s0137-coreshell - RunkIntel

# CORESHELL > Tipo: **loader/downloader** · S0137 · [MITRE ATT&CK](https://attack.mitre.org/software/S0137/) · Utilizado por [[g0007-apt28|APT28]] (GRU) ## Visão Geral [[s0137-coreshell|CORESHELL]] e um downloader de primeiro ou segundo estagio utilizado pelo [[g0007-apt28|APT28]] (também conhecido como Fancy Bear, Sednit, Sofacy, Forest Blizzard, Fighting Ursa), grupo de espionagem cibernetica atribuido a inteligência militar russa (GRU). As versoes mais antigas do malware sao conhecidas como SOURFACE - o nome CORESHELL e adotado para as variantes mais recentes e mais sofisticadas. O malware tem sido utilizado em campanhas continuas desde pelo menos 2012. O CORESHELL representa uma peca central na arquitetura de acesso inicial do [[g0007-apt28|APT28]]: sua função primaria e estabelecer comunicação com o servidor de C2 do grupo e baixar e executar payloads adicionais mais capazes, como o [[chopstick|CHOPSTICK]] (X-Agent), ferramentas de roubo de credenciais ou implantes customizados. Funciona como componente de reconhecimento avancado antes de implantar ferramentas mais pesadas. Uma caracteristica técnica distintiva e o uso de cifras de stream customizadas com chaves de seis ou oito bytes para cifrar comúnicacoes C2 (`T1573.001`), junto com ofuscação de strings via a mesma cifra stream. A insercao de instrucoes de maquina sem função ("junk code", `T1027.016`) nas amostras compiladas e uma técnica deliberada para dificultar análise estática e geracoes de assinaturas baseadas em hash ou padrao de bytecode. O [[g0007-apt28|APT28]] continua a evoluir seu toolset, e o CORESHELL permanece relevante como componente de acesso inicial confiavel em campanhas de espionagem contra governos, forcas armadas, infraestrutura critica e organizacoes diplomaticas globalmente. **Plataformas:** Windows ## Como Funciona O ciclo operacional do CORESHELL e projetado para eficiencia e stealth: 1. **Instalacao via Rundll32** - Executado com export nomeado "init" ou "InitW" via `rundll32.exe`, técnica que abusa de utilitario legitimo do Windows (`T1218.011`) 2. **Persistência em registro** - Cria entradas em chaves Run do registro e atalhos na pasta Quick Start do Internet Explorer para garantir sobrevivencia a reinicializacoes (`T1547.001`) 3. **Reconhecimento básico** - Coleta hostname, número de serie do volume e versao do sistema operacional; envia ao C2 para permitir priorizacao de alvos de maior interesse 4. **Comúnicação C2 flexivel** - Suporta HTTP/HTTPS (`T1071.001`) e protocolos de email SMTP/POP3 (`T1071.003`), conferindo flexibilidade ao operador para selecionar o canal menos monitorado no ambiente alvo 5. **Downloader de payload** - Baixa e executa payloads adicionais criptografados do servidor C2 (`T1105`); pode receber CHOPSTICK, ferramentas de roubo de credenciais ou outros implantes APT28 6. **Ofuscacao** - Strings cifradas com cifra stream customizada; código lixo inserido para dificultar análise e detecção por assinatura ```mermaid graph TB A["Spear-phishing Exploit Office ou lnk malicioso"] --> B["CORESHELL instalado via rundll32 init/InitW"] B --> C["Persistência Registro Run + IE Quick Start"] C --> D["System Recon Hostname, OS, Volume Serial"] D --> E["Beacon C2 HTTP/HTTPS ou SMTP/POP3"] E --> F["Download payload CHOPSTICK, XAgent, ou outro"] F --> G["Espionagem de longo prazo Acesso persistente estabelecido"] ``` ## Timeline ```mermaid timeline title CORESHELL/SOURFACE - Historico 2012 : SOURFACE identificado em campanhas APT28 iniciais : Precursor direto do CORESHELL 2014 : FireEye publica relatorio sobre APT28 documentando SOURFACE/CORESHELL : Campanha contra Ukraine, Europa