g0084-gallmaker - RunkIntel

# Gallmaker > [!warning] Espionagem sem Malware - 100% Living off the Land > O Gallmaker é um grupo de ciberespionagem notável por operar **exclusivamente** com ferramentas legítimas do sistema e softwares públicos — sem utilizar nenhum malware personalizado. Essa abordagem de Living off the Land (LotL) torna a detecção extremamente difícil, pois as atividades maliciosas se disfarçam como operações legítimas de TI. ## Visão Geral O **Gallmaker** é um grupo de ciberespionagem descoberto pela Symantec em outubro de 2018, ativo desde pelo menos dezembro de 2017 com pico de atividade em abril de 2018. O grupo se destaca por uma característica incomum no cenário de ameaças: a **ausência total de malware personalizado** em suas operações. Em vez de desenvolver ferramentas próprias, o Gallmaker utiliza exclusivamente táticas Living off the Land (LotL) e softwares públicamente disponíveis — como o framework Metasploit, o agendador de tarefas PowerShell WindowsRoamingToolsTask, WinZip console e a biblioteca Rex PowerShell. Essa filosofia operacional, denominada "fileless attack", permite que o grupo execute comandos diretamente na memória do alvo sem deixar artefatos no disco, tornando a detecção forense extremamente desafiadora. O grupo tem como alvo exclusivo setores de **defesa, militar e governo**, com vítimas identificadas em embaixadas de um país do Leste Europeu (não nomeado) localizadas em diferentes regiões do mundo, além de um contratante de defesa e uma organização militar no Oriente Médio. A Symantec acredita que o Gallmaker é provavelmente patrocinado por um Estado, dado o perfil altamente seletivo dos alvos e a sofisticação da abordagem. O vetor de acesso inicial é spear-phishing com documentos Office maliciosos que exploram o protocolo **Dynamic Data Exchange (DDE)** — uma abordagem que evita macros tradicionais e foi amplamente eficaz contra organizações que não aplicaram o patch da Microsoft (dezembro de 2017) que desabilitou DDE por padrão. ## Attack Flow - LotL sem Malware ```mermaid graph TB A["Spear-phishing T1566.001 Documento Office Tema diplomatico/militar"] --> B["Exploit DDE T1559.002 Dynamic Data Exchange Execução em memoria sem macro"] B --> C["WindowsRoamingToolsTask Agendador PowerShell Persistência via tarefa agendada"] C --> D["Metasploit reverse_tcp Shell reverso Controle remoto do sistema"] D --> E["Rex PowerShell Scripts Metasploit Reconhecimento e coleta"] E --> F["WinZip Console T1560.001 Archive Compressao e exfiltração"] style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#1a5276,color:#fff style E fill:#2980b9,color:#fff style F fill:#196f3d,color:#fff ``` ## Como o DDE é Explorado ```mermaid graph TB A["Documento Office malicioso enviado por e-mail"] --> B{Vitima abre o documento} B --> C["Dialogo: 'Enable Content' aparece para o usuario"] C --> D{Usuario clica 'Yes'?} D -->|Sim| E["DDE executa comandos remotamente em MEMORIA Sem artefatos em disco"] D -->|Nao| F["Ataque fracassa Sem execução"] E --> G["PowerShell baixa payload Metasploit estabelece C2 Operação inicia"] style A fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style E fill:#8e44ad,color:#fff style G fill:#196f3d,color:#fff style F fill:#7f8c8d,color:#fff ``` > [!info] Por que DDE era eficaz em 2017-2018? > A Microsoft desabilitou DDE por padrão em Word e Excel em dezembro de 2017. As vítimas do Gallmaker não haviam aplicado essa atualização. O Gallmaker adaptou seus lures para incluir avisos pedindo ao usuário para "habilitar conteúdo" - técnica de engenharia social que aumenta a taxa de sucesso independente da sofisticação técnica. ## Arsenal Técnico - Ferramentas Públicas | Ferramenta | Tipo | Função no Ataque | |-----------|------|-----------------| | Metasploit reverse_tcp | Framework público | Shell reverso para controle remoto C2 | | WindowsRoamingToolsTask | Agendador Windows | Persistência via tarefas agendadas PowerShell | | Rex PowerShell | Biblioteca pública | Criação de scripts PowerShell para Metasploit | | WinZip Console | Utilitário legítimo | Arquivamento de dados coletados para exfiltração | | DDE Protocol (Office) | Funcionalidade Office | Execução de comandos sem macro via Word/Excel | **Nota:** O Gallmaker é rastreado sem uso de malware - todas as ferramentas são legítimas ou de código aberto. ## Campanhas Documentadas | Data | Alvo | Método | Característica | |------|------|--------|----------------| | Dez 2017 | Embaixadas