g0025-apt17 - RunkIntel

# APT17 > [!high] APT Chinês com Técnica Inovadora de Dead Drop via Plataformas Legítimas > **APT17** (também rastreado como **Deputy Dog** e **Aurora Panda**) é um grupo de espionagem cibernética atribuído ao **Jinan Bureau** do Ministério de Segurança do Estado (MSS) da China, ativo desde pelo menos 2009. O grupo é notável pela técnica pioneira de **dead drop resolver** - usar perfis e fóruns do Microsoft TechNet para hospedar endereços C2 encodados, mimetizando tráfego legítimo. Em 2024, APT17 foi documentado em campanhas contra empresas e governo italiano usando variantes do 9002 RAT. ## Visão Geral O APT17 foi identificado pelo FireEye em análise da **Operation Aurora** (2009-2010), os famosos ataques ao Google e mais de 30 empresas de tecnologia e defesa que levaram o Google a ameaçar encerrar operações na China. O grupo operava em conjunto com outros atores estatais chineses, com mandato de identificar operativos de inteligência ocidentais comprometidos e roubar propriedade intelectual de alto valor. A contribuição técnica mais inovadora do APT17 é o **dead drop resolver** via plataformas legítimas - uma técnica que o grupo utilizou pelo menos desde 2013. Em vez de configurar infraestrutura C2 dedicada facilmente bloqueável, o malware [[s0069-blackcoffee|BLACKCOFFEE]] recuperava endereços de servidores C2 de perfis públicos no Microsoft TechNet, fóruns do Bing e outras plataformas de confiança. O tráfego de rede para o TechNet parecia legítimo para soluções de segurança que não inspecionavam o conteúdo. A técnica foi eventualmente descoberta e interrompida pelo FireEye e Microsoft via sinkholing em 2014-2015. O APT17 é classificado como parte do **ecossistema Winnti** - grupos chineses que compartilham ferramentas, infraestrutura e possívelmente operadores. A relação com [[g0096-apt41|APT41]] e BARIUM é bem documentada, incluindo o comprometimento da cadeia de suprimentos do **CCleaner** em 2017 que afetou 2,27 milhões de usuários globais. Em 2024, a pesquisa da ThreatFabric documentou uma campanha do APT17 usando variantes do **9002 RAT** (também chamado Hydraq) contra **empresas e governo italiano** - com entrega via MSI falso do Skype for Business. Esta é a primeira documentação significativa do grupo fora da região EUA/ASEAN, indicando expansão de alvos para a Europa. **Características operacionais:** - Dead drop resolver pioneiro - C2 via plataformas legítimas (TechNet, Bing, GitHub) - Integração com ecossistema Winnti - recursos e ferramentas compartilhados - Dupla motivação: espionagem para o Estado + revenda de dados no mercado clandestino - Expansão para Europa documentada em 2024 (Itália) ## Attack Flow - Campanha com BLACKCOFFEE ```mermaid graph TB A["Reconhecimento Identificação de alvo Governo/Defesa EUA"] --> B["Acesso Inicial Spearphishing T1566.001 ou drive-by"] B --> C["BLACKCOFFEE Instalado Backdoor modular Persistência em servico"] C --> D["Dead Drop Resolver Consulta TechNet/Bing T1583.006 - IP codificado"] D --> E["C2 Estabelecido Canal criptografado Via IP decodificado"] E --> F["Exfiltração Documentos sensiveis PI e inteligencia"] style A fill:#1a5276,color:#fff style B fill:#922b21,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#e67e22,color:#fff style F fill:#117a65,color:#fff ``` ## Linha do Tempo ```mermaid timeline title APT17 - Cronologia de Operacoes 2009 : Operation Aurora : Google e 30+ empresas atacados : Identificação de operativos de inteligencia 2013-2015 : Dead Drop TechNet : BLACKCOFFEE via perfis Microsoft : FireEye e Microsoft interrompem C2 2017 : CCleaner Supply Chain : 2,27 milhoes de usuarios afetados : Operação no umbrela Winnti 2024 : Campanha Italia : 9002 RAT via MSI Skype falso : Governo e empresas italianas alvejadas ``` ## Arsenal Técnico | Ferramenta | Categoria | Características | |-----------|-----------|----------------| | [[s0069-blackcoffee\|BLACKCOFFEE]] | Backdoor