g0073-apt19 - RunkIntel

# APT19 > [!warning] APT Chinês - Espionagem em Escritórios de Advocacia e Setor Financeiro > O APT19 (também rastreado como Codoso/C0d0so0) é um grupo de espionagem chinês especializado em comprometer **escritórios de advocacia, empresas de investimento e fornecedores de defesa**. A campanha mais documentada, de 2017, usou documentos RTF com CVE-2017-0199 para atingir sete escritórios de advocacia e duas empresas de investimento — visando propriedade intelectual de clientes corporativos. ## Visão Geral O **APT19** (G0073) é um grupo de ciberespionagem chinês ativo desde pelo menos 2014, rastreado pela FireEye/Mandiant sob o nome APT19 e por outros pesquisadores como Codoso, C0d0so0, Codoso Team e Sunshop Group. Há debate na comunidade CTI sobre se o APT19 e o **Deep Panda** referem-se ao mesmo conjunto de atores — algumas fontes tratam como grupos distintos com possíveis sobreposições operacionais, enquanto outras consolidam sob um único rastreamento. O grupo tem um perfil de alvo amplo mas com foco particular em **setores de alta propriedade intelectual**: escritórios de advocacia que representam grandes corporações, empresas de investimento com acesso a informações financeiras privilegiadas, e fornecedores da base industrial de defesa. A lógica é clara: comprometer o advogado ou consultor de uma grande empresa pode ser mais fácil e igualmente lucrativo do que atacar a empresa diretamente. Em 2014, o APT19 ganhou notoriedade ao comprometer o site **Forbes.com** como watering hole — visitantes da seção de tecnologia e defesa foram redirecionados para exploits de browser zero-day. Essa campanha demonstrou capacidade técnica sofisticada: o grupo havia identificado que profissionais do setor de defesa e finanças liam o Forbes regularmente. Em 2017, uma campanha bem documentada usou a vulnerabilidade **CVE-2017-0199** (execução de código remoto via OLE em documentos RTF/Word) para atingir sete escritórios de advocacia e duas empresas de investimento. Os documentos de phishing tinham temas financeiros e jurídicos convincentes. Após o acesso inicial, o grupo usou [[s0154-cobalt-strike|Cobalt Strike]] e [[s0363-empire|Empire]] como frameworks C2 — ferramentas populares entre grupos chineses avançados. Técnicamente, o APT19 demonstra uso pesado de evasão via Regsvr32 ("squiblydoo"), janelas PowerShell ocultas e DLL sideloading para evitar detecção por AV convencional. ## Attack Flow - Espionagem em Setor Jurídico-Financeiro ```mermaid graph TB A["Watering Hole ou Phishing T1189 Forbes.com 2014 T1566.001 RTF CVE-2017-0199"] --> B["Execução Payload T1218.010 Regsvr32 squiblydoo T1218.011 Rundll32 bypass"] B --> C["PowerShell Oculto T1059.001 Script execution T1564.003 Hidden window"] C --> D["Persistência T1547.001 Registry Run Keys T1543.003 Windows Service"] D --> E["Reconhecimento T1016 Network config T1033 System owner discovery"] E --> F["C2 Cobalt Strike Empire T1071.001 HTTP/HTTPS Beacon para operador"] F --> G["Exfiltração PI Dados jurídicos financeiros Segredos comerciais"] style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#1a5276,color:#fff style E fill:#2980b9,color:#fff style F fill:#16a085,color:#fff style G fill:#196f3d,color:#fff ``` ## Arsenal Técnico | Ferramenta | Tipo | Função | |-----------|------|--------| | [[s0154-cobalt-strike\|Cobalt Strike]] | Framework C2 comercial | Beacon, lateral movement, credential theft — principal C2 pós-exploração | | [[s0363-empire\|Empire]] | Framework C2 open source | PowerShell-based post-exploitation framework | | CVE-2017-0199 | Exploit | RCE via OLE em RTF/Word — vetor inicial da campanha 2017 | | Regsvr32 (squiblydoo) | LOLBin | Execução de scripts COM via Regsvr32 bypassa application whitelisting | | Rundll32 | LOLBin | Carregamento de DLLs maliciosas via binário legítimo Windows | | PowerShell oculto | Técnica evasão | `powershell -WindowStyle Hidden` para execução sem janela visível | ## Técnica Squiblydoo - Bypass por Regsvr32 ```mermaid graph TB A["Documento malicioso RTF com CVE-2017-0199 Baixa script SCT"] --> B["Regsvr32 /s /n /u /i:URL scrobj.dll Executa COM scriptlet remoto Bypassa application whitelisting"] B --> C["Script SCT executa PowerShell oculto Hidden Window sem rastro visual"] C --> D["Cobalt Strike beacon Conecta ao C2 Perfil legítimo HTTP disfarçado"] D --> E["Persistência via registry T1547.001 Run Key ou serviço Windows"] style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#196f3d,color:#fff ``` > [!info] Squiblydoo - Bypass Clássico > A técnica squiblydoo usa o binário legítimo `regsvr32.exe` para executar código remoto sem criar arquivos no disco. Como o Regsvr32 é um binário confiável do Windows, muitas soluções de application whitelisting (como AppLocker em modo padrão) permitem sua execução, mesmo que o payload remoto seja malicioso. ## Campanhas Documentadas | Data | Alvo | Técnica | Destaque | |------|------|---------|----------| | 2014 | Forbes.com visitantes | Drive-by compromise | Watering hole com zero-day de browser | | 2014-2015 | Fornecedores defesa EUA | Spearphishing | Múltiplas empresas do setor de defesa | | 2017 | 7 escritórios advocacia + 2 inv. | CVE-2017-0199 RTF | Campanha mais documentada — alta cobertura de imprensa | ## Timeline ```mermaid timeline title APT19 - Cronologia 2014 : Forbes.com watering hole : Drive-by com zero-day browser - alvos defesa e finanças 2014-2016 : Espionagem contínua : Defesa tecnologia farmacêutica educação 2017-03 : CVE-2017-0199 documentado : Microsoft corrige OLE RCE em RTF 2017 : Campanha escritórios advocacia : 7 law firms + 2 investment firms - FireEye documenta 2017+ : Último rastreamento público : Possível merge com Deep Panda ou mudança de TTP ``` ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | Drive-by Compromise | [[t1189-drive-by-compromise\|T1189]] | Forbes.com como watering hole com browser exploit | | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos RTF com CVE-2017-0199 | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Execução de scripts pós-exploração | | Hidden Window | [[t1564-003-hidden-window\|T1564.003]] | PowerShell `-WindowStyle Hidden` para evasão visual | | Regsvr32 | [[t1218-010-regsvr32\|T1218.010]] | Squiblydoo bypass de application whitelisting | | Rundll32 | [[t1218-011-rundll32\|T1218.011]] | Carregamento de DLL maliciosa | | Registry Run Keys | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Persistência via HKCU/HKLM Run keys | | Windows Service | [[t1543-003-windows-service\|T1543.003]] | Persistência via serviço Windows | | DLL Hijacking | [[t1574-001-dll\|T1574.001]] | DLL sideloading em processos legítimos | | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | Cobalt Strike beacon via HTTP/HTTPS | ## Relevância para o Brasil e LATAM > [!latam] Risco para Escritórios de Advocacia e Setor Financeiro Brasileiro > O APT19 demonstrou interesse explícito em **escritórios de advocacia** e **empresas de investimento** — exatamente os tipos de organização que o Brasil tem em abundância para servir seu mercado financeiro sofisticado. Escritórios que representam clientes estrangeiros, fusões e aquisições, propriedade intelectual e contratos governamentais são alvos de perfil idêntico ao da campanha de 2017. Aspectos de risco para o Brasil: - **Grandes escritórios de advocacia**: Pinheiro Neto, Mattos Filho, Machado Meyer, Barbosa Müssnich são equivalentes exatos dos alvos americanos do APT19 — representam clientes com segredos comerciais de alto valor - **Assets managers e fundos**: BTG Pactual, XP Investimentos, Itaú Asset — mesmo perfil das "investment firms" alvejadas - **CVE-2017-0199**: Documentos RTF com esse exploit ainda funcionam em ambientes sem patches atualizados — comum em escritórios menores - **Cobalt Strike como C2**: A detecção de Cobalt Strike em escritórios de advocacia brasileiros seria difícil sem EDR comportamental avançado - **Conexão com Deep Panda**: A ambiguidade APT19/Deep Panda aumenta o risco de subestimar a sofisticação — pode ser um grupo com recursos significativos ## Detecção e Defesa | Indicador | Técnica de Detecção | |-----------|---------------------| | Regsvr32 baixando e executando script SCT remoto | EDR: regra para regsvr32.exe com argumento `/i:http` | | PowerShell com `-WindowStyle Hidden` ou `-W Hidden` | SIEM: alertas para PowerShell com parâmetros de ocultação | | WINWORD.EXE ou EXCEL.EXE spawning Regsvr32/Rundll32 | EDR: alertas para processos Office lançando binários de sistema | | Cobalt Strike beacon: User-Agent ou perfil de C2 malleável | NDR: assinaturas de C2 Cobalt Strike em HTTP(S) | | DLL carregada de diretório incomum por processo legítimo | EDR: alertas para DLL não assinada em path incomum | ## Referências - [1](https://attack.mitre.org/groups/G0073/) MITRE ATT&CK - APT19 G0073 - [2](https://www.fireeye.com/blog/threat-research/2017/06/phished-at-the-request-of-counsel.html) FireEye - Phished at the Request of Counsel: APT19 Targets Law Firms (2017) - [3](https://www.secureworks.com/research/threat-profiles/bronze-firestone) SecureWorks - Bronze Firestone (APT19) Threat Profile - [4](https://unit42.paloaltonetworks.com/new-attacks-linked-to-c0d0so0-group/) Unit 42 - New Attacks Linked to C0d0so0 Group (2014) - [5](https://malpedia.caad.fkie.fraunhofer.de/actor/apt19) Malpedia - APT19 Actor Profile **Grupos relacionados:** [[g0009-deep-panda|Deep Panda]] (possível sobreposição) · [[g0045-apt10|APT10]] · [[g0096-apt41|APT41]] (outros APTs chineses com foco em espionagem industrial) **Ferramentas:** [[s0154-cobalt-strike|Cobalt Strike]] · [[s0363-empire|Empire]] **Setores alvejados:** [[legal|Jurídico]] · [[financial|Financeiro]] · [[defense|Defesa]] · [[technology|Tecnologia]]