g0007-apt28 - RunkIntel

# APT28 > [!warning] **APT28** é um grupo de ameaça atribuído a **Russia** ativo desde **2004**. ## Perfil **APT28** (também conhecido como Fancy Bear, Forest Blizzard, Pawn Storm, Sofacy) e um dos grupos de ameaça mais sofisticados e prolíficos do mundo, atribuido ao **GRU (Diretoria de Inteligência Principal) da Russia**, específicamente a **Unidade Militar 26165** do 85 Centro Principal de Servicos Especiais (GTsSS). Ativo desde pelo menos 2004, o grupo e responsavel por algumas das operações de espionagem cibernetica mais impactantes da historia moderna. **Visão geral:** - Origem: Russia - GRU Unidade 26165 (operações de espionagem); parceria operacional com Unidade 74455 ([[g0034-sandworm|Sandworm]]) - Motivacao: espionagem estratégica, coleta de inteligência politica e militar, operações de influencia - Atividade: 2004 até o presente - mais de 20 anos de operações continuas - Confiança de atribuicao: altissima - cinco oficiais do GRU indiciados pelo DoJ dos EUA em 2018 - Foco atual (2024-2026): Ucrania, OTAN, empresas de logistica/tecnologia que apoiam a Ucrania **Descrição:** O APT28 combina espionagem técnica avancada com operações de influencia e desinformação alinhadas aos objetivos estratégicos do Kremlin. O grupo e notorio pela interferencia eleitoral nos EUA em 2016 (comprometimento da campanha Hillary Clinton, DNC e DCCC), ataques a WADA e OPCW (2014-2018), e operações extensivas contra alvos ucranianos e europeus. Em 2024-2026, o grupo intensificou operações contra a cadeia de suprimentos ocidental que apoia a Ucrania - logistica, tecnologia e militares. ### Attack Flow Típica - APT28 ## Campanhas Recentes (2024-2026) ### Campanha HeadLace - Europa e Logistica (2024-2025) Desde junho 2024 até pelo menos abril 2025, o APT28 implantou o malware **[[headlace|HeadLace]]** em redes de empresas europeias, com foco específico em **organizacoes de logistica e tecnologia que apoiam a Ucrania**: - **HeadLace**: backdoor sofisticado distribuido via atalhos LNK maliciosos que exibem dialogos falsos de credenciais; executa em memoria para evadir detecção; coleta credenciais, enumeracao do sistema e escalonamento de privilegios - **Alvos**: Alemanha, Polônia, Paises Baixos e outros membros da OTAN com conexoes a cadeias de suprimentos de defesa - **Objetivo**: Monitoramento da transferencia de equipamentos e suprimentos militares ocidentais para a Ucrania ### Operation MacroMaze (Setembro 2025 - Janeiro 2026) Campanha que abusa de **webhooks do Microsoft Office** para exfiltração de dados de forma discreta: - Documentos Office com macros que enviam dados a endpoints de webhook externos (bypassa controles de DLP focados em emails) - Alvos: instituicoes governamentais e militares europeias - Técnica nova que evade detecção baseada em monitoramento de trafego email/FTP ### GooseEgg - Exploração CVE-2022-38028 (Windows Print Spooler) O APT28 explorou extensivamente o **[[cve-2022-38028|CVE-2022-38028]]** (Windows Print Spooler - Privilege Escalation) por meio de uma ferramenta de launcher chamada **GooseEgg**: - Permite execução de aplicativos com privilegios SYSTEM a partir de conta com baixo privilegio - Distribuido via scripts batch disfarados como parte do grupo GPO - Usado em campanha de coleta de credenciais contra alvos na Ucraina, Europa Ocidental e América do Norte ### Nearest-Neighbor WiFi Attack Técnica inovadora documentada em campanha de acesso fisico proximo: 1. Atacante compromete host em rede proxima geograficamente ao alvo 2. A partir desse host comprometido, conecta-se via WiFi a rede do alvo real 3. Elimina a necessidade de acesso fisico ao local enquanto explora o radio range das redes WiFi ### CVE-2023-23397 - Outlook NTLM Hash Theft Exploração de