chamelgang - RunkIntel

# ChamelGang (CamoFei) ## Visão Geral ChamelGang (rastreado pela TeamT5 como CamoFei) e um grupo APT de ciberespionagem de provavel origem chinesa, identificado pela Positive Technologies em 2021 durante a investigação de uma intrusão em uma empresa de energia. O grupo ficou famoso por camuflar sua infraestrutura maliciosa disfarfacada de servicos legitimos da Microsoft, TrendMicro, McAfee, IBM e Google - comportamento que deu origem ao nome "Chameleon" (Camaleao). O ChamelGang e um dos poucos grupos APT documentados a usar **ransomware como ferramenta de espionagem** - utilizando o [[catb-ransomware|CatB ransomware]] para encobrir operações de roubo de dados, dificultar atribuicao e possívelmente gerar receita secundaria. **O Brasil e alvo confirmado de alto impacto**, com o ataque a Presidencia da República em novembro de 2022. ## Ataque a Presidencia do Brasil (Novembro 2022) Este e o caso de maior relevância direta para o Brasil: - **Novembro 2022:** ChamelGang comprometeu rede da Presidencia da República do Brasil - **Escala:** 192 computadores comprometidos - **Ransomware:** CatB deployado na fase final do ataque - **Atribuicao inicial:** Incorretamente atribuido ao TeslaCrypt - **Correcao:** SentinelLabs e Recorded Future apresentaram evidências apontando para o ChamelGang em 2024 - **Evidência chave:** Sample svchosts.exe do CatB carregado do Brasil em 1/11/2022; artefatos do Windows Registry indicando a Presidencia como vitima > [!danger] APT Chines Atacou a Presidencia do Brasil > O ataque a Presidencia da República em 2022 nao foi apenas um incidente de ransomware - foi espionagem cibernetica chinesa usando ransomware como cobertura. A SentinelLabs identificou que a atribuicao original (TeslaCrypt) estava errada. Infraestrutura critica do governo federal brasileiro foi comprometida por um ator estatal. Este e um dos casos mais significativos de ciberespionagem documentados contra o Brasil. ## Abordagem de Dupla Motivacao ```mermaid graph TB A["ChamelGang APT chines Espionagem + Ransomware"] --> B["Objetivo Primario Roubo de dados sensiveis Espionagem governamental"] A --> C["Objetivo Secundario Ransomware como cobertura Dificulta atribuicao"] B --> D["Alvos: Governo, Aviacao Energia, Saude"] C --> E["CatB Ransomware Encobre exfiltração Destruicao de evidencias"] D --> F["Brasil, India Russia, Taiwan Jápao, EUA"] style A fill:#c0392b,color:#fff style B fill:#e74c3c,color:#fff style C fill:#e67e22,color:#fff style D fill:#3498db,color:#fff style E fill:#8e44ad,color:#fff style F fill:#196f3d,color:#fff ``` ## Attack Flow ChamelGang ```mermaid graph TB A["🎯 Acesso via Supply Chain Subsidiaria comprometida T1195.002 - penetra rede principal"] --> B["🎭 Camuflagem Infra disfarfacada como MS/McAfee SSL certs imitando legitimos (T1036)"] B --> C["🔒 Backdoor BeaconLoader / DoorMe Cobalt Strike payload"] C --> D["🌐 C2 Furtivo ChamelDoH - DNS over HTTPS Dificil detecção (T1071.004)"] D --> E["📦 Exfiltração de Dados Informacoes governamentais Dados militares e estratégicos"] E --> F["💥 CatB Ransomware Cobertura para espionagem Destruicao de evidencias"] style A fill:#e74c3c,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#2980b9,color:#fff style E fill:#c0392b,color:#fff style F fill:#196f3d,color:#fff ``` ## Incidentes Atribuidos | Data | Vitima | Evidências | |------|--------|-----------| | Nov 2022 | Presidencia da República - Brasil | 192 PCs; CatB sample do Brasil; artefatos Registry | | Nov 2022 | AIIMS - India (hospital) | CatB; disruptivos para servicos de saúde | | 2023 | Organização governamental no Leste Asiatico | TTPs identicos; BeaconLoader confirmado | | 2023 | Aviacao no subcontinente indiano | TTPs consistentes com ChamelGang | | 2021 | Empresa de energia na Russia | Caso original que revelou o grupo | ## Infraestrutura Técnica O ChamelGang e notavel por: - **Dominios imitadores:** Registra dominios parecidos com servicos legitimos (Microsoft, McAfee, etc.) - **Certificados SSL falsos:** Cria certs imitando organizacoes reais - **ChamelDoH:** Implante customizado usando DNS-over-HTTPS para C2 (dificil de bloquear) - **BeaconLoader:** Carregador customizado para Cobalt Strike com técnicas de evasão - **DoorMe:** Backdoor customizado compartilhado com outros grupos APT chineses (posivel "digital quartermaster") ## Arsenal Compartilhado com Outros APTs Chineses Pesquisadores identificaram sobreposicoes de malware entre ChamelGang e: - REF2924 - mesmo DoorMe backdoor - Storm Cloud - variante macOS (MGDrive/Gimmick) - Posivel "digital quartermaster" fornecendo ferramentas para múltiplos grupos ## Técnicas Utilizadas - [[t1195-002-compromise-software-supply-chain|T1195.002]] - Comprometimento via subsidiaria/fornecedor - [[t1036-masquerading|T1036]] - Infraestrutura disfarfacada de servicos legitimos - [[t1071-004-dns|T1071.004]] - ChamelDoH para C2 via DNS-over-HTTPS - [[t1486-data-encrypted-for-impact|T1486]] - CatB ransomware como cobertura de espionagem - [[t1027-obfuscated-files|T1027]] - Ofuscacao de fluxo de controle em BeaconLoader/DoorMe ## Software Utilizado - [[catb-ransomware|CatB Ransomware]] - Criptografia como ferramenta de cobertura - [[beaconloader|BeaconLoader]] - Carregador customizado para Cobalt Strike - [[s0154-cobalt-strike|Cobalt Strike]] - Framework C2 principal - [[doorMe|DoorMe]] - Backdoor customizado (compartilhado com outros APTs chineses) - [[chameldoh|ChamelDoH]] - Implante DNS-over-HTTPS para C2 furtivo - 7-Zip, FRP, ProxyT, Tiny SHell - Ferramentas complementares --- *Fontes: [SentinelLabs - ChamelGang & Friends](https://www.sentinelone.com/labs/chamelgang-attacking-critical-infrastructure-with-ransomware/) | [ISH Tecnologia - Análise em PT-BR](https://www.ish.com.br/wp-content/uploads/2024/07/Hackers-chineses-utilizam-ransomware-em-ataques-direcionados.pdf) | [ETDA Threat Cards](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=ChamelGang)*