Leste Europeu | DDE + Metasploit | Primeira campanha documentada | | Jan-Mar 2018 | Organizações militares Oriente Médio | Spear-phishing temático | Filenames em inglês e cirílico | | Abr 2018 | Pico de atividade | DDE + PowerShell | Spike notável em comprometimentos | | Jun 2018 | Última atividade documentada | WinZip exfiltração | Última observação pela Symantec | ## Timeline ```mermaid timeline title Gallmaker - Cronologia 2017-12 : Primeiros ataques documentados : Embaixadas Leste Europeu 2018-01/03 : Expansao para Oriente Medio : Organizacoes militares e defesa 2018-04 : Pico de atividade : Aumento significativo de comprometimentos 2018-06 : Ultima atividade observada : Simantec detecta e reporta 2018-10 : Symantec publica descoberta : Gallmaker torna-se publico ``` ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Office com temas diplomáticos/militares | | Dynamic Data Exchange | [[t1559-002-dynamic-data-exchange\|T1559.002]] | Execução de comandos em memória sem macros | | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | Lure docs pedindo "enable content" | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Scripts via WindowsRoamingToolsTask | | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Payload ofuscado para evasão | | Archive via Utility | [[t1560-001-archive-via-utility\|T1560.001]] | WinZip para arquivamento antes da exfiltração | ## Relevância para o Brasil e LATAM > [!info] Risco para Defesa e Diplomacia LATAM > Gallmaker tem foco exclusivo em defesa, militar e diplomacia - setores relevantes para o Brasil e países como Chile, Colômbia, Argentina, Peru e México. O modelo de ataque via DDE (sem macro) é facilmente replicável e eficaz contra organizações que não aplicam patches regularmente. O Gallmaker é pedagogicamente importante para o Brasil por: - **Ministérios da Defesa e Relações Exteriores**: Perfil de alvo idêntico ao do Itamaraty e Ministério da Defesa - documentos Office temáticos de inteligência/diplomacia são isca eficaz - **Embaixadas brasileiras**: Embaixadas em regiões de interesse geopolítico são alvos clássicos deste modelo - **Indústria de defesa**: Contratantes como AVIBRAS, Embraer Defesa e Taurus são equivalentes dos alvos do Gallmaker no Oriente Médio - **LotL como tendência crescente**: O modelo sem malware torna detecção por antivírus ineficaz - EDR comportamental é a única defesa Contramedidas prioritárias: - Desabilitar DDE em Word e Excel via GPO (já disponível desde dezembro 2017) - Implementar Macro Trust Settings e Application Whitelisting - Monitorar WindowsRoamingToolsTask e tarefas agendadas incomuns - Bloquear PowerShell não assinado via Constrained Language Mode ## Detecção | Indicador | Método de Detecção | |-----------|-------------------| | PowerShell via WINWORD.EXE ou EXCEL.EXE | EDR: alertas para processos Office spawning PowerShell | | WindowsRoamingToolsTask criado por processo Office | SIEM: alertas para tarefas agendadas criadas via DDE | | reverse_tcp Metasploit payload em memória | EDR: detecção de shellcode injetado em memória | | WinZip CLI executando com listas de arquivos | Monitorar WinZip.exe com parâmetros de linha de comando | | Tráfego C2 para IPs desconhecidos via PowerShell | NDR: análise de conexões de saída de processos PowerShell | ## Referências - [1](https://www.security.com/threat-intelligence/gallmaker-attack-group) Symantec - Gallmaker: New Attack Group Eschews Malware to Live off the Land (2018) - [2](https://attack.mitre.org/groups/G0084/) MITRE ATT&CK - Gallmaker G0084 - [3](https://securityaffairs.com/77041/apt/gallmaker-apt-emerges.html) Security Affairs - Gallmaker APT group eschews malware in cyber espionage campaigns (2018) - [4](https://www.securityweek.com/cyberspy-group-gallmaker-targets-military-government-organizations/) SecurityWeek - Cyberspy Group Gallmaker Targets Military Organizations (2018) - [5](https://securityintelligence.com/news/new-gallmaker-attack-group-using-living-off-the-land-tactics-in-espionage-campaign/) IBM Security Intelligence - Gallmaker Using Living-off-the-Land Tactics (2018) **Grupos relacionados:** [[g0007-apt28|APT28]] · [[g0010-turla|Turla]] (outros grupos com foco em embaixadas e diplomacia) **Técnica chave:** [[t1559-002-dynamic-data-exchange|DDE Exploitation]] · [[t1027-obfuscated-files-or-information|Living off the Land]] **Setores alvejados:** [[government|Governo]] · [[military|Militar]] · [[defense|Defesa]] · [[diplomatic|Diplomacia]]