g0026-apt18 - RunkIntel

# APT18 ## Visão Geral **APT18** (rastreado como **Dynamite Panda** pela CrowdStrike, **TG-0416** pela SecureWorks e **Wekby** pela Palo Alto Networks) é um grupo de espionagem cibernética de origem chinesa com suspeita de afiliação à **Marinha do Exército de Libertação Popular (PLA Navy)**. Ativo desde pelo menos 2009, o grupo conduziu algumas das operações de roubo de dados mais consequentes já documentadas contra o setor de saúde americano. O marco histórico do APT18 é a violação da **Community Health Systems (CHS)** em 2014, onde roubou dados de **4,5 milhões de pacientes** - nome, data de nascimento, número do seguro social e endereço. A CHS revelou que a violação foi realizada via exploração do **Heartbleed** ([[cve-2014-0160|CVE-2014-0160]]), o que demonstra a capacidade do APT18 de adaptar-se rapidamente a zero-days públicos. Em 2015, o grupo demonstrou novamente rapidez na exploração de zero-days ao usar uma vulnerabilidade do Adobe Flash ([[cve-2015-5122|CVE-2015-5122]]) vazada na violação da **Hacking Team** - dentro de dias após a divulgação pública dos exploits roubados. **Também conhecido como:** APT18, Dynamite Panda, TG-0416, Wekby, Threat Group-0416, Scandium, G0026 ## Attack Flow - Espionagem em Saúde e Tecnologia ```mermaid graph TB A["🔓 Acesso via Heartbleed CVE-2014-0160 OpenSSL Extrai memória de servidor web"] --> B["🔑 Credenciais Extraidas T1078 Valid Accounts Sessões ativas comprometidas"] B --> C["📥 Tool Staging T1105 Ingress Transfer hcdLoader + HTTPBrowser deploy"] C --> D["💻 Comandos Remotos T1059.003 Cmd Shell T1082 System Discovery"] D --> E["🌐 DNS como C2 T1071.004 DNS queries Pisloader - dados em subdomínios"] E --> F["📤 Exfiltração Massiva 4.5M registros CHS Dados pessoais de pacientes"] classDef heartbleed fill:#c0392b,color:#fff,stroke:#922b21 classDef cred fill:#e74c3c,color:#fff,stroke:#c0392b classDef staging fill:#e67e22,color:#fff,stroke:#d35400 classDef exec fill:#8e44ad,color:#fff,stroke:#6c3483 classDef c2 fill:#1a5276,color:#fff,stroke:#154360 classDef exfil fill:#196f3d,color:#fff,stroke:#145a32 class A heartbleed class B cred class C staging class D exec class E c2 class F exfil ``` > [!danger] Violação CHS - 4,5 Milhões de Registros Médicos > A violação da Community Health Systems em 2014 foi um dos maiores roubos de dados médicos da história. O APT18 demonstrou capacidade de explorar Heartbleed em horas após sua divulgação pública, extraindo sessões de autenticação ativas sem deixar rastros de login convencional. O ataque expôs dados de pacientes em 28 estados americanos. ## Arsenal de Malware ### Pisloader (Backdoor DNS) O [[s0124-pisloader|Pisloader]] é a ferramenta mais distintiva do APT18 - usa **DNS como canal C2**: - Encoda dados como subdomínios em queries DNS (ex: `dXNlcg==.c2domain.com`) - Divide dados em múltiplas queries A/TXT para evadir limites de tamanho - Dificílimo de detectar por firewalls que não fazem inspeção profunda de DNS - Comúnicação direcional: exfiltração via queries, comandos via respostas DNS - Adaptação do conceito de DNS tunneling para comunicação C2 bidirecional ### HTTPBrowser (RAT) O [[s0070-httpbrowser|HTTPBrowser]] é um RAT que simula tráfego HTTP legítimo: - User-agents customizados para camuflar comúnicações C2 - Comandos enviados via parâmetros HTTP GET/POST - Respostas codificadas em conteúdo HTML/JSON aparentemente legítimo - Capacidades de shell remoto, upload/download de arquivos ### hcdLoader (Loader) O [[s0071-hcdloader|hcdLoader]] é usado para implantar backdoors em sistemas comprometidos: - Loader de múltiplos estágios com ofuscação de payload - Instala HTTPBrowser ou gh0st RAT dependendo do alvo - Persistência via chaves de registro (T1547.001) ## Adaptação Rápida a Zero-Days ```mermaid graph TB A["Zero-Day Divulgado Heartbleed Abr 2014 Hacking Team Jul 2015"] --> B["Análise Rapida APT18 integra exploit em horas a dias"] B --> C["Deploy Operacional