g0064-apt33 - RunkIntel

# APT33 > [!danger] Ameaça de Alto Impacto - Espionagem + Sabotagem Industrial > APT33 e um dos poucos grupos de ameaça que combina coleta de inteligência estratégica com capacidade destrutiva latente. Acesso a redes de aviacao, energia e defesa pode ser reaproveitado para sabotagem fisica em cenários de tensao geopolitica com o Ira. ## Visão Geral APT33 e um grupo de ameaça iraniano com fortes indicios de operação em nome do IRGC (Corpo da Guarda Revolucionaria Islamica), ativo desde pelo menos 2013. Rastreado por diferentes nomes nos fornecedores de segurança - **Elfin** (Symantec), **Refined Kitten** (CrowdStrike), **MAGNALLIUM** (Dragos), **Peach Sandstorm / HOLMIUM** (Microsoft) - o grupo representa uma das mais sofisticadas operações de espionagem industrial da esfera iraniana. **Dupla missao estratégica:** O grupo opera com dois objetivos complementares: (1) espionagem industrial para apoiar os programas aeroespacial, de defesa e petrolifero do Ira e (2) capacidade destrutiva pre-posicionada para sabotagem quando as condicoes geopoliticas exigirem. O dropper DROPSHOT pode entregar tanto o backdoor TURNEDUP (espionagem) quanto o wiper SHAPESHIFT (destruicao) - o mesmo acesso serve a dois propositos. **Evolução tática 2023-2026:** O grupo migrou de spear-phishing tradicional para um modelo "Cloud-First" - grandes campanhas de password spraying contra Microsoft 365/Azure AD, uso de infraestrutura Azure comprometida como C2 (incluindo subscricoes Azure for Students capturadas de universidades), e ferramentas RMM legiitimas (AnyDesk) para persistência. Em 2024, deployou o backdoor Tickler após comprometer contas educacionais para montar infraestrutura C2 no Azure. ## Campanhas Notaveis | Período | Campanha | Setores | Método | |---------|----------|---------|--------| | 2016-2017 | Ataques petroliferos Saudi | Petroquimica Saudita | Phishing recrutamento | | 2018 | Campanha Aeroespacial | Aviacao/Defesa EUA | Lures Boeing/Northrop Grumman | | 2019-2020 | Espionagem Academica | Universidades | Spear-phishing | | 2023-2024 | Cloud Campaign | Defesa/Espaco | Password spray + FalseFont | | 2024 | Tickler Campaign | Governo/Defesa/Satelite EUA/UAE | Azure C2 + Tickler | | 2025 | OT/ICS Pre-positioning | Energia/Infraestrutura | Cloud-to-OT pivot | ## Arsenal ```mermaid graph TB A["Phishing/Recrutamento Lures Boeing, Airbus HTA files / Docs maliciosos"] --> B["Password Spraying M365 / Azure AD T1110.003 - go-http-client"] B --> C["Comprometimento Cloud Azure for Students C2 infraestrutura legal"] C --> D["TURNEDUP / FalseFont Backdoor customizado Persistência longa"] D --> E["AD Snapshot AD Explorer Sysinternals Mapeamento de rede"] E --> F["Exfiltração / Sabotagem POWERTON ou SHAPESHIFT Espionagem ou destruicao"] classDef initial fill:#c0392b,color:#fff,stroke:#922b21 classDef spray fill:#e67e22,color:#fff,stroke:#d35400 classDef cloud fill:#2980b9,color:#fff,stroke:#1a5276 classDef persist fill:#8e44ad,color:#fff,stroke:#6c3483 classDef recon fill:#27ae60,color:#fff,stroke:#1e8449 classDef impact fill:#2c3e50,color:#fff,stroke:#1a252f class A initial class B spray class C cloud class D persist class E recon class F impact ``` ## Timeline de Atividade ```mermaid timeline title APT33 - Linha do Tempo de Operacoes 2013 : Primeiras operacoes documentadas : Foco em Arabi Saudita e EUA 2016 : Ataques petroliferos Saudi Arabia : Links com Shamoon wiper 2017 : Divulgacao publica FireEye : Campanha aeroespacial EUA 2018 : Espionagem contratores defesa : Lures de recrutamento Boeing 2021 : Campanhas academicas globais : Roubo dados aeroespacial 2023 : Mudanca para password spray : FalseFont contra DIB global 2024 : Tickler via Azure C2 : Satelites, governo EUA e UAE 2025 : Foco crescente OT e ICS : Pre-posicionamento energetico ``` ## Técnicas Utilizadas - [[t1110-003-password-spraying|T1110.003 - Password Spraying]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1078-004-cloud-accounts|T1078.004 - Cloud Accounts]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1021-002-smbwindows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] - [[t1552-001-credentials-in-files|T1552.001 - Credentials In Files]] - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - [[t1003-005-cached-domain-credentials|T1003.005 - Cached Domain Credentials]] - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1040-network-sniffing|T1040 - Network Sniffing]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1546-003-windows-management-instrumentation-event-subscription|T1546.003 - WMI Event Subscription]] ## Software Utilizado - [[s0199-turnedup|TURNEDUP]] - Backdoor customizado de longa data - [[s0371-powerton|POWERTON]] - Backdoor PowerShell modular para acesso remoto persistente - [[falsefont|FalseFont]] - Backdoor customizado contra DIB (2023) - [[tickler|Tickler]] - Malware multipalco usado em campanha 2024 contra satelites e governo - [[shapeshift|SHAPESHIFT]] - Wiper destrutivo com injecao em memoria (capacidade latente) - [[dropshot|DROPSHOT]] - Dropper que entrega TURNEDUP ou SHAPESHIFT - [[s0380-stonedrill|StoneDrill]] - Wiper ligado a ataques Saudi Arabia - [[mimikatz|Mimikatz]] - Coleta de credenciais - [[s0194-powersploit|PowerSploit]] - Post-exploitation framework - [[s0336-nanocore|NanoCore]] - RAT comercial ## Relacao com Outros Grupos Iranianos APT33 representa o "especialista aeroespacial e energetico" no ecossistema ciber iraniano. Diferencia-se de: - **[[g0049-oilrig|APT34]] / OilRig**: MOIS-linked, foco governo e telecomúnicacoes do Oriente Medio - **[[g0059-magic-hound|APT35]] / Charming Kitten**: IRGC, foco jornalistas, academicos, dissidentes - **[[g0117-fox-kitten|Fox Kitten]]**: IRGC, acesso inicial broker + ransomware - **[[g1030-agrius|Agrius]]**: MOIS, operações destrutivas Israel/Oriente Medio ## Relevância para o Brasil e LATAM APT33 representa risco tangivel para setores estratégicos brasileiros alinhados ao perfil de victimologia do grupo. Os setores de **aviacao civil** (Embraer, ANAC, TAM/LATAM), **petrolifero** (Petrobras, fornecedores pre-sal) e **defesa** (Ministerio da Defesa, fornecedores FAB) sao alvos potenciais compativeis com os interesses estratégicos iranianos. A evolução para **password spraying em larga escala** contra Microsoft 365 torna qualquer organização brasileira com infraestrutura Azure um alvo plausivel independente de sector. A campanha Tickler de 2024 demonstrou que o grupo escala ataques para novos alvos geograficos após comprometer infraestrutura cloud educacional. O cenário mais preocupante: APT33 com acesso pre-posicionado em redes energeticas brasileiras poderia reorientar operações de espionagem para sabotagem durante uma crise diplomatica envolvendo o Ira. > **Recomendação operacional:** Monitorar tentativas de password spray com user-agent "go-http-client" contra portais Azure AD/M365. Implementar MFA resistente a phishing em contas privilegiadas. Auditar subscricoes Azure em busca de tenants nao autorizados. ## Detecção e Defesa **Indicadores comportamentais chave:** - Password spray com "go-http-client" contra Azure AD (T1110.003) - Criação de subscricoes Azure for Students após comprometimento de contas universitarias - Uso de AnyDesk para persistência após acesso inicial via cloud - AD Explorer executado em segmentos corporativos (snapshot do Active Directory) - Exfiltração via servicos legitimos de nuvem (T1567) **Mitigacoes prioritarias:** - [[m1036-account-use-policies|M1036 - Account Use Policies]] - MFA resistente a phishing em M365 - [[m1032-multi-factor-authentication|M1032 - Multi-Factor Authentication]] - Especialmente contas cloud - [[m1017-user-training|M1017 - User Training]] - Phishing awareness com foco em recrutamento falso - [[m1031-network-intrusion-prevention|M1031 - Network Intrusion Prevention]] - Detecção de password spray ## Referências - [1](https://attack.mitre.org/groups/G0064/) MITRE ATT&CK - G0064 APT33 (2024) - [2](https://brandefense.io/blog/apt33-2025-threat-forecast-and-analysis/) Brandefense - APT33 2025 Threat Forecast (2025) - [3](https://www.picussecurity.com/resource/iranian-threat-actors-what-defenders-need-to-know) Picus Security - Iranian Threat Actors (2026) - [4](https://www.anvilogic.com/threat-reports/apt33-attacks-and-azure) Anvilogic - APT33 Azure C2 Campaign (2024) - [5](https://www.hedgehogsecurity.co.uk/blog/apt33-the-aerospace-stalker) Hedgehog Security - APT33 Aerospace Stalker Profile (2024) - [6](https://www.microsoft.com/en-us/security/blog/) Microsoft Security Blog - Peach Sandstorm Tickler Campaign (2024)