - Reconhecimento whoami, netstat, arp, net compartilhamentos e processos"] E --> F["🐦 8 Set 2022 - QUIETCANARY Backdoor .NET implantado exfiltra arquivos pos-Ján 2021"] F --> G["📤 Exfiltração Dados de interesse estratégico para a Russia enviados ao C2"] ``` ## Timeline da Campanha ```mermaid timeline title C0026 - Turla Hijack ANDROMEDA Dez 2021 : Pendrive USB infectado com ANDROMEDA (amostra de 2013) : Instalacao em organização ucraniana Ján 2022 : Turla re-registra dominio C2 expirado do ANDROMEDA : Inicio do perfilamento de vitimas via beacons Jun-Ago 2022 : Perfilamento passivo de hosts infectados com ANDROMEDA : Selecao de vitimas de alto valor estratégico 6 Set 2022 : Download e execução do KOPILUWAK (WinRAR SFX) : Executado 7 vezes entre dias 6 e 8 8 Set 2022 : QUIETCANARY (.NET) implantado e executado : Exfiltração de arquivos criados após Ján 2021 Ján 2023 : Mandiant publica relatorio completo da campanha : Atribuicao ao Turla (UNC4210) ``` ## Técnicas Utilizadas | Técnica | ID | Uso na Campanha | |---------|-----|-----------------| | Acquire Domains | [[t1583-001-domains\|T1583.001]] | Re-registro de dominios C2 expirados do ANDROMEDA | | Dynamic Resolution | [[t1568-dynamic-resolution\|T1568]] | ANDROMEDA usando dominios expirados re-registrados como C2 | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | KOPILUWAK e QUIETCANARY baixados via canal ANDROMEDA comprometido | | Archive via Utility | [[t1560-001-archive-via-utility\|T1560.001]] | WinRAR SFX para empacotar e entregar KOPILUWAK | | Data from Local System | [[t1005-data-from-local-system\|T1005]] | QUIETCANARY exfiltrou arquivos criados após janeiro de 2021 | | Data Transfer Size Limits | [[t1030-data-transfer-size-limits\|T1030]] | Limitacao de tamanho de transferencias para evadir detecção | ## Software Utilizado - [[s1074-andromeda|ANDROMEDA]] (Gamarue/Wauchos) - Malware de terceiros com C2 hijackado pelo Turla como mecanismo de acesso inicial - [[s1075-kopiluwak|KOPILUWAK]] - Utilitario de reconhecimento JavaScript do Turla (ativo desde 2017) para perfilamento da vitima - [[s1076-quietcanary|QUIETCANARY]] (Tunnus) - Backdoor .NET leve para coleta e exfiltração de dados específicos - WinRAR - Empacotamento do KOPILUWAK como SFX para entrega - Net, netstat, arp, whoami - Ferramentas nativas do Windows para reconhecimento de rede ## Relevância LATAM/Brasil - O [[s1074-andromeda|ANDROMEDA]] (Gamarue) teve **alta prevalencia no Brasil durante 2012-2017**, com dezenas de milhares de infeccoes registradas pelo CERT.br. Sistemas brasileiros com infeccoes historicas de ANDROMEDA nao remediadas permanecem em risco teorico de técnica similar - A técnica de **hijack de botnets de terceiros** representa um vetor de acesso inicial de baixo custo com potencial de alcance massivo - relevante para o entendimento de ameaças emergentes no ecossistema brasileiro - O precedente criado pelo Turla pode ser replicado por outros grupos: re-registrar dominios C2 expirados de botnets com grande historico de infecção (como ZeuS, Dridex, TrickBot) poderia dar acesso a sistemas infectados em qualquer pais, incluindo o Brasil - Organizacoes brasileiras devem auditar e remediar infeccoes de malware legacy - nao apenas patches de OS - para nao se tornarem vetores de comprometimento por atores sofisticados ## Mitigacoes Recomendadas - Realizar varreduras regulares de malware legacy em todos os endpoints - nao assumir que sistemas antigos estao limpos - Monitorar e bloquear trafego de saida para dominios recentemente re-registrados ou com historico de malware - Revogar e reemitir certificados de endpoints que possam ter sido comprometidos - Implementar segmentacao de rede para limitar o impacto de infeccoes por USB - Desabilitar autorun de USB em politicas de grupo corporativas ## Referências - [MITRE ATT&CK - C0026](https://attack.mitre.org/campaigns/C0026) - [Mandiant - Turla: A Galaxy of Opportunity](https://cloud.google.com/blog/topics/threat-intelligence/turla-galaxy-opportunity/) - [The Hacker News - Russian Turla Hackers Hijack Decade-Old Malware Infrastructure](https://thehackernews.com/2023/01/russian-turla-hackers-hijack-decade-old.html) - [SecurityWeek - Russian Turla Cyberspies Leveraged Other Hackers' USB-Delivered Malware](https://www.securityweek.com/russian-turla-cyberspies-leveraged-other-hackers-usb-delivered-malware/)