# Operation DeliveryCheck - Turla contra Defesa Ucraniana 2023 > [!high] Turla usa servidores Exchange como C2 e mira dados do Signal Desktop de militares ucranianos > Em junho de 2023, a Microsoft e o CERT-UA identificaram uma campanha ativa do grupo Turla (Secret Blizzard, FSB russo) contra o setor de defesa ucraniano e da Europa Oriental. A operação usou um novo backdoor .NET denominado DeliveryCheck para comprometer servidores Microsoft Exchange e transformá-los em centros de comando e controle do próprio malware, enquanto implantava o sofisticado backdoor Kazuar para exfiltrar dados de conversas do Signal Desktop. ## Visão Geral A Operation DeliveryCheck representa uma das campanhas de espionagem mais sofisticadas documentadas contra a Ucrânia desde o início da guerra em 2022. O grupo [[g0010-turla|Turla]] (rastreado pela Microsoft como **Secret Blizzard**, também conhecido como Krypton, Uroburos, Venomous Bear e Waterbug), ligado ao FSB russo, desenvolveu um backdoor .NET inédito denominado **DeliveryCheck** (também chamado CapiBar pelo CERT-UA e GAMEDAY pela Mandiant) com uma capacidade nunca antes documentada: o uso de **PowerShell Desired State Configuration (DSC)** para instalar um componente server-side do malware em servidores Microsoft Exchange comprometidos, transformando-os em servidores C2 controlados pelos atacantes. O vetor de infecção inicial era relativamente simples: e-mails de phishing com arquivos Excel XLSM contendo macros maliciosas que instalavam o DeliveryCheck no endpoint do usuário via tarefa agendada disfarçada de atualização do Firefox. Uma vez instalado, o malware se conectava ao Exchange comprometido (via DSC) para receber tarefas - incluindo o deploy do backdoor de segundo estágio **Kazuar**. O Kazuar implantado nesta campanha era uma versão significativamente atualizada em relação às variantes anteriores, com 45 comandos suportados (vs 26 em 2017), esquemas avançados de encriptação (algoritmos variáveis por sessão) e mecanismos extensivos de anti-análise. O objetivo declarado da campanha, conforme análise da Microsoft, era a **exfiltração de arquivos de mensagens do Signal Desktop** de militares e funcionários de defesa ucranianos - permitindo ao FSB ler conversas privadas sobre operações militares, logística e diplomacia. O CERT-UA confirmou a atribuição ao Turla com base em sobreposições técnicas com campanhas anteriores e no uso do Kazuar - ferramenta exclusiva do grupo. A campanha foi parte de um padrão mais amplo de espionagem cibernética russa contra a Ucrânia durante o conflito armado. ## Attack Flow ```mermaid graph TB A["Spear-phishing defensivo<br/>Excel XLSM com macro maliciosa<br/>para funcionários de defesa"] --> B["DeliveryCheck instalado<br/>Tarefa agendada disfarçada<br/>como atualização Firefox"] B --> C["Comprometimento Exchange<br/>DSC instala componente server-side<br/>Exchange como C2 do malware"] C --> D["Reconhecimento e exfiltração<br/>Rclone para coletar arquivos<br/>com extensões específicas"] D --> E["Deploy do Kazuar<br/>Backdoor de segundo estágio<br/>45 comandos, anti-análise avançado"] E --> F["Alvo: Signal Desktop<br/>Exfiltração de conversas<br/>de militares ucranianos"] F --> G["Exfiltração contínua<br/>Credenciais, cookies, bancos<br/>de dados de aplicações cloud"] ``` ## Cronologia | Data | Evento | |------|--------| | 2023-06 | Início da campanha DeliveryCheck detectado pelo CERT-UA | | 2023-07-19 | Microsoft pública análise do DeliveryCheck via Twitter e blog | | 2023-07-20 | CERT-UA confirma campanhas e atribui ao Turla (UAC-0003) | | 2023-07 | Amostras do DeliveryCheck distribuídas para fornecedores de segurança | | 2023-11 | Unit 42 pública análise detalhada do Kazuar atualizado (Pensive Ursa) | | 2023-11 | Novas funcionalidades do