Campanha ativa antes de patches"] C --> D["Coleta de Dados Acesso a sistemas antes de detecção"] D --> E["Persistência Backstep para RAT após patch de CVE"] style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#1a5276,color:#fff style E fill:#196f3d,color:#fff ``` **Histórico de exploração rápida:** - **Heartbleed (CVE-2014-0160):** explorado em escala pela APT18 para violar CHS durante a jánela entre divulgação e aplicação de patches - **Adobe Flash zero-day (CVE-2015-5122):** vazado na violação da Hacking Team em julho 2015; APT18 usou o exploit dentro de dias da divulgação contra alvos de saúde ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Sessões extraídas via Heartbleed sem login convencional | | External Remote Services | [[t1133-external-remote-services\|T1133]] | Acesso via VPN e RDP com credenciais roubadas | | DNS (Application Layer Protocol) | [[t1071-004-dns\|T1071.004]] | Pisloader usa DNS como C2 bidirecional | | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | HTTPBrowser camufla C2 em tráfego HTTP | | Registry Run Keys | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Persistência de backdoors via chaves de registro | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download de RATs em fases pós-acesso | | File Deletion | [[t1070-004-file-deletion\|T1070.004]] | Remoção de artefatos após operações | | System Information Discovery | [[t1082-system-information-discovery\|T1082]] | Perfil do sistema comprometido para priorização | ## Violação Community Health Systems (2014) | Aspecto | Detalhe | |---------|---------| | Data | Abril-junho 2014 | | Vetor | Heartbleed (CVE-2014-0160) em servidor VPN | | Dados roubados | 4.5 milhões de registros de pacientes | | Tipo de dado | Nome, SSN, data de nascimento, endereço | | Estados afetados | 28 estados dos EUA | | Impacto financeiro | US$ 67 milhões em notificações e multas | | Atribuição | Mandiant/FireEye atribui a grupo baseado na China | ## Relevância para o Brasil e LATAM APT18 representa risco para setores brasileiros de **saúde, tecnologia e manufatura**. O padrão de exploração rápida de zero-days públicos (Heartbleed, Flash) é adaptável a qualquer ambiente - organizações que demoram a aplicar patches críticos são alvos potenciais. O foco em ONGs de direitos humanos é especialmente relevante para organizações brasileiras neste setor: jornalistas investigativos, grupos de liberdade de imprensa, e organizações de monitoramento eleitoral devem considerar que atores como APT18 possuem interesse em suas operações. O uso de DNS para C2 ([[s0124-pisloader|Pisloader]]) torna detecção por firewall convencional ineficaz - organizações brasileiras devem implementar DNS filtering e anomaly detection em queries DNS como camada defensiva. > [!warning] Risco para o Setor de Saúde Brasileiro > Operadoras de planos de saúde, hospitais e clínicas que processam dados de pacientes em escala são alvos de perfil similar à CHS. A violação de 2014 demonstra que mesmo organizações com TI robusta são vulneráveis a zero-days de infraestrutura (Heartbleed afetou VPNs da CHS). Auditoria de OpenSSL e VPN é recomendada. ## Referências - [1](https://attack.mitre.org/groups/G0026/) MITRE ATT&CK - APT18 G0026 - [2](https://www.mandiant.com/resources/blog/apt18-exploited-heartbleed-community-health-systems) Mandiant - APT18 Exploited Heartbleed against Community Health Systems (2014) - [3](https://www.secureworks.com/research/threat-group-0416-targets-healthcare-sector) SecureWorks - Threat Group-0416 Targets Healthcare Sector (2016) - [4](https://unit42.paloaltonetworks.com/unit42-wekby-using-dns-requests-c2-communications/) Unit 42 - Wekby Using DNS Requests for C2 Commúnications (2016) - [5](https://www.crowdstrike.com/blog/dynamic-panda-threat-actor-profile/) CrowdStrike - Dynamite Panda Threat Actor Profile - [6](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=APT18&n=1) ETDA Thailand - APT18 Threat Group Card