s0049-geminiduke - RunkIntel

# GeminiDuke > [!medium] Componente do arsenal Duke do APT29 para reconhecimento detalhado de ambientes comprometidos > GeminiDuke é um dos primeiros malwares documentados do **APT29** (Cozy Bear/SVR russo), ativo entre 2009 e 2012. Especializado em coleta extensiva de informações do ambiente da vítima, fez parte do ecossistema **Duke** - família de malwares russos de alta sofisticação que inclui MiniDuke, CosmicDuke, CozyDuke e outros. ## Visão Geral GeminiDuke é um malware de reconhecimento utilizado pelo [[g0016-apt29|APT29]] (Cozy Bear, Midnight Blizzard, NOBELIUM) entre 2009 e 2012, representando um dos primeiros componentes documentados do extenso ecossistema Duke de ferramentas de espionagem atribuídas ao SVR russo (Serviço de Inteligência Exterior). O [[g0016-apt29|APT29]] é amplamente considerado um dos grupos APT mais sofisticados e persistentes do mundo, com operações contínuas desde pelo menos 2008 e associado a grandes incidentes como o comprometimento do Comitê Nacional Democrata (DNC) em 2016 e o ataque à cadeia de suprimentos do SolarWinds em 2020. O GeminiDuke foi projetado específicamente para a fase de reconhecimento detalhado após comprometimento inicial - uma etapa crítica no modelo operacional do [[g0016-apt29|APT29]] que prioriza coleta extensiva de inteligência sobre o ambiente antes de avançar para exfiltração de dados ou implantação de ferramentas mais avançadas. A ferramenta cataloga sistematicamente contas locais, processos em execução, configurações de rede, serviços do sistema e arquivos presentes - construindo um mapa completo do ambiente comprometido. O nome "GeminiDuke" reflete a convenção de nomenclatura da família Duke: diferentes variantes com capacidades especializadas, todas associadas ao mesmo operador (APT29/SVR) e usadas em conjunto conforme as necessidades da operação. O [[g0016-apt29|APT29]] evoluiu significativamente desde 2012 - o GeminiDuke foi substituído por ferramentas mais modernas como [[s0046-cozycar|CozyCar]], [[s0053-seaduke|SeaDuke]], [[s0559-sunburst|SUNBURST]] e [[wineloader|WINELOADER]] - mas o padrão de reconhecimento extenso antes de exfiltração permanece central ao modo operacional do grupo. ## Como Funciona ```mermaid graph TB A["🎯 Comprometimento inicial APT29 via phishing"] --> B["📦 Instalação GeminiDuke Fase de reconhecimento"] B --> C["🔍 Discovery de contas Usuários locais do sistema"] C --> D["⚙️ Discovery de serviços Serviços configurados no startup"] D --> E["📁 Discovery de arquivos Home, My Docs, Program Files"] E --> F["🌐 Discovery de rede Configurações e proxy"] F --> G["📡 Exfiltração via HTTP/S Dados enviados ao C2"] G --> H["🔄 Fase 2 Implantação de ferramentas avançadas"] ``` ## Capacidades de Reconhecimento O GeminiDuke realiza uma varredura abrangente do ambiente da vítima: | Categoria | Dados Coletados | |-----------|----------------| | **Contas** | Contas de usuário locais ([[t1087-001-local-account\|T1087.001]]) | | **Processos** | Processos em execução e variáveis de ambiente ([[t1057-process-discovery\|T1057]]) | | **Drivers** | Drivers instalados no sistema | | **Startup** | Programas e serviços configurados para inicialização automática ([[t1007-system-service-discovery\|T1007]]) | | **Arquivos** | Conteúdo de pastas home, My Documents e Program Files ([[t1083-file-and-directory-discovery\|T1083]]) | | **Rede** | Configurações de rede e proxy de Internet ([[t1016-system-network-configuration-discovery\|T1016]]) | | **Histórico** | Programas recentemente executados e arquivos recentes | | **C2** | Comúnicação via HTTP/HTTPS ([[t1071-001-web-protocols\|T1071.001]]) | ## Contexto no Ecossistema Duke ```mermaid graph TB A["Família Duke - APT29"] --> B["GeminiDuke 2009-2012 - Reconhecimento"] A --> C["MiniDuke 2010-2015 - Backdoor assembly"] A --> D["CosmicDuke 2013 - Infostealer avançado"] A --> E["CozyDuke 2014+ - Backdoor multi-estágio"] A --> F["SUNBURST 2019-2020 - Supply chain"] ``` ## Detecção e Defesa **Indicadores comportamentais:** - Enumeração sistemática de múltiplos recursos do sistema em sequência rápida (contas + processos + arquivos + rede) por processo desconhecido - padrão de reconnaissance automatizado - Comúnicação HTTP/HTTPS para domínios registrados recentemente ou com baixa reputação por processos não-browsers - Acesso a pastas de perfil de usuário (`%USERPROFILE%`, `%APPDATA%`, `My Documents`) por processo sem interface gráfica **Mitigações:** - [[m1031-network-intrusion-prevention|M1031]] - Inspeção de tráfego HTTPS para detectar C2 mesmo em canais criptografados - [[m1049-antivirus-antimalware|M1049]] - EDR com detecção comportamental para sequências de reconnaissance ## Relevância LATAM/Brasil O [[g0016-apt29|APT29]] opera contra alvos governamentais e diplomáticos em todo o mundo, incluindo na América Latina. Embaixadas, ministérios de relações exteriores e organizações internacionais no Brasil estão dentro do escopo operacional típico do SVR russo. O padrão de reconhecimento exaustivo do GeminiDuke é a marca registrada do APT29 - qualquer operação moderna do grupo em território brasileiro seguiria uma fase similar de mapeamento de ambiente antes de escalar o comprometimento. ## Referências - [MITRE ATT&CK - S0049](https://attack.mitre.org/software/S0049) - [F-Secure - The Dukes: 7 Years of Russian Cyberespionage](https://www.f-secure.com/documents/996508/1030745/dukes_whitepaper.pdf) - 2015 - [Blackpoint Cyber - APT29 Threat Profile 2024](https://blackpointcyber.com/wp-content/uploads/2024/06/Threat-Profile-APT29_Blackpoint-Adversary-Pursuit-Group-APG_2024.pdf)