Oriental 2017 : Amostras CORESHELL observadas em multiplas campanhas Sednit : Conferencia de DoJ US indiciamento de membros GRU 2018 : DoJ indicia 12 membros GRU por operacoes de hacking : CORESHELL listado como ferramenta no indiciamento 2020 : APT28 continua uso de CORESHELL em campanhas diplomaticas Europa 2024 : APT28 ativo com novas campanhas HeadLace; CORESHELL persiste no toolkit ``` ## TTPs MITRE ATT&CK | Tática | Técnica | Uso | |--------|---------|-----| | Execução | [[t1218-011-rundll32\|T1218.011]] | Instalacao via rundll32 export "init" | | Persistência | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Chaves Run registro + atalhos IE | | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTP/HTTPS para comunicação C2 | | C2 | [[t1071-003-mail-protocols\|T1071.003]] | SMTP/POP3 como canal C2 alternativo | | C2 | [[t1573-001-symmetric-cryptography\|T1573.001]] | Cifra stream customizada 6-8 bytes | | Evasão | [[t1027-016-junk-code-insertion\|T1027.016]] | Instrucoes sem função para dificultar análise | | Evasão | [[t1027-obfuscated-files-or-information\|T1027]] | Strings cifradas com cifra stream | | Descoberta | [[t1082-system-information-discovery\|T1082]] | Coleta hostname, OS, volume serial | | Descoberta | [[t1680-local-storage-discovery\|T1680]] | Coleta número de serie do volume | | Transferencia | [[t1105-ingress-tool-transfer\|T1105]] | Download de payloads adicionais | ## Relevância LATAM/Brasil O [[g0007-apt28|APT28]] tem historico extenso de campanhas contra governos, forcas armadas e organizacoes de infraestrutura critica globalmente. Para o Brasil, o risco e especialmente elevado em tres contextos: - **Processos eleitorais**: O APT28 tem longa historia documentada de interferencia em eleicoes e processos democraticos na Europa e EUA - padrao potencialmente replicavel no Brasil - **Espionagem diplomatica**: Ministerios, embaixadas brasileiras e organizacoes com relacoes diplomaticas ativas com paises da OTAN ou Ucrania sao alvos de interesse - **Infraestrutura critica**: Organizacoes de defesa, energia e telecomúnicacoes brasileiras podem estar no radar do APT28 como parte de campanha de coleta de inteligência de largo espectro O CORESHELL como componente de acesso inicial e particularmente perigoso por sua versatilidade de canal C2 (HTTP ou email) - organizacoes que bloqueiam apenas HTTP/HTTPS podem ainda ser vulneraveis via canal de email. ## Detecção - **Processo**: Monitorar execucoes de `rundll32.exe` com parametros incomuns, especialmente exports "init" ou "InitW" de DLLs em caminhos nao-padrao (`T1218.011`) - **Registro**: Alertar sobre modificacoes em chaves Run com executaveis em caminhos suspeitos; monitorar criação de atalhos em pasta IE Quick Start - **Rede**: Detectar comúnicacoes SMTP/POP3 originadas de processos nao relacionados a clientes de email legitimos (`T1071.003`); monitorar trafego HTTP com User-Agent ou padroes de requisicao incomuns - **Entropia**: Amostras CORESHELL apresentam alta entropia devido a strings cifradas e código lixo - detectar via análise estática de PE files - **YARA**: Regras baseadas em estrutura da cifra stream e padroes de código lixo inserido pelo compilador APT28 ## Referências - [MITRE ATT&CK - S0137 CORESHELL](https://attack.mitre.org/software/S0137/) - [FireEye - APT28: A Window Into Russia's Cyber Espionage Operations](https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-apt28.pdf) - [MITRE ATT&CK - APT28 G0007](https://attack.mitre.org/groups/G0007/) - [SC World - FireEye report: hacking group APT28 and their tradecraft](https://www.scworld.com/news/fireeye-report-hacking-group-apt28-and-their-tradecraft)