operation-drbcontrol

# Operation DRBControl > [!danger] APT27 mira setor de apóstas no Sudeste Asiatico e Brasil > A Operation DRBControl foi uma campanha de espionagem e roubo de dados conduzida pelo grupo chines **ThreatGroup-3390 (APT27)** em 2019-2020, revelada pela Trend Micro. O grupo atacou empresas do setor de **apóstas e jogos online** no Sudeste Asiatico, com conexoes ao Brasil, exfiltrando código-fonte de plataformas de apóstas, bases de dados de usuarios e registros financeiros. ## Visão Geral A Operation DRBControl foi documentada pela Trend Micro em fevereiro de 2020 como uma campanha sofisticada de espionagem cibernetica voltada para empresas do setor de apóstas e jogos online, um segmento de alto valor para grupos de ameaça chineses dado o volume de transações financeiras e a sensibilidade dos dados de usuarios. O grupo responsavel, [[g0027-threat-group-3390|ThreatGroup-3390 (APT27/Iron Tiger)]], utilizou dois backdoors customizados de design distinto para garantir redundancia no acesso: um Backdoor Tipo 1 que usava o Dropbox como infraestrutura de C2 (dificultando bloqueio por IP/dominio), e um Backdoor Tipo 2 com comunicação C2 tradicional via HTTP. Alem desses, o grupo também implantou [[s0398-hyperbro|HyperBro]], [[s0013-plugx|PlugX]] e [[trochilus|Trochilus RAT]] - um arsenal que reflete a amplitude de ferramentas do grupo. Um aspecto notavel da campanha foi o uso do [[cve-2017-0213|CVE-2017-0213]] - uma vulnerabilidade de escalonamento de privilegios no Windows COM - para obter privilegios SYSTEM nos sistemas comprometidos. A escolha de um CVE de 2017 em uma campanha de 2019-2020 e consistente com o padrao do grupo de usar exploits conhecidos contra organizacoes com gestao de patches deficiente. Os objetivos foram claramente financeiros e de inteligência competitiva: os atacantes exfiltraram código-fonte de plataformas de apóstas, bases de dados com registros de apóstas e transações, e informações de contas de usuarios. A análise da Trend Micro identificou conexoes operacionais com o Brasil, sugerindo que empresas brasileiras do setor de apóstas online estavam entre os alvos ou foram usadas como infraestrutura intermediaria. ## Attack Flow ```mermaid graph TB A["Spear-phishing direcionado Email com arquivo malicioso para funcionarios de empresas de apóstas"] --> B["Instalacao de backdoor Tipo 1 via Dropbox C2 ou Tipo 2 via HTTP"] B --> C["Reconhecimento interno Enumeracao de Active Directory e sistemas de banco de dados"] C --> D["Escalonamento de privilegios CVE-2017-0213 no Windows COM Elevação para SYSTEM"] D --> E["Implantação de arsenal completo HyperBro, PlugX, Trochilus RAT Redundancia de acesso"] E --> F["Acesso a bases de dados Código-fonte de plataformas Registros de apóstas e usuarios"] F --> G["Exfiltração de dados Via Dropbox C2 e canais HTTP encriptados"] ``` ## Arsenal e Infraestrutura ```mermaid graph TB subgraph Backdoors["Backdoors Utilizados"] B1["Backdoor Tipo 1 C2 via Dropbox API Dificulta bloqueio por IP"] B2["Backdoor Tipo 2 C2 via HTTP tradicional Comúnicação direta"] B3["HyperBro RAT customizado do APT27 Carregado via DLL sideloading"] B4["PlugX RAT modular veterano Usado em multiplos APTs chineses"] B5["Trochilus RAT RAT de código aberto Usado por multiplos grupos"] end subgraph Objetivos["Dados Exfiltrados"] D1["Código-fonte Plataformas de apóstas online"] D2["Banco de dados Registros de apóstas e transações"] D3["Contas de usuarios Credenciais e dados financeiros"] end B1 --> D1 B3 --> D2 B4 --> D3 ``` ## Técnicas Utilizadas (MITRE ATT&CK) - [[t1566-phishing|T1566 - Phishing]] - Spear-phishing como vetor de acesso inicial a funcionarios de apóstas - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - Download de ferramentas adicionais após acesso inicial - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - CVE-2017-0213 para escalar para privilegios SYSTEM - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - C2 via HTTP/HTTPS para backdoor Tipo 2 - [[t1102-web-service|T1102 - Web Service]] - Backdoor Tipo 1 usando