modular | Dead drop resolver via TechNet/Bing; upload/download; shell remoto; DLL sideloading | | [[9002-rat\|9002 RAT]] | RAT | Também chamado Hydraq/McRAT; usado em Aurora; variante 2024 com MSI delivery | ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Resource Development | Web Services | [[t1583-006-web-services\|T1583.006]] | TechNet, Bing, GitHub como dead drop resolvers para C2 | | Resource Development | Establish Accounts | [[t1585-establish-accounts\|T1585]] | Criação de perfis em plataformas para hospedar C2 | | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos maliciosos para alvos governo/defesa | | Initial Access | Drive-by Compromise | [[t1189-drive-by-compromise\|T1189]] | Comprometimento de sites legítimos visitados por alvos | | Initial Access | Supply Chain | [[t1195-002-supply-chain-compromise\|T1195.002]] | CCleaner 2017 - instalador trojanizado | ## Relevância para o Brasil e LATAM > [!medium] Risco para Setores de Mineração, Defesa e Tecnologia > O APT17 integra o ecossistema Winnti - o mesmo cluster de grupos chineses que tem presença documentada globalmente, incluindo campanhas financeiras na América Latina. A expansão do grupo para alvos europeus em 2024 e a dupla motivação (espionagem + crime financeiro) tornam organizações brasileiras em setores estratégicos em alvos potenciais. Para organizações brasileiras, os pontos relevantes do APT17 são: 1. **Setor de mineração**: o grupo historicamente alveja empresas de mineração para roubo de dados sobre recursos estratégicos - empresas brasileiras de mineração de nióbio, ferro e outros recursos críticos são perfil compatível 2. **Técnica de dead drop**: o padrão de hospedar C2 em plataformas legítimas (GitHub, Google Docs, OneDrive) é amplamente replicado por outros grupos - detecção requer inspeção de conteúdo, não apenas bloqueio por domínio 3. **Ecossistema Winnti**: comprometimento via cadeia de suprimentos (CCleaner) afetou usuários globalmente - qualquer software de terceiros sem verificação de integridade é vetor potencial ## Detecção e Defesa | Indicador | Técnica | Ação | |-----------|---------|------| | BLACKCOFFEE - processo consultando plataformas legítimas incomuns | T1583.006 | Proxy inspection de conteúdo em TechNet, GitHub, Bing | | 9002 RAT - MSI instalado fora de software store corporativo | T1566.001 | Application allowlisting; verificação de hash de instaladores | | DLL sideloading de binário legítimo em pasta incomum | T1189 | EDR behavioral - DLL load de caminhos não esperados | | Tráfego DNS/HTTP para serviços legítimos com payload encodado | T1583.006 | DLP - inspecionar conteúdo de tráfego para plataformas de confiança | **Mitigações prioritárias:** Verificação de integridade de software ([[m1051-update-software|M1051]]), inspeção de proxy web ([[m1021-restrict-web-based-content|M1021]]) e controle de aplicações ([[m1038-execution-prevention|M1038]]). ## Referências - [1](https://attack.mitre.org/groups/G0025/) MITRE ATT&CK - APT17 (G0025) - [2](https://cloud.google.com/blog/topics/threat-intelligence/hiding_in_plain_sight) FireEye/Mandiant - Hiding in Plain Sight: FireEye and Microsoft Expose Obfuscation Tactic (2015) - [3](https://intrusiontruth.wordpress.com/2019/07/24/apt17-is-run-by-the-jinan-bureau-of-the-chinese-ministry-of-state-security/) Intrusion Truth - APT17 is Run by the Jinan Bureau of the MSS (2019) - [4](https://malpedia.caad.fkie.fraunhofer.de/actor/apt17) Malpedia - APT17 Actor Profile **Malware:** [[s0069-blackcoffee|BLACKCOFFEE]] · [[9002-rat|9002 RAT]] **TTPs:** [[t1583-006-web-services|T1583.006]] · [[t1195-002-supply-chain-compromise|T1195.002]] · [[t1566-001-spearphishing-attachment|T1566.001]] **Setores:** [[government|Governo]] · [[defense|Defesa]] · [[technology|Tecnologia]] · [[mining|Mineração]] **Relacionados:** [[g0096-apt41|APT41]] · [[g0044-winnti-group|Winnti Group]] · [[g0004-apt15|APT15]]