g0087-apt39 - RunkIntel

# APT39 > [!info] Perfil do Grupo > **APT39** (Chafer / Remix Kitten) é uma unidade de espionagem cibernetica do **Ministério de Inteligência e Segurança do Irã (MOIS)**, operando através da empresa de fachada **Rana Intelligence Computing** - cujos 45 funcionarios individuais foram sancionados pelo U.S. Treasury em 2020. Especializado na coleta de **PII (dados pessoais identificaveis) de passageiros, reservas de hotel e comúnicações de telecomúnicações**, o grupo comprometeu sistemas de reserva de pelo menos 30 países. O objetivo é monitorar movimentos de dissidentes iranianos, jornalistas e opositores do regime. ## Visão Geral **APT39** opera como um braço de inteligência humana auxiliada por ciberespionagem. Diferente de grupos que buscam propriedade intelectual ou dinheiro, o APT39 coleta dados de **onde pessoas estão, com quem se comúnicam e como viajam** - clássica coleta SIGINT/HUMINT para o MOIS iraniano. **Visão geral:** - Origem: **Irã - MOIS** (Ministério de Inteligência e Segurança), via Rana Intelligence Computing - Ativo desde: **2014** com primeiros ataques contra operadores de telecomúnicações - Motivação: **vigilância de dissidentes e oponentes do regime** via coleta de PII e dados de comúnicações - Foco setorial: telecomúnicações, sistemas de reserva (companhias aereas, hoteis), governo - **45 funcionarios da Rana Intelligence Computing sancionados** pelo U.S. Treasury em setembro de 2020 - Confirmado em alvos de **30+ países** em todos os continentes **Especialidade única:** o APT39 tem acesso confirmado a **sistemas de reserva de companhias aereas e hoteis**, permitindo ao MOIS rastrear os movimentos reais de alvos sem acesso direto a passaporte ou documento de viagem. Reservas de hotel de dissidentes iranianos em países como Turquia, Emirados Arabes e Alemanha foram alvos confirmados. ## Campanhas Documentadas ### Operação de Espionagem de Telecomúnicações - 2014 a 2021 Campanha de longa duração comprometendo operadores de telecomúnicações no Oriente Médio, Africa e Europa. Objetivo: acesso a registros de chamadas, metadados de SMS e dados de assinantes para identificação e localização de alvos de interesse do MOIS. **Método:** 1. Spearphishing contra funcionarios de TI de operadoras 2. Instalação de webshell ASPXSpy em servidores Exchange comprometidos 3. Uso de CrackMapExec para movimentação lateral na rede corporativa 4. Acesso a bases de dados de assinantes e registros de chamadas 5. Exfiltração via canal C2 cifrado ### Comprometimento de Sistemas de Reserva - 2018 a 2020 Acesso a plataformas de reserva de pelo menos **15 companhias aereas** e cadeias de hoteis em países onde o MOIS monitora dissidentes. Dados de reservas (nomes, passaportes, destinos, horarios) eram exfiltrados continuamente. ### Campanha 2020 - Expansão Pos-Sancões Após as sancões do U.S. Treasury em setembro de 2020 (que incluíam divulgação de 1.200+ dominios usados como infra C2), o grupo reconsolidou infraestrutura e retomou operações com novo arsenal incluindo **MechaFlounder** e versões atualizadas do Remexi. ## Arsenal | Ferramenta | Tipo | Função | |-----------|------|--------| | [[s0459-mechaflounder\|MechaFlounder]] | Backdoor Python | Implante C2 de fase secundaria com capacidades de shell reverso | | [[s0375-remexi\|Remexi]] | Keylogger/RAT | Captura de teclas, screenshots e dados de clipboard; exfiltração | | [[s0454-cadelspy\|Cadelspy]] | Spyware | Monitoramento de sessão: capturas de tela, áudio e comúnicações | | [[s0073-aspxspy\|ASPXSpy]] | Webshell | Acesso persistente via web shell em servidores IIS/Exchange | | [[s0488-crackmapexec\|CrackMapExec]] | Framework ofensivo | Movimentação lateral em redes Windows corporativas | | [[mimikatz\|Mimikatz]] | Credential Dumping | Extração de credenciais de memória para acesso adicional | | [[psexec\|PsExec]] | Lateral Movement | Execução remota em sistemas comprometidos | | [[s0590-nbtscan\|NBTscan]] | Reconhecimento | Varredura de rede NetBIOS para mapeamento interno | | [[s0006-pwdump\|pwdump]] | Credential Dumping | Extração de hashes de senha do SAM do Windows | ## Attack Flow - Espionagem de Telecomúnicações ```mermaid graph TB A["🎯 Alvo: Operadora Telecomúnicações ou Sistema de Reservas"] --> B["🎣 Spearphishing Funcionário TI da operadora T1566 Phishing"] B --> C["🐚 Webshell ASPXSpy Servidor Exchange comprometido T1505.003"] C --> D["🔑 Coleta de Credenciais Mimikatz / pwdump T1003 Credential Dumping"] D --> E["🚀 Movimento Lateral CrackMapExec / RDP T1021.001 - PsExec"] E --> F["📊 Acesso ao Banco de Dados Registros de assinantes Reservas de viagem"] F --> G["📤 Exfiltração Via C2 cifrado T1041 Exfiltration"] ``` ## Timeline do Grupo ```mermaid timeline title APT39 - Linha do Tempo 2014 : Primeiras operações contra telecomúnicações : Foco inicial no Oriente Médio 2016 : Expansão para sistemas de