artra-downloader - RunkIntel

# ArtraDownloader > [!medium] Downloader C++ desenvolvido pelo grupo de espionagem Bitter APT, ativo desde 2016, que funciona como primeiro estágio da cadeia de infecção para entrega do BitterRAT e do backdoor WSCSPL em campanhas contra alvos governamentais e de defesa no sul da Ásia. ## Visão Geral O ArtraDownloader é a ferramenta de primeiro estágio no arsenal ofensivo do grupo [[g1002-bitter|Bitter APT]] (também rastreado como APT-C-08, TA397, T-APT-17). Identificado pela primeira vez em 2016 e nomeado em 2019 com base em uma string de depuração (PDB path) encontrada em amostras analisadas pela Unit 42 da Palo Alto Networks, o downloader representa a porta de entrada para a cadeia de infecção mais ampla do grupo. Escrito em C++, o ArtraDownloader é deliberadamente simples: sua função é coletar informações básicas do sistema comprometido, estabelecer comunicação inicial com o servidor de Comando e Controle (C2), e baixar e executar os payloads de segunda etapa - tipicamente o [[bitter-rat|BitterRAT]], o backdoor WSCSPL ou variantes como o BDarkRAT. A simplicidade é intencional: o grupo Bitter concentra sua complexidade operacional na cadeia de entrega (documentos de phishing, exploits de Office) em vez de nos próprios downloaders. O malware foi exclusivamente atribuído ao Bitter APT, com dois outros grupos mostrando uso secundário: **Patchwork** (Dropping Elephant), que compartilha parcialmente a infraestrutura e o modelo de operação do Bitter. O ArtraDownloader é distribuído primariamente via spear-phishing contra alvos paquistaneses, chineses e governamentais do sul da Ásia - alvos consistentes com os interesses estratégicos do governo indiano, ao qual o Bitter é atribuído. Do ponto de vista da relevância para LATAM, o modelo de primeiro estágio simples + entrega via phishing é amplamente replicado por grupos regionais como o [[g0099-blind-eagle-apt-c-36|Blind Eagle]] (APT-C-36), que usa seu próprio loader ([[ande-loader|Ande Loader]]) com arquitetura similar. ## Como Funciona O ArtraDownloader implementa uma rotina de comunicação C2 de duas etapas: primeiro registra a vítima, depois recebe e executa o payload final. Toda a comunicação usa ofuscação por adição/subtração de bytes. ### Attack Flow - Cadeia de Infecção Bitter APT ```mermaid graph TB A["🎯 Spear-phishing Email com RTF/XLSX malicioso CVE-2017-11882 ou CVE-2018-0798"] --> B["📄 Exploração Office Equation Editor / OLE Execução de shellcode"] B --> C["📥 ArtraDownloader C++ downloader baixado e executado silenciosamente"] C --> D["📡 Registro no C2 SystemInfo coletado: hostname, usuário, OS, GUID"] D --> E["🔐 Ofuscação Dados codificados byte+1 enviados via HTTP POST"] E --> F["📦 Download do Payload Nome decodificado (byte-1) BitterRAT, WSCSPL ou BDarkRAT"] F --> G["🔧 Execução e Persistência Salvo em path hardcoded Run key HKCU + cópia local"] ``` ## Capacidades Técnicas O ArtraDownloader é intencionalmente minimalista - sua simplicidade reduz a superfície de detecção: | Capacidade | Descrição | |-----------|-----------| | Coleta de system info | Hostname, nome de usuário, versão do OS via registro do Windows | | Geração de identificador único | Concatena system info para criar UID por vítima | | Ofuscação de strings | Adiciona 1 a cada byte para envio; subtrai 1 para decodificar resposta | | Comúnicação C2 HTTP | HTTP POST com dados codificados para o servidor C2 | | Download de payload | Recebe nome de arquivo do C2 e faz download do payload | | Persistência | Salva-se em path hardcoded e cria entrada no HKCU Run key | | Execução de payload | Executa o arquivo baixado via CreateProcess | ## Variantes Identificadas A Unit 42 e o grupo Threatray documentaram três variantes distintas do ArtraDownloader, com evolução no método de ofuscação: ```mermaid timeline title Evolução do ArtraDownloader 2016 : Variante 1 - primeiro aparecimento 2016 : Variante original identificada com PDB ArtraDownloader 2018 : Variante 2 - mudança no formato HTTP 2018 : Segunda variante com request format diferente para C2 2019 : Nomenclatura publica definida 2019 : Unit 42 publica análise e nomeia malware 2021 : Transicao para