s0069-blackcoffee - RunkIntel

# BLACKCOFFEE > [!info] Identidade do Malware > **Tipo:** backdoor com dead drop resolver · **MITRE:** [S0069](https://attack.mitre.org/software/S0069) · **Grupos:** [[g0025-apt17|APT17]], [[g0065-leviathan|Leviathan]], [[g0096-apt41|APT41]] > **Plataformas:** Windows · **Ativo desde:** 2013 · **Inovacao técnica:** C2 via postagens em fóruns legitimos (TechNet, GitHub) > **Origem:** China - múltiplos grupos de espionagem compartilhando a ferramenta ## Visão Geral [[s0069-blackcoffee|BLACKCOFFEE]] e um backdoor de espionagem utilizado por múltiplos grupos de ameaça de origem chinesa desde pelo menos 2013. Sua técnica mais distinta e o uso de **Dead Drop Resolver** ([[t1102-001-dead-drop-resolver|T1102.001]]): o malware nao se conecta diretamente ao servidor C2, mas consulta postagens em servicos legitimos como Microsoft TechNet, Bing, Twitter e GitHub para encontrar o endereço IP atual do servidor C2 - codificado de forma oculta no texto das postagens. Essa técnica de dead drop resolve o problema de detecção por bloqueio de dominios C2: como o trafico vai para `technet.microsoft.com` ou `github.com`, os firewalls corporativos nao o bloqueiam. O operador apenas atualiza o IP C2 editando uma postagem em forum, e todas as maquinas infectadas automaticamente aprendem o novo endereco. O BLACKCOFFEE foi documentado em uso pelo [[g0025-apt17|APT17]] (DeputyDog) em campanhas contra setores de TI, financeiro e governo globalmente. ## Como Funciona O BLACKCOFFEE chega via spearphishing ou exploit de browser. Uma vez executado: 1. **Dead drop resolver** - consulta URL específica em servico legitimo (TechNet, GitHub, Bing) para obter IP C2 atual codificado no conteudo da pagina ([[t1102-001-dead-drop-resolver|T1102.001]]) 2. **Decodificacao de IP** - extrai o IP C2 do texto usando marcadores específicos no conteudo da postagem (ex: texto entre `@MICR0S0FT` e `MICR0S0FT@`) 3. **Comúnicação multi-canal** - estabelece canal C2 principal e de fallback ([[t1104-multi-stage-channels|T1104]]) para resiliencia 4. **Comúnicação bidirecional** - canal bidireacional ([[t1102-002-bidirectional-communication|T1102.002]]) permite ao operador enviar comandos e receber resultados 5. **Reconhecimento local** - enumera processos ([[t1057-process-discovery|T1057]]) e arquivos ([[t1083-file-and-directory-discovery|T1083]]) do sistema comprometido 6. **Execução de comandos** - executa comandos via Windows Command Shell ([[t1059-003-windows-command-shell|T1059.003]]) 7. **Limpeza** - remove artefatos após execução ([[t1070-004-file-deletion|T1070.004]]) A elegancia do dead drop resolver e que nenhum IP de C2 aparece no binario do malware ou no trafico de rede - tudo e resolvido dinâmicamente consultando servicos legitimos, tornando a detecção baseada em IoCs práticamente inutil. ## Attack Flow ```mermaid graph TB A["Entrega spearphishing CVE exploit ou documento malicioso APT17 - alvo: TI, financeiro, governo"] --> B["BLACKCOFFEE instalado Persistência em sistema Sem IP C2 hard-coded"] B --> C["Dead drop resolver Consulta TechNet / GitHub T1102.001 - IP C2 oculto no texto"] C --> D["Decodificacao do IP C2 Marcadores específicos no conteudo Trafico legitimo para Microsoft"] D --> E["Canal C2 multi-stage Principal + fallback T1104 multi-stage channels"] E --> F["Reconhecimento Processos T1057 Arquivos T1083"] F --> G["Execução de comandos Windows Shell T1059.003 Exfiltração de dados"] classDef delivery fill:#e74c3c,color:#fff classDef install fill:#e67e22,color:#fff classDef dead_drop fill:#27ae60,color:#fff classDef resolve fill:#3498db,color:#fff classDef c2 fill:#9b59b6,color:#fff classDef recon fill:#1abc9c,color:#fff classDef exec fill:#2c3e50,color:#fff class A delivery class B install class C dead_drop class D resolve class E c2 class F recon class G exec ``` **Legenda:** [[g0025-apt17|APT17]] - [[g0096-apt41|APT41]] - [[t1102-001-dead-drop-resolver|T1102.001]] - [[t1104-multi-stage-channels|T1104]] ## Timeline de Uso ```mermaid timeline title BLACKCOFFEE - Campanhas Documentadas 2013 : Primeiras amostras identificadas : Uso pelo APT17 (DeputyDog) 2014 : Campanhas contra setor de TI global : Dead drop via Microsoft TechNet 2015 : FireEye e Microsoft publicam análise : TechNet usado como dead drop C2 : Microsoft fecha paginas maliciosas 