# HeadLace > Tipo: **backdoor modular** · Exclusivo do [[g0007-apt28|APT28]] (GRU) · Ativo desde setembro 2023 ## Visão Geral [[headlace|HeadLace]] e um backdoor modular para Windows desenvolvido e utilizado exclusivamente pelo [[g0007-apt28|APT28]] (Fancy Bear, Fighting Ursa, Forest Blizzard, BlueDelta), grupo de espionagem cibernetica atribuido ao GRU russo. Primeiro identificado pelo CERT-UA em setembro de 2023 em ataques contra infraestrutura critica de energia na Ucrania, o HeadLace se tornou uma das ferramentas mais ativas do APT28 em campanhas de 2023 e 2024, especialmente contra alvos diplomaticos europeus. O malware e composto por tres componentes complementares - um dropper `.CMD`, um launcher `.VBS` e um backdoor `.BAT` - formando uma cadeia de execução projetada para maxima evasão. O design baseado em scripts nativos do Windows (LOLBAS - Living Off the Land Binaries and Scripts) permite ao [[g0007-apt28|APT28]] operar dentro dos limites de atividades administrativas legitimas, minimizando evidências forenses e dificultando detecção por soluções EDR tradicionais. Pesquisadores da Palo Alto Networks (Unit 42) confirmaram que o HeadLace e exclusivo ao APT28 - nenhum outro ator foi observado utilizando este malware - tornando-o um forte indicador de comprometimento quando identificado. A infraestrutura do grupo frequentemente abusa de servicos legitimos como webhook.site e Mocky para hospedar payloads, uma assinatura caracteristica das operações do APT28. **Plataformas:** Windows ## Como Funciona O HeadLace implementa uma cadeia de execução multi-estagio sofisticada: 1. **Entrega via phishing tematico** - Emails de spear-phishing com temas cuidadosamente escolhidos (anuncio de carro a venda, convite para evento, tema Israel-Hamas, documentos diplomaticos falsos) distribuem arquivo ZIP ou aproveitam CVE-2023-38831 (WinRAR) para execução automatica 2. **DLL Sideloading via calc.exe** - O ZIP contem tres arquivos: `calc.exe` legitimo (disfarado como imagem), `WindowsCodecs.dll` malicioso e script `.BAT`; o calc.exe carrega a DLL maliciosa, que executa o script - técnica indireta para dificultar detecção 3. **Dropper .CMD** - Escreve o launcher `.VBS` e o backdoor `.BAT` no diretorio `%PROGRAMDATA%`, exibe documento isca para distrair a vitima, executa o launcher e auto-deleta 4. **Launcher .VBS** - Usa `Wscript.Shell` para executar o `.BAT` em loop continuo de persistência 5. **Backdoor .BAT** - Em intervalos regulares, usa Microsoft Edge em modo headless para baixar payload adicional de URL webhook.site codificada em Base64, executa-o e deleta; verificação de geolocalização e sandbox environment garante entrega apenas ao alvo correto 6. **Coleta e exfiltração** - Versoes mais avancadas coletam conteudo de diretorios do sistema e enviam via Edge headless; algumas variantes capturam hashes NTLM exfiltrados via rede TOR ```mermaid graph TB A["Spear-phishing<br/>ZIP com isca tematica"] --> B["Vitima executa<br/>arquivo aparente imagem"] B --> C["calc.exe sideloads<br/>WindowsCodecs.dll malicioso"] C --> D["Dropper .CMD executado<br/>Grava VBS + BAT em %PROGRAMDATA%"] D --> E["Documento isca exibido<br/>Distrai a vitima"] D --> F["VBS launcher loop<br/>Persistência continua"] F --> G["BAT backdoor<br/>Edge headless Download/Execute"] G --> H["Payload C2 de<br/>webhook.site ou mocky.io"] H --> I["Reconhecimento + coleta<br/>Hashes NTLM, arquivos, dados"] ``` ## Timeline ```mermaid timeline title HeadLace - Historico de Campanhas 2023-09 : CERT-UA identifica HeadLace contra infraestrutura energia Ucrania : Uso de Mockbin e Mocky para staging 2023-09 : Campanha Zscaler - roubo hashes NTLM Polonia Austria Belgica 2023-10 : IBM X-Force documenta campanha tema Israel-Hamas contra 13 paises 2023-10 : Uso de GitHub como infraestrutura de redirecionamento 2023-10 : Mudanca para PHP scripts em