MuuyDownloader (ZxxZ) 2021 : Bitter passa a usar MuuyDownloader como substituto principal 2024 : Arsenal expandido com WmRAT e MiyaRAT 2024 : Grupo continua usando familia ArtraDownloader em campanhas esporadicas ``` ## TTPs Principais | Fase | Técnica MITRE | Descrição | |------|--------------|-----------| | Acesso Inicial | [[T1566-phishing\|T1566.001]] | Spear-phishing com RTF malicioso explorando CVE Office | | Execução | [[T1203-exploitation-for-client-execution\|T1203]] | CVE-2017-11882, CVE-2018-0798, CVE-2018-0802 | | Persistência | [[T1547-boot-or-logon-autostart-execution\|T1547.001]] | Run key em HKCU para execução automática ao login | | C2 | [[T1071-application-layer-protocol\|T1071.001]] | HTTP POST para servidor C2 com dados codificados | | Evasão | [[T1027-obfuscated-files-or-information\|T1027]] | Strings ofuscadas por adição/subtração de valor em cada byte | | Entrega | [[T1105-ingress-tool-transfer\|T1105]] | Download do payload de segunda etapa do C2 | ## Arsenal Bitter APT - Posição do ArtraDownloader O ArtraDownloader foi o downloader principal do Bitter APT de 2016 a 2021, quando foi gradualmente substituído: - **ArtraDownloader** (2016-atual) - Downloader C++ de primeiro estágio, ainda observado - **MuuyDownloader / ZxxZ** (2021+) - Substituto C++ com implementação similar - **[[bitter-rat|BitterRAT]]** - RAT C++ entregue como payload de segunda etapa - **WSCSPL Backdoor** - Backdoor C entregue alternativamente pelo ArtraDownloader - **BDarkRAT** - RAT .NET entregue em algumas campanhas mais recentes - **WmRAT / MiyaRAT** (2024) - RATs modernos com funcionalidades expandidas ## Infraestrutura C2 O Bitter APT usa DDNS (Dynamic DNS) para os servidores C2 do ArtraDownloader, com domínios registrados com identidades falsas alegando ser do Reino Unido. Tanto o servidor de hospedagem do payload quanto o C2 são frequentemente domínios distintos, rotacionados regularmente. A Unit 42 identificou URLs de download com padrões como `/ergdfbd/` e similarmente aleatórios para evitar detecção por assinatura. ## Detecção e Defesa ### Mitigações Prioritárias 1. **Aplicar patches** para CVE-2017-11882, CVE-2018-0798 e CVE-2018-0802 no Microsoft Office 2. **Bloquear macros e OLE** em documentos Office recebidos de fontes externas 3. **Monitorar Run Keys** em HKCU para executáveis não reconhecidos adicionados por processos Office 4. **Detectar DDNS suspeito** como domínios ddns.net, no-ip.com em comúnicações de rede 5. **Monitorar processos filhos** de aplicativos Office (cmd.exe, mshta.exe, wscript.exe) ### Indicadores de Comprometimento > [!ioc]- IOCs - ArtraDownloader (TLP:GREEN) > **PDB strings (atribuição):** > `ArtraDownloader` (string de debug encontrada em amostras originais) > > **Padrões de URL C2:** > `/ergdfbd/` (padrão documentado pela Unit 42) > > **Padrões de persistência:** > Entrada em `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` > Cópia do executável em path hardcoded (varia por variante) > > **Comportamento de rede:** > - HTTP POST com dados codificados (byte+1) para servidor DDNS > - Primeiro request registra vítima; segundo request baixa payload > > **Fontes:** [Unit 42 - Multiple ArtraDownloader Variants](https://unit42.paloaltonetworks.com/multiple-artradownloader-variants-used-by-bitter-to-target-pakistan/) · [Threatray - The Bitter End Part 2](https://www.threatray.com/blog/the-bitter-end-unraveling-eight-years-of-espionage-antics-part-two) ## Referências - [Unit 42 - Multiple ArtraDownloader Variants Used by BITTER to Target Pakistan (2019)](https://unit42.paloaltonetworks.com/multiple-artradownloader-variants-used-by-bitter-to-target-pakistan/) - [Threatray - The Bitter End: Eight Years of Espionage Antics Part Two (2024)](https://www.threatray.com/blog/the-bitter-end-unraveling-eight-years-of-espionage-antics-part-two) - [MITRE ATT&CK - BITTER G1002](https://attack.mitre.org/groups/G1002/) - [Bitdefender - BitterAPT Revisited: Untold Evolution](https://www.bitdefender.com/files/News/CaseStudies/study/352/Bitdefender-PR-Whitepaper-BitterAPT-creat4571-en-EN-GenericUse.pdf) - [Malpedia - win.artra](https://malpedia.caad.fkie.fraunhofer.de/details/win.artra)