s0037-hammertoss - RunkIntel

# HAMMERTOSS > [!high] Backdoor do APT29 que usa Twitter e GitHub como C2 - pioneiro do uso de infraestrutura legítima para evasão de detecção > Identificado pela FireEye em 2015, o HAMMERTOSS usava DGA baseado em data para gerar handles do Twitter, esteganografia em imagens do GitHub e criptografia em camadas para comunicação com o APT29 (Cozy Bear/SVR russo). ## Visão Geral [[s0037-hammertoss|HAMMERTOSS]] é um backdoor sofisticado desenvolvido e utilizado pelo [[g0016-apt29|APT29]] (Cozy Bear), grupo de espionagem cibernética atribuído ao Serviço de Inteligência Externo Russo (SVR). Identificado pela FireEye em 2015 e classificado como um dos backdoors técnicamente mais inovadores da época, o HAMMERTOSS chamou aténção por seu uso de plataformas legítimas da internet - Twitter e GitHub - como canais de comunicação com o servidor de comando e controle (C2), tornando a detecção e o bloqueio extremamente difíceis. O mecanismo central do HAMMERTOSS demonstra o nível de sofisticação operacional do [[g0016-apt29|APT29]]: diariamente, o malware gerava um handle do Twitter usando um algoritmo determinístico baseado na data atual (DGA - Domain Generation Algorithm adaptado para redes sociais). Este handle era então pesquisado no Twitter. Se um tweet contendo uma URL e uma hashtag específica existisse, o malware acessava a URL (tipicamente apontando para uma imagem no GitHub) e extraia as instruções operacionais embutidas via esteganografia - técnica que oculta dados dentro de arquivos de imagem aparentemente inocentes. A arquitetura completa do HAMMERTOSS é engenhosa por camadas: (1) a geração algorítmica de handles dificulta o bloqueio preventivo de contas; (2) o tráfego para twitter.com e github.com é raramente bloqueado por firewalls corporativos; (3) as instruções são ocultadas em imagens (não em texto), evitando inspeção de conteúdo de rede; (4) as instruções embutidas são adicionalmente criptografadas com XOR e RC4. Esta profundidade defensiva reflete o mandato do [[g0016-apt29|APT29]] de operar com máxima discrição por longos períodos em alvos de alto valor - tipicamente governos, organismos diplomáticos e setores estratégicos das economias ocidentais. **Plataformas:** Windows ## Como Funciona O HAMMERTOSS é escrito em C# e opera em três fases. Na **fase de inicialização**, o malware calcula o handle do Twitter do dia baseado em uma função matemática aplicada à data atual. Na **fase de recepção de instruções**, pesquisa o handle no Twitter, extrai URL e hashtag do tweet encontrado, acessa a URL (imagem no GitHub) e usa a hashtag como componente da chave de descriptografia para extrair as instruções embutidas via esteganografia. Na **fase de execução**, as instruções decodificadas são processadas via PowerShell em jánela oculta ([[t1564-003-hidden-window|T1564.003]]). Resultados de execução e dados coletados são criptografados ([[t1573-001-symmetric-cryptography|T1573.001]]) e exfiltrados para serviços de armazenamento em nuvem ([[t1567-002-exfiltration-to-cloud-storage|T1567.002]]), completando o ciclo sem jámais comúnicar diretamente com infraestrutura do atacante. ## Attack Flow HAMMERTOSS ```mermaid graph TB A["Implantação inicial Spear-phishing SVR Alvo governo/diplomatico"] --> B["DGA Twitter diario Calcula handle por data Algoritmo deterministico"] B --> C["Pesquisa Twitter Encontra tweet com URL e hashtag específica"] C --> D["Download imagem GitHub Aparencia inofensiva Instrucoes esteganografadas"] D --> E["Decodifica instrucoes XOR + RC4 com hashtag PowerShell oculto"] E --> F["Executa comandos Captura dados Screenshot / files"] F --> G["Exfiltração nuvem GitHub ou cloud storage T1567.002 cifrado"] classDef implant fill:#dc2626,color:#fff classDef dga fill:#ea580c,color:#fff classDef twitter fill:#1d9bf0,color:#fff classDef