voho-campaign - RunkIntel

# VOHO Campaign 2012 > [!medium] > Campanha de watering hole documentada pela RSA FirstWatch em 2012, associada ao grupo chinês **Axiom** (APT17). A operação comprometeu sites legítimos frequentados por funcionários do governo americano e da indústria de defesa em Washington DC e Boston, infectando mais de 32.000 sistemas com o **Gh0st RAT**. ## Visão Geral A campanha VOHO (nome derivado dos primeiros dois octetos de um IP de comando e controle rastreado durante a investigação) foi documentada pela RSA FirstWatch em junho de 2012 e representa um marco na documentação pública de ataques de watering hole pelo grupo chinês [[g0001-axiom]] ([[g0025-apt17]]). O modus operandi diferia do spear-phishing tradicional: em vez de atacar as vítimas diretamente, o grupo comprometeu sites legítimos visitados rotineiramente por funcionários de agências governamentais americanas e empresas do setor de defesa. A operação visava principalmente dois clusters geográficos: funcionários na área de Washington DC (foco em contratados de defesa e agências federais) e Boston (universidades com pesquisa de defesa e tecnologia). Os atacantes identificaram sites de nicho — portais de organizações profissionais, fóruns setoriais, sites de notícias regionais — frequentados pelos alvos e injetaram código JavaScript malicioso que explorava vulnerabilidades no Internet Explorer e em plugins Java. Ao visitar esses sites com versões desatualizadas do browser, as vítimas tinham o [[gh0st-rat]] instalado silenciosamente — um trojan de acesso remoto de origem chinesa amplamente usado por múltiplos grupos de espionagem. Em alguns casos, o [[s0021-derusbi]] foi implantado como segundo estágio para alvos de alto valor. A RSA FirstWatch identificou mais de 32.000 sistemas comprometidos durante a campanha, com foco em organizações relacionadas ao Departamento de Defesa e empreiteiros do setor aeroespacial. A campanha VOHO evidenciou a sofisticação do [[g0001-axiom]] na seleção de vetores indiretos e no uso de infraestrutura legítima comprometida como vetor, uma técnica que se tornaria característica do grupo em operações posteriores. O relatório público da RSA foi um dos primeiros a utilizar o termo "watering hole" como categorização formal desse tipo de ataque. ## Attack Flow ```mermaid graph TB A["🎯 Seleção de Alvos Funcionários governo/defesa em Washington DC e Boston"] --> B["🌐 Comprometimento de Sites Injeção de JavaScript malicioso em sites frequentados pelos alvos"] B --> C["💻 Drive-by Compromise Exploit IE/Java via visita ao site comprometido"] C --> D["🐀 Instalação do Gh0st RAT Trojan RAT implantado silenciosamente na máquina"] D --> E["🔗 Conexão ao C2 HTTPS para infraestrutura de controle do Axiom"] E --> F["🕵️ Espionagem e Coleta Exfiltração de documentos credenciais e dados internos"] ``` ## Cronologia ```mermaid timeline title VOHO Campaign - Linha do Tempo Mai 2012 : Início das infecções - sites comprometidos : Foco em Washington DC e Boston Jun 2012 : RSA FirstWatch detecta padrão de comprometimento : 32.000+ sistemas infectados identificados Jun 2012 : RSA publica análise técnica da campanha VOHO : Termo "watering hole" formalizado Jul 2012 : Atividade decresce após exposição pública : Infraestrutura C2 desativada pelo Axiom 2014 : Novell/Axiom group documentado extensivamente : VOHO retroativamente atribuído ao Axiom ``` ## TTPs Principais | Tática | Técnica | Detalhe | |--------|---------|---------| | Acesso Inicial | [[T1189-drive-by-compromise\|T1189]] | Watering hole em sites de nicho frequentados por alvos | | Execução | [[T1204.001-user-execution-malicious-link\|T1204.001]] | Exploit de IE/Java via visita a site comprometido | | C2 | [[T1071.001-application-layer-protocol-web-protocols\|T1071.001]] | Gh0st RAT via HTTP/HTTPS para servidores C2 | | Coleta | Keylogging + File Access | Gh0st RAT exfiltra documentos e credenciais | | Evasão | Trusted site hijack | Uso de sites legítimos como vetor evita detecção | | Segundo estágio | Derusbi RAT | Implantado em alvos de alto valor para persistência | ## Vítimas e Impacto - **32.000+ sistemas comprometidos** durante o período ativo (mai-jul 2012) - **Alvo primário**: contratados do Departamento de Defesa (Washington DC) - **Alvo secundário**: universidades com pesquisa de defesa (Boston - MIT, Harvard, Tufts) - **Setores afetados**: governo federal americano, defesa, aeroespacial, tecnologia - **Dados exfiltrados**: documentos classificados, propriedade intelectual de defesa, credenciais - **Consequência**: mudança nas práticas de segurança de sites de organizações profissionais do setor ## Relevância LATAM A campanha VOHO, embora focada nos EUA, estabeleceu o padrão de watering hole que o [[g0001-axiom]] e outros grupos chineses como [[g0096-apt41]] aplicaram globalmente. O Brasil e o LATAM são alvos documentados de grupos APT chineses para espionagem econômica e tecnológica — especialmente setores de energia, telecomúnicações e [[government|governo]]. Sites de associações profissionais, órgãos reguladores e portais de notícias setoriais brasileiros são candidatos naturais ao mesmo tipo de comprometimento por watering hole. O [[government|setor público]] brasileiro deve monitorar comprometimento de sites de referência setorial. ## Mitigação - Manter browsers e plugins (Java, PDF) sempre atualizados para eliminar superfície de exploração drive-by - Implementar políticas de Content Security Policy (CSP) em sites de organizações do setor público e defesa - Usar isolamento de browser (browser isolation) para navegação de risco em redes sensíveis - Monitorar tráfego de rede para conexões incomuns a IPs externos desconhecidos - Aplicar políticas de execução de scripts rigorosas via Group Policy (Windows) para ambientes de defesa - Auditar regularmente sites de associações profissionais usados pela organização ## Referências - [1](https://www.rsa.com/content/dam/en/white-paper/rsa-security-brief-new-watering-hole-attacks-target-defense-and-government.pdf) RSA FirstWatch - VOHO Campaign: New Watering Hole Attacks (2012) - [2](https://attack.mitre.org/groups/G0001/) MITRE ATT&CK - Axiom (G0001) - [3](https://www.novetta.com/wp-content/uploads/2014/11/Executive_Summary-Final_1.pdf) Novetta - Operation SMN: Axiom Threat Actor Group Report (2014) - [4](https://www.crowdstrike.com/blog/ghost-in-the-shell-investigating-web-shell-attacks/) CrowdStrike - Axiom Threat Intelligence Report (2014) - [5](https://thedfirreport.com/2022/08/08/backdoor-diplomacy-targets-foreign-affairs/) The DFIR Report - APT17/Axiom Follow-on Campaigns (2022)