zero-day no Microsoft Outlook para roubo automatico de hashes NTLM (sem interação do usuario) via propriedade UNC path em lembretes de calendario: - Afeta todos os clientes Outlook Windows - Permite captura de credenciais sem clique do usuario - Usado contra alvos em Tchéquia, Alemanha e outros membros da OTAN ## Arsenal (2024-2026) | Ferramenta | Tipo | Função | |-----------|------|--------| | [[headlace\|HeadLace]] | Backdoor (2024-2025) | Coleta de credenciais via dialogo falso, enumeracao, escalonamento | | [[chopstick\|CHOPSTICK]] | Backdoor modular | C2 via HTTP/S; keylogging; screenshots; exfiltração | | [[s0045-advstoreshell\|ADVSTORESHELL]] | Backdoor | Extensao de browser maliciosa para espionagem | | [[s0351-cannon\|Cannon]] | Trojan | Droppper para payloads adicionais | | [[mimikatz\|Mimikatz]] | Credential Dumping | Roubo de credenciais Windows NTLM/Kerberos | | [[s0243-dealerschoice\|DealersChoice]] | Flash exploit | Exploração de vulnerabilidades Adobe Flash (legado) | | [[s0162-komplex\|Komplex]] | macOS malware | Backdoor para macOS - alvos específicos | | GooseEgg | Launcher customizado | Exploração CVE-2022-38028 para privilegios SYSTEM | ## TTPs Mapeados | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | LNK maliciosos; documentos Office com macros; phishing via contas de email comprometidas | | Execution | Exploitation for Client Execution | [[t1203-exploitation-for-client-execution\|T1203]] | CVE-2022-38028, CVE-2023-23397, Outlook zero-days | | Persistence | Registry Run Keys | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | HeadLace e CHOPSTICK com persistência via registro | | Credential Access | NTDS | [[t1003-003-ntds\|T1003.003]] | Extração de NTDS.dit para quebra offline de senhas | | Lateral Movement | Pass the Hash | [[t1550-002-pass-the-hash\|T1550.002]] | Movimento lateral com hashes NTLM capturados | | Defense Evasion | Timestomp | [[t1070-006-timestomp\|T1070.006]] | Alteração de timestamps de arquivos para dificultar forense | | Defense Evasion | Encrypted/Encoded File | [[t1027-013-encryptedencoded-file\|T1027.013]] | Payloads cifrados para evadir análise estática | | Collection | Remote Email Collection | [[t1114-002-remote-email-collection\|T1114.002]] | Acesso remoto a caixas de email via OWA/Exchange | | Exfiltration | Cloud Storage | [[t1048-002-exfiltration-over-asymmetric-encrypted-non-c2-protocol\|T1048.002]] | Exfiltração via OneDrive, Google Drive, Telegram e webhooks | | Reconnaissance | Search Open Technical Databases | [[t1596-search-open-technical-databases\|T1596]] | OSINT em Shodan, Certificaté Transparency, LinkedIn | ## Relevância para o Brasil e LATAM > [!warning] Impacto Indireto com Vetores Crescentes > O APT28 nao possui operações confirmadas diretamente contra o Brasil ou LATAM em 2024-2026. No entanto, o modelo de operações hibridas do GRU - convergindo espionagem estatal com ferramentas do ecossistema de cibercrime - cria vetores de risco indireto significativos para a regiao. ### Vetores de Risco Indireto **1. Espionagem Diplomatica** Embaixadas latino-americanas sediadas na Europa (especialmente Bruxelas, Paris e Berlim) estao historicamente no escopo de operações do APT28 contra alvos diplomaticos da OTAN e blocos politicos ocidentais. Comúnicacoes diplomaticas por email e sistemas corporativos europeus representam vetor. **2. Ferramentas Compartilhadas com Cibercrime Regional** O arsenal do APT28 - especialmente [[mimikatz|Mimikatz]], [[s0154-cobalt-strike|Cobalt Strike]] e técnicas de Pass-the-Hash - e **amplamente reutilizado** por grupos de ransomware e APTs financeiros que atacam ativamente organizacoes brasileiras. O vazamento e democratizacao dessas técnicas amplifica o risco para o setor [[financial|financeiro]], [[government|governo]] e energia no Brasil. **3. Operacoes de Influencia e Desinformação** O modelo operacional do APT28 inclui **operações de influencia** (hack-and-leak, desinformação em redes sociais) que podem ser direcionadas a eleicoes e processos politicos latino-americanos, especialmente em paises com relevância geopolitica para a Russia. **4. Convergencia Estado-Crime** O ENISA Threat Landscape 2025 documenta convergencia crescente entre APTs russos e grupos de cibercrime. O APT28 opera com proxies residenciais e infostealers-as-a-service comprados em fóruns - o mesmo ecossistema que alimenta ataques a organizacoes brasileiras. ### Ecossistema GRU ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota. ```mermaid graph TB GRU["🇷🇺 GRU - Intel Militar Russa"] --> APT28["APT28 - Unidade 26165 Fancy Bear · Espionagem"] GRU --> SW["Sandworm - Unidade 74455 Sabotagem · Infraestrutura Critica"] APT28 -- "Infraestrutura compartilhada" --> SW APT28 --> TOOLS["Ferramentas vazadas Mimikatz · Cobalt Strike"] TOOLS --> CRIME["Grupos ransomware ativos no Brasil/LATAM"] APT28 --> INFLUENCE["Operacoes de influencia Hack-and-leak · Disinfo"] ``` ### Evolução de TTPs (2024-2026) | Tendencia | Detalhe | |-----------|---------| | **Exfiltração via Cloud** | OneDrive, Google Drive, Telegram e webhooks para bypassar monitoramento de rede | | **IA em Spear-phishing** | Personalizacao com LLMs para criar lures mais convincentes | | **Webhooks como C2** | Operation MacroMaze - macros Office usando webhooks para exfiltração discreta | | **Proxies Residenciais** | Rotacao de IPs residenciais para evadir geo-blocking e listas de bloqueio | | **Acesso WiFi Proximo** | Nearest-neighbor attack - comprometimento via redes WiFi sem acesso fisico | | **Supply Chain de Logistica** | Foco em empresas de logistica e transporte que apoiam Ucrania | ## Referências - [MITRE ATT&CK - APT28 (G0007)](https://attack.mitre.org/groups/G0007) - [BrandDefense - APT28 2025 Analysis](https://brandefense.io/blog/apt28-2025/) - [The Hacker News - APT28 Targets Ukrainian UKR-net Users (2025)](https://thehackernews.com/2025/12/apt28-targets-ukrainian-ukr-net-users.html) - [SecurityAffairs - Operation MacroMaze APT28](https://securityaffairs.com/188421/apt/operation-macromaze-apt28-exploits-webhooks-for-covert-data-exfiltration.html) - [Picus Security - Russian Unit 26165 Targets Western Logistics](https://www.picussecurity.com/resource/blog/russian-unit-26165-targets-western-logistics-and-technology-companies) - [SOCPrime - Detect APT28 Against Western Companies](https://socprime.com/blog/detect-apt28-attacks-against-western-companies-coordinating-aid-to-ukraine/) - [US DoD - APT28 Targeting Logistics Companies (Maio 2025)](https://media.defense.gov/2025/May/21/2003719846/-1/-1/0/CSA_RUSSIAN_GRU_TARGET_LOGISTICS.PDF) **Atores relacionados:** [[g0034-sandworm|Sandworm]] · [[g0016-apt29|APT29 - Cozy Bear]] · [[g0010-turla|Turla]] **Campanhas:** [[apt28-nearest-neighbor-campaign|APT28 Nearest Neighbor Campaign]] · [[operation-macromaze-2025|Operation MacroMaze]] **Malware e ferramentas:** [[headlace|HeadLace]] · [[chopstick|CHOPSTICK]] · [[mimikatz|Mimikatz]] · [[s0045-advstoreshell|ADVSTORESHELL]] · [[s0351-cannon|Cannon]] **CVEs exploradas:** [[cve-2022-38028|CVE-2022-38028]] · [[cve-2023-23397|CVE-2023-23397]] **TTPs principais:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1003-003-ntds|T1003.003]] · [[t1550-002-pass-the-hash|T1550.002]] · [[t1114-002-remote-email-collection|T1114.002]] · [[t1048-002-exfiltration-over-asymmetric-encrypted-non-c2-protocol|T1048.002]] **Setores alvejados:** [[government|Governo]] · [[defense|Defesa]] · [[technology|Tecnologia]] · [[logistics|Logistica]] · [[telecommunications|Telecomúnicacoes]]