Kazuar documentadas: 45 comandos, proxy P2P | ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | E-mail com Excel XLSM com macro para funcionários de defesa ucraniana | | PowerShell | [[t1059-001-powershell\|T1059.001]] | DSC para instalar componente server-side no Exchange; persistência via PS | | Web Shell | [[t1505-003-web-shell\|T1505.003]] | Componente server-side do DeliveryCheck em servidores Exchange comprometidos | | Scheduled Task | [[t1053-005-scheduled-task\|T1053.005]] | Persistência via tarefa agendada disfarçada de atualização Firefox | | Exfiltration Over Alt Protocol | [[t1048-exfiltration-over-alternative-protocol\|T1048]] | Rclone para coleta e exfiltração de arquivos com extensões alvo | ## Capacidades do Kazuar (versão 2023) O [[s0265-kazuarv2|Kazuar]] implantado nesta campanha demonstrou capacidades expandidas em relação a versões anteriores: **Coleta de dados:** - Logs de eventos e artefatos forenses do Windows - Credenciais de navegadores Chrome e Firefox (histórico, cookies, autofill) - Banco de dados do KeePass, configurações de Azure/Google Cloud/AWS - Conversas do Signal Desktop (alvo principal nesta campanha) - Credenciais de WinSCP, FileZilla, OpenVPN, Outlook **Capacidades técnicas:** - 45 comandos suportados (vs 26 em variantes de 2017) - Criptografia variável por sessão (múltiplos algoritmos) - Comúnicação P2P entre agentes Kazuar via named pipes - Funções proxy para rotear comandos através de nós intermediários - Mecanismos extensivos de anti-análise e anti-depuração ## Relevância LATAM e Brasil O impacto direto no Brasil foi nulo - a campanha foi exclusivamente focada em alvos de defesa ucranianos. No entanto, o caso tem relevância métodológica para o Brasil: - O [[g0010-turla|Turla]] é um dos grupos de espionagem mais sofisticados do mundo e suas técnicas são frequentemente adotadas por outros grupos APT ao longo do tempo - A técnica de usar servidores Exchange legítimos como C2 é diretamente replicável em contextos corporativos brasileiros com Exchange On-Premises - O [[government|governo brasileiro]] e forças de defesa devem estar cientes das capacidades de grupos como Turla que podem ser direcionados contra alvos latino-americanos no contexto de conflitos geopolíticos futuros ## Mitigação **Controles técnicos:** - Monitorar criação de tarefas agendadas por processos de macro do Office - Auditar uso de PowerShell Desired State Configuration (DSC) em servidores Exchange - Implementar regras de detecção para Rclone utilizado fora de contextos de backup aprovados **Controles estratégicos:** - Aplicar [[m1049-antivirus-antimalware|M1049]] - EDR com cobertura para detecção de execução de macros e DSC - Implementar [[m1031-network-intrusion-prevention|M1031]] - inspeção de tráfego de servidores Exchange para comunicação C2 - Monitorar via [[ds-0015-application-log|DS-0015]] - logs anômalos de Exchange relacionados a DSC e tarefas de PowerShell ## Referências - [1](https://thehackernews.com/2023/07/turlas-new-deliverycheck-backdoor.html) The Hacker News - Turla's New DeliveryCheck Backdoor Breaches Ukrainian Defense (2023) - [2](https://www.bleepingcomputer.com/news/security/microsoft-hackers-turn-exchange-servers-into-malware-control-centers/) BleepingComputer - Microsoft: Hackers Turn Exchange Servers into Malware Control Centers (2023) - [3](https://unit42.paloaltonetworks.com/pensive-ursa-uses-upgraded-kazuar-backdoor/) Unit 42 - Pensive Ursa Uses Upgraded Kazuar Backdoor (2023) - [4](https://www.bankinfosecurity.com/russian-hackers-probe-ukrainian-defense-sector-backdoor-a-22591) BankInfoSecurity - Russian Hackers Probe Ukrainian Defense Sector with Backdoor (2023) - [5](https://cert.gov.ua/article/5672321) CERT-UA - DeliveryCheck/CapiBar Campaign Attribution (2023)