Dropbox API como C2 para evadir detecção - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - Exfiltração de código-fonte e bases de dados via canal C2 - [[t1078-valid-accounts|T1078 - Valid Accounts]] - Uso de credenciais roubadas para movimento lateral - [[t1574-hijack-execution-flow|T1574 - Hijack Execution Flow]] - DLL sideloading para carregamento do HyperBro ## Software Utilizado - [[s0398-hyperbro]] - RAT customizado do ThreatGroup-3390, carregado via DLL sideloading - [[s0013-plugx]] - RAT modular de uso comum entre APTs chineses, usado como backup de acesso - [[trochilus]] - RAT de código aberto, utilizado pelo grupo em múltiplas campanhas - [[cve-2017-0213|CVE-2017-0213]] - Vulnerabilidade de escalonamento de privilegios no Windows COM ## Impacto A Operation DRBControl causou danos significativos ao setor de apóstas online na Asia: - Exfiltração de código-fonte de plataformas de apóstas - propriedade intelectual de alto valor - Comprometimento de bases de dados com registros financeiros de usuarios - Acesso a sistemas de backend de plataformas de apóstas online em operação - Uso de infraestrutura de C2 via Dropbox demonstra capacidade de adaptar ferramentas para evadir controles de segurança baseados em reputacao de IP/dominio - O arsenal redundante (5 ferramentas diferentes) indica preparação para persistência de longo prazo mesmo que um backdoor sejá detectado ## Relevância LATAM/Brasil A Trend Micro documentou conexoes operacionais com o Brasil nesta campanha: - Evidências sugerem que alvos ou infraestrutura intermediaria estava no Brasil - O setor de apóstas online no Brasil cresceu significativamente após a legalizacao em 2018 (Lei 13.756) - tornando-se um alvo economicamente relevante - Empresas brasileiras de apóstas online (Betano, Bet365 Brasil, Betway Brasil) processam volumes financeiros significativos e armazenam dados sensiveis de apóstadores - O uso de Dropbox como C2 e particularmente relevante no Brasil, onde o servico tem alta penetracao corporativa e raramente e bloqueado por proxies - APT27 tem interesse documentado em espionagem economica e financeira em paises com mercados emergentes - o Brasil se encaixa neste perfil ## Detecção e Defesa **Deteccoes recomendadas:** - Monitorar comúnicacoes de processos corporativos para endpoints do Dropbox em horarios incomuns (indicador de backdoor Tipo 1) - Detectar DLL sideloading: processos legitimos carregando DLLs de caminhos incomuns - Alertar sobre uso do CVE-2017-0213: acesso ao COM via DCOM com tentativa de escalonamento - Network: trafego para Dropbox API fora de aplicações autorizadas - SIEM: correlacionar acesso anomalo a bases de dados de usuarios com logins de contas de servico **Mitigacoes:** - Aplicar patch para CVE-2017-0213 (MS17-017) em todos os sistemas Windows - Bloquear Dropbox API em endpoints de servidores e sistemas criticos (permitir apenas em endpoints de usuarios controlados) - Implementar DLP para detectar exfiltração de código-fonte e bases de dados - MFA para todos os acessos a sistemas de backend de plataformas de apóstas - Segmentacao entre sistemas de banco de dados e redes corporativas gerais **Mitigacoes MITRE:** [[m1051-update-software|M1051]] · [[m1030-network-segmentation|M1030]] · [[m1057-data-loss-prevention|M1057]] ## Referências - [1](https://www.trendmicro.com/en_us/research/20/b/the-operation-drbcontrol-uncovering-a-cyberespionage-campaign-targeting-gambling-companies-in-southeast-asia.html) Trend Micro - Operation DRBControl: Gambling Companies in Southeast Asia (2020) - [2](https://attack.mitre.org/groups/G0027/) MITRE ATT&CK - ThreatGroup-3390 G0027 (2023) - [3](https://nvd.nist.gov/vuln/detail/CVE-2017-0213) NVD - CVE-2017-0213 Windows COM Privilege Escalation (2017) - [4](https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/operation-drbcontrol-apt-groups-connection) Trend Micro - DRBControl APT Attribution Analysis (2020) - [5](https://www.recordedfuture.com/threat-group-3390-iron-tiger) Recorded Future - ThreatGroup-3390 Iron Tiger Profile (2021)