operation-rock - RunkIntel

# Operation Rock - Windshift Espionagem 2023 > [!medium] Campanha de Espionagem - Windshift APT > Operação de espionagem atribuída ao grupo Windshift (APT-C-23), focada em alvos governamentais e de telecomúnicações no Oriente Médio. A campanha utilizou spear-phishing temático para entrega dos backdoors WindTail e WindTape, com foco em coleta de documentos e vigilância persistente. ## Visão Geral A **Operation Rock** representa uma fase da atividade do grupo [[g0112-windshift|Windshift]] (também rastreado como APT-C-23 e Bahamut por alguns pesquisadores) - um ator de ameaça com orientação aparentemente pró-governo de estados árabes do Golfo, especializado em operações de espionagem contra alvos diplomáticos, governamentais e de telecomúnicações no Oriente Médio e Norte da África. O grupo é notável pela combinação de plataformas: opera campaigns direcionadas tanto a sistemas macOS quanto a dispositivos móveis iOS e Android, com um arsenal de malware customizado que inclui os backdoors [[s0466-windtail|WindTail]] e [[windtape|WindTape]]. A abordagem de spear-phishing do Windshift é sofisticada - utiliza identidades falsas elaboradas em redes sociais para construir confiança com alvos antes de enviar links maliciosos. A Operation Rock focou em funcionários governamentais e de telecomúnicações, com o objetivo de coleta de documentos classificados e comúnicações sensíveis. O nome da operação deriva de metadados de servidor identificados nos domínios de C2 utilizados durante a campanha. O grupo Windshift representa uma categoria de ameaça que ainda é subestimada nas análises de CTI ocidentais: atores estatais menores do Oriente Médio com capacidades técnicas sofisticadas e foco geográfico restrito. Para profissionais de defesa que trabalham com organizações que têm operações no Oriente Médio, o Windshift merece monitoramento específico. **Plataformas:** macOS, iOS, Android ## Cadeia de Infecção ```mermaid graph TB A["🎭 Identidade falsa elaborada LinkedIn, Twitter, WhatsApp meses de construção de confiança"] --> B["📧 Spear-phishing direcionado email ou mensagem direta com link malicioso"] B --> C["🔗 Redirect chain domínio legítimo aparente redirecionamento múltiplo"] C --> D{"Plataforma do alvo"} D -- macOS --> E["💾 Download WindTail app macOS disfarçado como documento"] D -- Mobile --> F["📱 Profile iOS malicioso ou APK Android spyware WindTape"] E --> G["📡 C2 HTTPS exfiltração de documentos e vigilância persistente"] F --> G ``` **Perfil de alvo típico:** ```mermaid graph TB A["🎯 Seleção de alvo funcionário governo/telecom Oriente Médio"] --> B["🔍 OSINT extensivo LinkedIn, redes sociais interesses pessoais"] B --> C["🤝 Construção de relacionamento semanas ou meses via perfil falso"] C --> D["📨 Isca personalizada tema relevante ao alvo documento ou convite"] D --> E["💥 Entrega de payload WindTail macOS ou WindTape mobile"] ``` ## Técnicas Utilizadas | ID | Nome | Fase | |----|------|------| | [[t1566-002-spearphishing-link\|T1566.002]] | Spearphishing Link | Links maliciosos via email e mensageiros | | [[t1204-002-malicious-file\|T1204.002]] | Malicious File | WindTail disfarçado como documento legítimo | | [[t1071-001-web-protocols\|T1071.001]] | Web Protocols | C2 via HTTPS para exfiltração silenciosa | | [[t1560-archive-collected-data\|T1560]] | Archive Collected Data | Compactação de documentos antes da exfiltração | | [[t1119-automated-collection\|T1119]] | Automated Collection | Coleta automatizada de arquivos por tipo | ## Arsenal WindTail / WindTape O **WindTail** é um backdoor macOS com capacidades de: - Coleta e exfiltração de documentos por extensão (.doc, .pdf, .xls) - Captura de screenshots periódica - Persistência via LaunchAgent - C2 via HTTPS com domínios legítimos aparentes O **WindTape** é a variante mobile (iOS/Android) com capacidades de: - Interceptação de mensagens (WhatsApp, Telegram) - Captura de contatos e calendário - Localização GPS - Microfone e câmera sob demanda ## Relevância LATAM/Brasil > [!latam] Relevância para o Brasil e América Latina > Empresas brasileiras com projetos de infraestrutura no Golfo Pérsico e ambientes corporativos Apple-first são alvos potenciais do Windshift. O padrão de construção de relacionamentos via redes sociais antes do ataque é uma TTP diretamente aplicável a executivos brasileiros com operações no Oriente Médio. Embora o Windshift atue primariamente no Oriente Médio, a Operation Rock tem relevância indireta para o Brasil: 1. **Organizações com operações no Golfo** - empresas brasileiras com projetos de infraestrutura, construção ou energia nos Emirados Árabes, Arábia Saudita ou Qatar são alvos potenciais do grupo 2. **Modelo de ataque BYOD** - O foco do grupo em dispositivos macOS e iOS é relevante para ambientes corporativos brasileiros que adotaram Apple como plataforma primária de executivos O padrão de ataque via construção de relacionamentos em redes sociais é diretamente replicável em outros contextos geográficos e é uma TTP que organizações brasileiras devem incluir em treinamentos de conscientização. ## Detecção **Indicadores de comprometimento:** - LaunchAgent não reconhecido em `~/Library/LaunchAgents/` com PLIST apontando para binário disfarçado - Processo macOS fazendo acesso repetido a arquivos de documentos em múltiplos diretórios - Conexões HTTPS regulares de processos não-browser para domínios com SSL/TLS válido mas WHOIS recente **Fontes de dados:** - **macOS Unified Logs:** Atividade de processos suspeitos e network connections - **EDR macOS (Jamf Protect, CrowdStrike):** Detecção de LaunchAgents não assinados **Regras de detecção:** - Sigma: `macos_launch_agent_creation.yml` - criação de LaunchAgent suspeito - YARA: WindTail - strings características documentadas pelo Objective-See ## Referências - [1](https://objective-see.org/blog/blog_0x3B.html) Objective-See - WindTail macOS Analysis (2019) - [2](https://attack.mitre.org/groups/G0112/) MITRE ATT&CK - Windshift (G0112) - [3](https://www.trendmicro.com/en_us/research/18/k/the-apt-group-windshift.html) Trend Micro - Windshift APT Group Analysis - [4](https://unit42.paloaltonetworks.com/atoms/windshift/) Unit 42 - Windshift Activity Tracking