apt29 - RunkIntel

# APT29 > [!danger] APT Estatal — SVR Russo > **APT29** (MITRE G0016), conhecido como **Cozy Bear** ou **Midnight Blizzard**, é o grupo de espionagem cibernética do serviço de inteligência estrangeiro russo (SVR). Responsável pelo ataque SolarWinds (2020) e por campanhas de comprometimento de cadeia de suprimentos de software de nível global. ## Visão Geral APT29 é um dos grupos de espionagem cibernética mais sofisticados do mundo, atribuído ao SVR russo (Serviço de Inteligência Estrangeiro). Diferente do APT28 (GRU), que tende a operações mais agressivas e disruptivas, o APT29 opera com extrema paciência e foco em coleta de inteligência de longo prazo — frequentemente permanecendo em redes comprometidas por meses ou anos sem ser detectado. O grupo ficou mundialmente conhecido pelo ataque à cadeia de suprimentos da SolarWinds em 2020, no qual comprometeu o mecanismo de atualização do software Orion e infectou aproximadamente 18.000 organizações — incluindo múltiplos departamentos do governo americano. Em 2024, o Microsoft relatou que o APT29 (como "Midnight Blizzard") comprometeu sistemas de e-mail corporativo da própria Microsoft, acessando correspondências com agências governamentais americanas. Para o Brasil e a América Latina, o APT29 representa risco para organizações governamentais com vínculos diplomáticos com EUA/Europa, empresas de tecnologia que fornecem software para governo e setores regulados como saúde e energia. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nOSINT / Scanning] --> B[Acesso Inicial\nSupply Chain\nSpear Phishing OAuth] B --> C[Execução\nSUNBURST / TEARDROP\nPowerShell Empire] C --> D[Persistência\nMFA Bypass\nToken Theft] D --> E[Movimentação Lateral\nAAD Federated Identity\nO365 Tenant Hopping] E --> F[Exfiltração\nE-mails estratégicos\nCredenciais gov] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Compromisso Supply Chain | [[t1195-supply-chain-compromise\|T1195]] | Ataque SolarWinds Orion (2020) | | Contas Válidas | [[t1078-valid-accounts\|T1078]] | Roubo de tokens OAuth e service accounts | | Phishing OAuth | [[t1566-phishing\|T1566]] | Consentimento malicioso via OAuth apps | | Pass-the-Token | [[t1550-use-alternate-authentication-material\|T1550]] | Abuso de tokens SAML e JWT | | Persistência em Cloud | [[t1098-account-manipulation\|T1098]] | Adição de credenciais a apps OAuth | ## Detecção e Defesa - Auditar todas as aplicações OAuth com permissões de acesso a e-mail e SharePoint - Implementar Conditional Access com análise de risco de identidade no Azure AD - Monitorar certificados SAML e alterações em service principals - Aplicar [[m1032-multi-factor-authentication|M1032]] com resistência a phishing (FIDO2) - Rever [[ds0017-command|DS0017]] para detecção de PowerShell remoto suspeito ## Referências - MITRE ATT&CK: [APT29 G0016](https://attack.mitre.org/groups/G0016/) - CISA Advisory AA21-008A: SolarWinds Supply Chain Attack (2021) - Microsoft MSTIC: Midnight Blizzard — Microsoft email breach (2024) - Mandiant: UNC2452 SolarWinds post-compromise activity (2020) - NSA/CISA/FBI: APT29 Targeting Cloud Infrastructure (2021)