github fill:#24292f,color:#fff classDef decode fill:#7c3aed,color:#fff classDef exec fill:#16a34a,color:#fff classDef exfil fill:#ca8a04,color:#000 class A implant class B dga class C twitter class D github class E decode class F exec class G exfil ``` ## Linha do Tempo ```timeline 2014 : HAMMERTOSS implantado em primeiros alvos : Foco em governos ocidentais Julho 2015 : FireEye publica relatorio tecnico : HAMMERTOSS revelado ao publico 2015-2016 : APT29 expande uso do backdoor : Campanhas diplomaticas europeias 2016 : Campanha DNC (eleicoes EUA) : APT29 usa técnicas similares de C2 2017 : APT29 evolui para novos C2 via nuvem : HAMMERTOSS gradualmente substituido 2020-2023 : SolarWinds mostra evolução APT29 : Técnicas de infra legitima aprimoradas Atual : Conceitos do HAMMERTOSS amplamente copiados : Living-off-the-internet e padrao atual ``` ## TTPs - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - [[t1001-002-steganography|T1001.002 - Steganography]] - [[t1564-003-hidden-window|T1564.003 - Hidden Window]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1102-003-one-way-communication|T1102.003 - One-Way Commúnication]] ## Grupos que Usam - [[g0016-apt29|APT29]] ## Relevância LATAM/Brasil O HAMMERTOSS representa uma classe de ameaça com alta relevância conceitual para o Brasil: o uso de infraestrutura legítima (redes sociais, armazenamento em nuvem) como canal C2 é uma técnica crescentemente adotada por grupos de espionagem que operam contra alvos governamentais e diplomáticos globalmente, incluindo o Brasil. Embora o [[g0016-apt29|APT29]] foque primariamente em alvos da OTAN e governos ocidentais, o Brasil é membro de fóruns multilaterais (G20, BRICS, ONU) e possui representações diplomáticas que interagem com alvos de alto interesse para o SVR russo. Além disso, as técnicas do HAMMERTOSS são amplamente copiadas por grupos com motivação financeira e hacktivistas que operam contra o Brasil, substituindo Twitter/GitHub por serviços de nuvem similares disponíveis na região. Organizações brasileiras do setor público e empresas com operações internacionais devem implementar inspeção TLS (SSL inspection) em seus firewalls para detectar tráfego suspeito para redes sociais e plataformas de nuvem iniciado por processos não relacionados a navegadores. Anomalias de comportamento de rede - como `powershell.exe` acessando `twitter.com` ou `github.com` - são indicadores de alta fidelidade. ## Detecção > [!tip] Indicadores-chave > - Processos `powershell.exe` ou `wscript.exe` realizando conexões para `twitter.com` ou `github.com` > - Downloads de imagens PNG/JPEG seguidos de execução de comandos no mesmo processo > - Algoritmos de geração de handle/domínio (DGA) baseados em data e hora - Monitorar consultas DNS e conexões HTTP/HTTPS para domínios do Twitter e GitHub iniciadas por processos incomuns (especialmente `powershell.exe`) - Inspeção de conteúdo com SSL inspection para detectar padrões de esteganografia em downloads de imagens seguidos de execução - Análise comportamental: processos que acessam redes sociais fora de navegadores e clientes de e-mail reconhecidos - Alertar para PowerShell executando em jánela oculta com parâmetros de base64 ([[t1059-001-powershell|T1059.001]]) - Ferramentas de sandbox com visibilidade de tráfego HTTPS e análise de comportamento pós-download são essenciais ## Referências - [1](https://attack.mitre.org/software/S0037) MITRE ATT&CK - S0037 HAMMERTOSS (2024) - [2](https://www.fireeye.com/blog/threat-research/2015/07/hammertoss_stealthy.html) FireEye - HAMMERTOSS: Stealthy Tactics Define a Russian Cyber Threat Group (2015) - [3](https://www.mandiant.com/resources/blog/apt29-hammertoss) Mandiant - APT29 and HAMMERTOSS C2 via Social Media (2015) - [4](https://attack.mitre.org/groups/G0016) MITRE ATT&CK - G0016 APT29 (Cozy Bear) (2024)