InfinityFree 2023-12 : CERT-FR reporta ataques contra sistemas de governo frances 2024-02 : Campanha contra redes europeas com HeadLace e credential harvesting 2024-03 : Campanha com isca de venda de carro alvo diplomatas 2024-05 : Campanha extensa contra redes europeias 2024-08 : Unit 42 publica análise detalhada da campanha diplomatica ``` ## TTPs MITRE ATT&CK | Tática | Técnica | Uso | |--------|---------|-----| | Acesso inicial | [[t1566-001-spearphishing-attachment\|T1566.001]] | ZIP com isca tematica | | Acesso inicial | [[t1566-002-spearphishing-link\|T1566.002]] | Links para webhook.site malicioso | | Execução | [[t1574-002-dll-side-loading\|T1574.002]] | calc.exe sideloads WindowsCodecs.dll | | Execução | [[t1059-003-windows-command-shell\|T1059.003]] | Backdoor .BAT como C2 | | Execução | [[t1059-005-visual-basic\|T1059.005]] | Launcher .VBS para persistência | | Evasão | [[t1070-004-file-deletion\|T1070.004]] | Auto-delecao de dropper e payloads | | Evasão | [[t1027-obfuscated-files-or-information\|T1027]] | Comandos Base64-encoded | | Evasão | [[t1497-003-time-based-evasion\|T1497.003]] | Verificação de sandbox; geolocalização | | C2 | [[t1102-001-one-way-communication\|T1102.001]] | Webhook.site e Mocky como C2 abusando de servicos legitimos | | C2 | [[t1105-ingress-tool-transfer\|T1105]] | Download de payloads via Edge headless | | Descoberta | [[t1082-system-information-discovery\|T1082]] | Enumeracao de diretorios e arquivos do sistema | ## Relevância LATAM/Brasil O [[g0007-apt28|APT28]] tem foco primario em Europa, Ucrania e paises da OTAN. A relevância para o Brasil inclui: - **Alvos diplomaticos**: Embaixadas brasileiras na Europa e representantes do governo brasileiro em organizacoes internacionais estao em regiao de alto risco para campanhas HeadLace - **Isca personalizada**: O APT28 adapta iscas para cada alvo - documentos de politica externa brasileira, convites para eventos diplomaticos ou materiais de conferencias internacionais poderiam ser usados para atingir diplomatas brasileiros - **Parceiros e aliados**: Organizacoes brasileiras com colaboracao estreita com entidades europeias, especialmente defesa e governo, podem ser alvo colateral O CERT-FR documentou uso do HeadLace contra sistemas de governo frances em 2023 - padrao que poderia ser replicado contra outras grandes potencias emergentes com ativos diplomaticos na regiao. ## Detecção - **Process**: Monitorar `calc.exe` carregando DLLs de diretorios nao-padrao (`T1574.002`); alertar sobre Edge em modo headless (`--headless`) originado de processos de script - **Rede**: Detectar conexoes a webhook.site, mocky.io e InfinityFree originadas de scripts BAT ou VBS; monitorar comandos powershell com `-encodedcommand` ou Base64 - **Arquivo**: Monitorar criação de arquivos `.VBS`, `.BAT`, `.SXC`, `.TSV` em `%PROGRAMDATA%` por processos nao-instaladores - **Comportamental**: Alertar sobre loop de execução de script BAT com intervalo regular (indicador de persistência HeadLace); detectar Edge headless com parametros de URL externos - **Hashes NTLM**: Monitorar trafego SMB/NTLM incomum e conexoes suspeitas a endpoints TOR como indicadores de exfiltração ## Referências - [Unit 42 - Fighting Ursa Car-For-Sale Phishing (2024)](https://unit42.paloaltonetworks.com/fighting-ursa-car-for-sale-phishing-lure/) - [IBM X-Force - ITG05 HeadLace Israel-Hamas (2023)](https://www.ibm.com/think/x-force/itg05-ops-leverage-israel-hamas-conflict-lures-to-deliver-headlace-malware) - [The Hacker News - APT28 Targets Diplomats (2024)](https://thehackernews.com/2024/08/apt28-targets-diplomats-with-headlace.html) - [Rewterz - European Networks APT28 HeadLace (2024)](https://www.rewterz.com/threat-advisory/european-networks-hit-by-apt28-cyberattacks-with-headlace-malware-active-iocs) - [CERT-UA - Relatorio de alerta inicial (2023)](https://cert.gov.ua/)