2016 : Adaptacao para novos dead drops : GitHub e outras plataformas 2018 : APT41 adota BLACKCOFFEE : Expansao de alvos para saude e varejo 2020 : Uso continuado por Leviathan (APT40) : Alvos maritimos e navais 2022 : Variantes atualizadas identificadas : Novos servicos como dead drops ``` ## Técnicas Utilizadas (MITRE ATT&CK) | Técnica | ID | Descrição | |---------|-----|-----------| | Dead Drop Resolver | [[t1102-001-dead-drop-resolver\|T1102.001]] | IP C2 oculto em postagens de forum/GitHub | | Multi-Stage Channels | [[t1104-multi-stage-channels\|T1104]] | Canal principal + fallback C2 | | Bidirectional Comm | [[t1102-002-bidirectional-communication\|T1102.002]] | Comúnicação duplex com operador | | Process Discovery | [[t1057-process-discovery\|T1057]] | Enumeracao de processos em execução | | File Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Listagem de arquivos e diretorios | | Windows Command Shell | [[t1059-003-windows-command-shell\|T1059.003]] | Execução de comandos via cmd.exe | | File Deletion | [[t1070-004-file-deletion\|T1070.004]] | Remoção de artefatos de infecção | ## Relevância LATAM/Brasil O [[g0025-apt17|APT17]], [[g0096-apt41|APT41]] e [[g0065-leviathan|Leviathan]] sao grupos chineses com interesse em alvos estratégicos globais, e o Brasil esta claramente no escopo: - **Setor de tecnologia** - empresas brasileiras de TI, software e telecomúnicacoes com propriedade intelectual de interesse estratégico sao alvos clássicos desses grupos; o BLACKCOFFEE permite acesso persistente sem IoCs rastreavais - **Setor financeiro** - bancos e financeiras brasileiras com operações internacionais sao alvos do [[g0096-apt41|APT41]] (que combina espionagem estatal com motivacao financeira) - **Dead drop via plataformas populares** - no Brasil, plataformas como GitHub, Twitter e mesmo servidores de jogos sao amplamente usados; a técnica de dead drop resolver funciona perfeitamente em qualquer ambiente corporativo brasileiro - **Setor maritimo e naval** - o [[g0065-leviathan|Leviathan]] (APT40) tem foco documentado em industria maritima; a Marinha Brasileira e a industria naval (Embraer, Odebrecht Oil) sao alvos de interesse A técnica de dead drop resolver torna o BLACKCOFFEE especialmente dificil de detectar em ambientes com bloqueio de dominios - a única solução e inspeção de conteudo HTTPS e análise comportamental. ## Detecção **Fontes de dados recomendadas:** - **DNS e proxy logs:** requisicoes HTTPS para `technet.microsoft.com`, `github.com`, `pastebin.com` de processos nao-browser em intervalos regulares - dead drop resolver consultando IP C2 - **Network content inspection:** SSL inspection de trafico para plataformas legitimas buscando patterns de marcadores codificados (strings como `@MICR0S0FT`) no conteudo retornado - **Process behavior:** processos nao reconhecidos fazendo requisicoes HTTP para dominios de plataformas de colaboracao seguidas de conexoes para IPs externos nao relacionados - **Registry/file monitoring:** persistência em locais incomuns ou chaves de Run criadas por processos sem assinatura digital válida **Regras de detecção:** - **Network rule:** processo diferente de browser conectando a `technet.microsoft.com` ou `github.com/raw/` seguido de conexão nova para IP externo - sequencia de dead drop resolution - **YARA:** strings marcadoras caracteristicas do BLACKCOFFEE nos binarios - padroes de delimitadores para extração de IP - **Hunting:** correlacionar acesso a plataformas de colaboracao com estabelecimento de novas conexoes TCP para IPs nao categorizados dentro de 30 segundos - resolução de dead drop em acao ## Referências - [1](https://attack.mitre.org/software/S0069) MITRE ATT&CK - S0069 BLACKCOFFEE (2024) - [2](https://www.fireeye.com/blog/threat-research/2015/05/hiding_in_plain_sigh.html) FireEye - Hiding in Plain Sight: FireEye and Microsoft Expose Obfuscation Tactic (2015) - [3](https://www.microsoft.com/en-us/security/blog/2015/05/14/microsoft-and-fireeye-release-report-on-apt17/) Microsoft Security - APT17: Hiding in Plain Sight (2015) - [4](https://unit42.paloaltonetworks.com/unit42-apt17-actor/) Palo Alto Unit42 - APT17 Actor Overview (2017) - [5](https://www.mandiant.com/resources/apt41-double-dragon-a-dual-espionage-and-cybercrime-operation) Mandiant - APT41: Double Dragon (2019)