reservas : Companhias aéreas e hotéis comprometidos 2018 : 30+ países afetados confirmados : Relatório Mandiant expõe infraestrutura 2020 : U.S. Treasury sanciona 45 membros da Rana : 1.200+ domínios C2 divulgados publicamente 2021 : Reconsolidação pós-sanções : Novos implantes MechaFlounder 2023 : Atividade reduzida mas continuada : Monitoramento pela FireEye/Mandiant 2026 : Operações pontuais confirmadas ``` ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Initial Access | Phishing | [[t1566-001-spearphishing-attachment\|T1566.001]] | Spearphishing contra funcionários de TI de telecomúnicações | | Persistence | Registry Run Keys | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Persistência via chaves de registro Run para Remexi | | Persistence | AppInit DLLs | [[t1546-010-appinit-dlls\|T1546.010]] | Persistência via AppInit DLLs para carregamento de implante | | Credential Access | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Remexi captura keystrokes de operadores de telecomúnicações | | Credential Access | OS Credential Dumping | [[t1003-os-credential-dumping\|T1003]] | Mimikatz e pwdump para extração de hashes e credenciais | | Lateral Movement | Remote Desktop Protocol | [[t1021-001-remote-desktop-protocol\|T1021.001]] | Movimento lateral em redes corporativas via RDP | | Discovery | Network Service Discovery | [[t1046-network-service-discovery\|T1046]] | NBTscan para mapeamento de serviços internos | | Exfiltration | Exfiltration Over C2 | [[t1041-exfiltration-c2\|T1041]] | Dados exfiltrados via canal C2 cifrado | ## Relevância para o Brasil e LATAM > [!warning] Risco para Telecomúnicações e Turismo do Brasil > O APT39 comprometeu operadoras de telecomúnicações e sistemas de reserva em mais de 30 países. O Brasil, com sua industria de turismo significativa (5° maior receptor de turistas da América Latina) e operadoras de telecomúnicações integradas a redes globais (Vivo/Telefonica, Claro/América Movil, TIM/Telecom Italia), apresenta perfil de alvo compatível com o modus operandi historico do grupo. **Vetores de risco para o Brasil:** - **Operadoras de telecomúnicações nacionais**: Vivo, Claro e TIM integram sistemas internacionais de roaming que o APT39 historicamente explora para coletar metadados de comunicação de alvos de interesse do MOIS - **Sistemas de reserva em agencias de viagem**: plataformas GDS (Amadeus, Sabre) usadas por agencias brasileiras já foram comprometidas em campanhas anteriores - **Dissidentes e jornalistas iranianos no Brasil**: o APT39 monitora dissidentes globalmente; a comunidade iraniana no Brasil pode ser alvo de vigilância via comprometimento de serviços locais - **Universidades com programas de estudos do Oriente Medio**: possível ponto de reconhecimento para identificar pesquisadores de interesse **Indicadores comportamentais:** - Webshells ASPXSpy em servidores Exchange/IIS acessados de IPs externos incomuns - Processos PowerShell executando scripts Base64 em servidores de telecomúnicações - Acesso incomum a tabelas de banco de dados de assinantes ou reservas fora do horario comercial - Instalação de serviços Windows novos em servidores criticos de telecomúnicações ## Detecção **Regras de detecção:** - Presença de `aspxspy.aspx` ou webshells similares em diretorios web de Exchange/IIS - Execução de `crackmapexec` ou ferramentas SMB offensive em contexto de servidor - Processos de clipboard capture (`T1115`) ativos em maquinas de operadores de telecomúnicações - Conexões de saída de servidores para IPs categorizados como infra APT39 (OFAC Rana list) - Modificação de `AppInit_DLLs` no registro por processos não autorizados ## Referências - [1](https://www.mandiant.com/resources/apt39-iranian-cyber-espionage-group-focused-on-personal-information) Mandiant - APT39: Iranian Cyber Espionage Group (2019) - [2](https://attack.mitre.org/groups/G0087) MITRE ATT&CK - APT39 (G0087) - [3](https://home.treasury.gov/news/press-releases/sm1127) U.S. Treasury - Sanctions Against Iran Cyber Actors (2020) - [4](https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-259a) FBI/CISA - Rana Intelligence Computing Alert (2020) - [5](https://www.clearskysec.com/chafer-apt39/) ClearSky - Chafer APT39 (2018) **Atores relacionados:** [[g0069-mango-sandstorm|MuddyWater]] · [[g0064-apt33|APT33]] · [[charming-kitten|Charming Kitten]] **Malware e ferramentas:** [[s0459-mechaflounder|MechaFlounder]] · [[s0375-remexi|Remexi]] · [[s0073-aspxspy|ASPXSpy]] · [[mimikatz|Mimikatz]] · [[s0488-crackmapexec|CrackMapExec]] **TTPs principais:** [[t1056-001-keylogging|T1056.001]] · [[t1003-os-credential-dumping|T1003]] · [[t1021-001-remote-desktop-protocol|T1021.001]] · [[t1041-exfiltration-over-c2-channel|T1041]] **Setores alvejados:** [[telecommunications|Telecomúnicações]] · [[travel|Viagens e Turismo]] · [[government|Governo]] · [[technology|Tecnologia]]