g0079-darkhydrus - RunkIntel

# DarkHydrus ## Visão Geral **DarkHydrus** (rastreado como **LazyMeerkat** pela Kaspersky e **Obscure Serpens** pela Palo Alto) é um grupo de ameaça com suspeita de origem iraniana, ativo desde pelo menos 2016. O grupo tem como alvos exclusivos **agências governamentais e instituições de ensino no Oriente Médio**, com ênfase em Israel, Arábia Saudita e países do Golfo. DarkHydrus se destaca por sua **filosofia de dependência de ferramentas open-source** (Metasploit, Cobalt Strike, Phishery) combinada com um payload customizado altamente sofisticado: o [[s0270-roguerobin|RogueRobin]], que utiliza **DNS tunneling** para comúnicações C2 e integra **Google Drive como canal C2 alternativo** - técnica inovadora para mascarar tráfego malicioso como tráfego legítimo. **Também conhecido como:** DarkHydrus, LazyMeerkat (Kaspersky), Obscure Serpens (Palo Alto), ATK 77 (Thales), G0079 ## Attack Flow - DNS Tunneling e Google Drive C2 ```mermaid graph TB A["📧 Spear-phishing T1566.001 - Anexo RAR Protegido por senha (123456)"] --> B["📄 Arquivo .IQY T1221 Templaté Injection Excel Web Query malicioso"] B --> C["⬇️ Download Payload T1105 Ingress Transfer RogueRobin via PowerShell"] C --> D["🌐 DNS Tunneling C2 T1071.004 - DNS queries Dados em subdomínios codificados"] D --> E["📁 Google Drive C2 T1568 Dynamic Resolution Modo x_mode alternativo"] E --> F["🔍 Anti-Debug Verifica debugger em queries hex: 676f6f646c75636b = goodluck"] F --> G["📤 Exfiltração Credenciais + dados Alvos governamentais"] classDef phish fill:#c0392b,color:#fff,stroke:#922b21 classDef iqy fill:#e74c3c,color:#fff,stroke:#c0392b classDef payload fill:#e67e22,color:#fff,stroke:#d35400 classDef dns fill:#8e44ad,color:#fff,stroke:#6c3483 classDef drive fill:#1a5276,color:#fff,stroke:#154360 classDef anti fill:#7f8c8d,color:#fff,stroke:#626567 classDef exfil fill:#196f3d,color:#fff,stroke:#145a32 class A phish class B iqy class C payload class D dns class E drive class F anti class G exfil ``` > [!warning] DNS Tunneling + Google Drive C2 > RogueRobin é único ao usar DNS tunneling como canal primário C2 e Google Drive como backup via "x_mode". O tráfego DNS malicioso se camufla como DNS legítimo - difícil de detectar sem inspeção deep de DNS. Qualquer conexão anômala ao Google Drive de sistemas governamentais deve ser investigada. ## RogueRobin - Análise Técnica O [[s0270-roguerobin|RogueRobin]] (PowerShell + .NET) é a ferramenta signature do DarkHydrus: ### Protocolo DNS Tunneling O malware itera por múltiplos tipos de query DNS para identificar qual funciona para C2: | Tipo DNS | Uso | |----------|-----| | A | `Address:\s+(\d+.\d+.\d+.\d+)` | | AAAA | IPv6 addresses | | CNAME, MX, TXT, SRV | `(\d+)-([\\w\\d/=+]{0,})` | | AC (especial) | Modo customizado - request A com subdomain `ac` | Dados são **base64-encoded** e transmitidos como subdomínios nas queries DNS. ### Capacidades Anti-Análise ```mermaid graph TB A["RogueRobin Init"] --> B["Check Debugger A cada query DNS"] B --> C{Debugger Detectado?} C -->|Sim| D["DNS para goodluck hex 676f6f646c75636b Nota ao pesquisador"] C -->|Nao| E["Operação Normal DNS C2 + Google Drive Sandbox evasion"] style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#7f8c8d,color:#fff style D fill:#27ae60,color:#fff style E fill:#8e44ad,color:#fff ``` Se debugger é detectado, o payload resolve para `goodluck.gogle[.]co` (domínio de evasão). O modo Google Drive (`x_mode`) monitora modificações em arquivos carregados para uma conta Drive controlada pelos atacantes. ## Campanhas Documentadas | Data | Campanha | Alvo | Método | |------|----------|------|--------| | Jun 2018 | Credential Harvesting | Instituição de ensino, Oriente Médio | Phishery tool + e-mail "Project Offer" + Word malicioso | | Jul 2018 | Ataque Governamental | Agência governamental, Oriente Médio | Spear-phishing + arquivo .IQY + RogueRobin | | Ján 2019 | Nova Campanha | Alvos políticos do Oriente Médio | Documentos Excel em árabe + macro VBA + x_mode Drive | ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | RAR protegido por senha com .iqy ou Word | | Templaté Injection | [[t1221-template-injection\|T1221]] | Excel Web Query (.iqy) - formato obscuro | | Forced Authentication | [[t1187-forced-authentication\|T1187]] | Harvest de credenciais NTLM | | PowerShell | [[t1059-001-powershell\|T1059.001]] | RogueRobin via script PS | | DNS (Application Layer) | [[t1071-004-dns\|T1071.004]] | DNS tunneling para C2 | | Dynamic Resolution | [[t1568-dynamic-resolution\|T1568]] | Google Drive como C2 alternativo | | Hidden Window | [[t1564-003-hidden-window\|T1564.003]] | Execução oculta de payloads | ## Relevância para o Brasil e LATAM DarkHydrus tem **foco geográfico exclusivo no Oriente Médio** - sem evidência de campanhas em LATAM. A relevância direta ao Brasil é baixa, porém o grupo é pedagogicamente importante por: - **DNS Tunneling como C2**: Técnica crescente que afeta qualquer rede governamental ou corporativa sem inspeção DNS profunda - aplicável ao Brasil - **Abuso de serviços legítimos** (Google Drive): Tendência global que dificulta detecção baseada em reputação de IP/domínio - **Arquivos .IQY**: Formato Excel Web Query raramente monitorado - organizações brasileiras que usam Excel devem considerar restrição de acesso a arquivos .iqy externos > [!info] Lição Defensiva para o Brasil > A técnica de usar Google Drive como canal C2 é replicável por qualquer grupo. Organizações brasileiras devem monitorar e restringir uploads/downloads ao Google Drive em ambientes corporativos sensíveis, especialmente em setores governamentais e militares. ## Referências - [1](https://unit42.paloaltonetworks.com/unit42-new-threat-actor-group-darkhydrus-targets-middle-east-government/) Unit 42 - New Threat Actor Group DarkHydrus Targets Middle East Government (2018) - [2](https://attack.mitre.org/groups/G0079/) MITRE ATT&CK - DarkHydrus G0079 - [3](https://www.bleepingcomputer.com/news/security/darkhydrus-apt-uses-google-drive-to-send-commands-to-roguerobin-trojan/) BleepingComputer - DarkHydrus APT Uses Google Drive for RogueRobin C2 (2019) - [4](https://apt.etda.or.th/cgi-bin/showcard.cgi?u=2849cc26-d6c8-4484-821e-cb0f7006bddc) ETDA Thailand - DarkHydrus Threat Group Card - [5](https://hackread.com/darkhydrus-phishery-tool-malware-google-drive/) HackRead - DarkHydrus Phishery Tool Spreading Malware Using Google Drive (2019)