g0016-apt29 - RunkIntel

# APT29 (Midnight Blizzard) ## Visão Geral APT29, rastreado pela Microsoft como **Midnight Blizzard** e anteriormente como NOBELIUM, e um grupo de ameaça atribuido com alta confiança ao **Servico de Inteligência Estrangeira da Russia (SVR)**. Ativo desde pelo menos 2008, o grupo e um dos atores de ameaça mais sofisticados do mundo, com capacidade de operar em ambientes cloud, hibridos e on-premise com igual proficiencia. O grupo e atribuido pelos governos dos EUA e do Reino Unido como operando em nome do SVR russo. Suas operações sao consistentemente voltadas para **espionagem de longo prazo** - nao destruicao ou ransomware - com foco em coleta de inteligência diplomatica, de defesa e tecnológica. **Também conhecido como:** Cozy Bear, NOBELIUM, Midnight Blizzard, The Dukes, Dark Halo, UNC2452, UNC3524 > [!danger] Ameaça Persistente de Estado-Nacao - Nivel Máximo > APT29/Midnight Blizzard e considerado um dos grupos de ameaça mais avancados operando atualmente. Sua capacidade de comprometer ambientes Microsoft 365 e Azure, abusar OAuth, e operar por meses sem detecção em redes corporativas representa risco existencial para organizacoes governamentais e de defesa. ## Attack Flow - Campanha Microsoft Teams / OAuth ```mermaid graph TB A["🔑 Acesso Inicial Password spray em tenant legado sem MFA"] --> B["🏢 Comprometimento OAuth App legado com permissoes elevadas identificado"] B --> C["👤 Criação de Usuario Admin MS Graph API Directory.ReadWrite.All"] C --> D["📱 Apps OAuth Maliciosos full_access_as_app Exchange Online"] D --> E["📧 Acesso a Mailboxes Lideranca, juridico, equipe de segurança"] E --> F["📤 Exfiltração de Emails Espionagem corporativa e diplomatica"] classDef initial fill:#c0392b,color:#fff,stroke:#922b21 classDef oauth fill:#e67e22,color:#fff,stroke:#d35400 classDef admin fill:#f39c12,color:#fff,stroke:#d68910 classDef malapp fill:#8e44ad,color:#fff,stroke:#6c3483 classDef mailbox fill:#1a5276,color:#fff,stroke:#154360 classDef exfil fill:#27ae60,color:#fff,stroke:#1e8449 class A initial class B oauth class C admin class D malapp class E mailbox class F exfil ``` ## Timeline de Campanhas ```mermaid timeline title APT29 - Linha do Tempo de Campanhas 2008 : Primeiras atividades documentadas 2015 : Comprometimento do DNC : Democratic National Committee 2020 : SolarWinds Supply Chain : Backdoor SUNBURST em 18 000 organizacoes 2021 : Atribuicao formal EUA/UK ao SVR : Campanhas cloud e hibridas 2023 : Microsoft Teams Phishing : Abuso de tenants comprometidos Nov 2023 : Microsoft Corporaté Breach Ján 2024 : Divulgacao publica Microsoft 2025-2026 : Campanhas OAuth e Teams continuam ``` ## Campanhas Recentes ### Microsoft Corporaté Breach via OAuth (Nov 2023 - Ján 2024) O APT29/Midnight Blizzard comprometeu a propria Microsoft em uma das brechas mais significativas de 2024: 1. **Acesso inicial:** Password spray em conta de teste legada de tenant nao-producao sem MFA habilitado 2. **Escalacao via OAuth legado:** Identificação de aplicação OAuth de teste com permissoes elevadas (`Directory.ReadWrite.All`, `RoleManagement.ReadWrite.Directory`) no tenant corporativo 3. **Criação de usuario admin:** Uso das permissoes da app legada para criar usuario Entra ID com privilegios administrativos 4. **Apps OAuth maliciosos:** Criação de aplicações OAuth com permissao `full_access_as_app` no Exchange Online 5. **Acesso a emails:** Acesso irrestrito a mailboxes corporativas, incluindo liderança senior, equipe juridica e equipe de segurança **Dados exfiltrados:** Emails e documentos annexados de contas de alto valor na Microsoft por varios meses. ### Campanha Microsoft Teams Social Engineering (Mai 2023 - presente) Campanha de credential theft usando Microsoft Teams como vetor: 1. Comprometimento de tenants Microsoft 365 de pequenas empresas sem MFA robusto 2. Renomeacao do tenant comprometido + criação de subdominio `onmicrosoft.com` com tema de suporte tecnico 3. Envio de mensagens Teams a alvos se passando por suporte tecnico 4. Engenharia social para aprovacao de prompt MFA no Microsoft Authenticator 5. Após MFA aprovado: roubo de token, acesso ao M365, registro de dispositivo no Entra ID para burlar Conditional Access **Alvos confirmados:** Menos de 40 organizacoes globais; setores de governo, NGOs, TI, fabricacao e midia. ### SolarWinds Supply Chain Attack (2019-2020) A campanha mais notoria do grupo: backdoor [[s0559-sunburst|SUNBURST]] inserido no software SolarWinds Orion, afetando 18.000+ organizacoes e 100+ agencias do governo americano. Atribuida formalmente ao SVR pelos governos dos EUA e UK em abril de 2021. ## Arsenal Tecnico ### Malware Proprietario - [[s0661-foggyweb|FOGGYWEB]] - Backdoor ADFS para roubo de tokens de autenticação - [[magicweb|MAGICWEB]] - Implante em DLLs ADFS para persistência - [[s0048-pinchduke|PinchDuke]] - Dropper inicial - [[s0046-cozycar|CozyCar]] - Implante de primeiro estagio - [[s0682-trailblazer|TrailBlazer]] - Backdoor avancado para espionagem - [[s0052-onionduke|OnionDuke]] - Backdoor distribuido via Tor - [[s0512-fatduke|FatDuke]] - Backdoor de terceiro estagio - [[s0515-wellmail|WellMail]] - Ferramenta de exfiltração de email ### Ferramentas Adicionais - [[mimikatz|Mimikatz]] - Dump de credenciais - [[s0684-roadtools|ROADTools]] - Framework de reconhecimento em Azure AD - [[s0175-meek|meek]] - Domain fronting para C2 ## TTPs Mapeadas no MITRE ATT&CK ### Acesso Inicial e Credenciais - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - Emails com anexos maliciosos para acesso inicial clássico - [[t1110-003-password-spraying|T1110.003 - Password Spraying]] - Ataques de password spray contra tenants legados sem MFA (campanha Teams/Microsoft) - [[t1621-multi-factor-authentication-request-generation|T1621 - MFA Request Generation]] - Envio de prompts MFA via Teams para engenharia social ### Escalacao e Persistência em Cloud - [[t1528-steal-application-access-token|T1528 - Steal Application Access Token]] - Roubo de tokens OAuth para acesso a recursos cloud - [[t1098-001-additional-cloud-credentials|T1098.001 - Additional Cloud Credentials]] - Comprometimento de app OAuth legada para escalar a tenant corporativo - [[t1098-003-additional-cloud-roles|T1098.003 - Additional Cloud Roles]] - Atribuicao de roles MS Graph para criar contas admin - [[t1136-003-cloud-account|T1136.003 - Cloud Account]] - Criação de usuarios e apps OAuth maliciosas em tenant - [[t1098-005-device-registration|T1098.005 - Device Registration]] - Registro de dispositivos no Entra ID para burlar Conditional Access ### Evasão e Persistência - [[t1090-004-domain-fronting|T1090.004 - Domain Fronting]] - Uso de CDNs para disfarcar trafego de C2 - [[t1568-dynamic-resolution|T1568 - Dynamic Resolution]] - Infraestrutura de C2 dinâmica - [[t1546-003-windows-management-instrumentation-event-subscription|T1546.003 - WMI Event Subscription]] - Persistência via WMI - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys]] - Persistência via registro Windows ### Movimento Lateral e Exfiltração - [[t1651-cloud-administration-command|T1651 - Cloud Administration Command]] - Uso de comandos cloud admin para movimento lateral - [[t1078-004-cloud-accounts|T1078.004 - Cloud Accounts]] - Uso de contas cloud válidas comprometidas - [[t1005-data-from-local-system|T1005 - Data from Local System]] - Coleta de dados locais - [[t1003-002-security-account-manager|T1003.002 - Security Account Manager]] - Dump do banco SAM para credenciais ## Detecção > [!tip] Vetores Criticos de Detecção > A maior efetividade do APT29 vem do abuso de identidade e OAuth - detecção deve focar em anomalias de identidade, nao apenas em malware. **Prioridade alta - Cloud/M365:** - Monitorar criação de aplicações OAuth com permissoes elevadas (especialmente `full_access_as_app` e `AppRoleAssignment.ReadWrite.All`) - Alertar para concessao de permissoes de alto privilegio a aplicações novas ou recentemente modificadas - Detectar alteracoes em regras de encaminhamento de email (`User Updated Mailbox Rules`) - Monitorar registro de novos dispositivos no Entra ID por usuarios inesperados - Alertar para acesso a SharePoint/OneDrive em volumes incomuns **Prioridade alta - Identity:** - Password spray: múltiplos logins com falha seguidos de sucesso em conta sem MFA - Tokens de ID anormais (Abnormal Token tenant ID) - Aplicacoes de terceiros instaladas inesperadamente - Autenticação via proxies residenciais (IP masking) ## Relevância para o Brasil e LATAM O APT29/Midnight Blizzard nao tem como foco primario o Brasil ou a LATAM, sendo direcionado principalmente a governos, institutos de pesquisa e entidades da OTAN na Europa e América do Norte. Contudo, organizacoes brasileiras de alto valor estao expostas: - **Entidades diplomaticas e governamentais** que mantem relacionamentos com alvos primarios do SVR - **Empresas de tecnologia** e MSPs brasileiros que prestam servicos a alvos potenciais - **Think tanks e universidades** com pesquisa sensivel em politica externa ou defesa - **Subsidiarias brasileiras de empresas globais** que já foram comprometidas (risco de movimento lateral) O vetor de **supply chain** (como SolarWinds) e particularmente relevante - empresas brasileiras que usam software comprometido ou cloud services de alvos diretos do SVR podem ser afetadas indiretamente. **Mitigação prioritaria para o Brasil:** 1. Habilitar MFA em TODOS os usuarios M365/Entra ID - inclusive contas de teste e legadas 2. Auditar aplicações OAuth registradas - revogar permissoes excessivas 3. Configurar Conditional Access rigoroso para dispositivos nao gerenciados 4. Monitorar atividade suspeita em Exchange Online (forwarding rules, acesso massivo a mailboxes) ## Mitigação 1. **MFA obrigatorio em TODA conta** - incluindo tenants de teste, contas de servico e legadas 2. **Auditoria de apps OAuth** - revisar e revogar permissoes `full_access_as_app`, `Directory.ReadWrite.All`, `RoleManagement.ReadWrite.Directory` 3. **Conditional Access** - restringir acesso a recursos sensiveis apenas a dispositivos gerenciados e IPs aprovados 4. **Monitoramento de Teams** - tratar mensagens externas com solicitacoes de autenticação como suspeitas por padrao 5. **Zero Trust Identity** - nao confiar em nenhum token ou conta sem verificação continua ## Referências - [MITRE ATT&CK - G0016 APT29](https://attack.mitre.org/groups/G0016) - [Microsoft Security: Midnight Blizzard](https://www.microsoft.com/en-us/security/security-insider/threat-landscape/midnight-blizzard) - [Mandiant: APT29 Profile](https://www.mandiant.com/resources/blog/apt29-office365) - [Wiz Blog: Microsoft Midnight Blizzard Breach Analysis](https://www.wiz.io/blog/midnight-blizzard-microsoft-breach-analysis-and-best-practices) - [Microsoft Breach Ján 2024 Disclosure](https://www.mitiga.io/blog/microsoft-breach-by-midnight-blizzard-apt29-what-happened-and-what-now) - [Joint FBI/NSA/CNMF/NCSC Advisory on SVR](https://www.nudgesecurity.com/post/saas-security-alert-midnight-blizzard-using-microsoft-teams-to-launch-spear-phishing-campaigns)