s0251-zebrocy - RunkIntel

# Zebrocy > [!high] Downloader multi-linguagem do APT28 (GRU russo) - ferramenta de reconhecimento inicial em campanhas de espionagem contra governos e organizacoes OTAN > Ativo desde novembro de 2015, o Zebrocy existe em 6+ variantes em linguagens distintas (Delphi, Go, C#, C++, AutoIT, VB.NET) como estratégia deliberada de evasão de detecção baseada em assinaturas. ## Visão Geral [[s0251-zebrocy|Zebrocy]] (também identificado como Zekapab) e um trojan de reconhecimento e downloader utilizado pelo [[g0007-apt28|APT28]] (Fancy Bear), grupo de ataque cibernetico atribuido a Diretoria de Inteligência Principal (GRU) do exercito russo. Ativo desde pelo menos novembro de 2015, o Zebrocy serve como ferramenta de primeiro estagio nas operações do APT28, realizando reconhecimento extensivo do ambiente comprometido antes de decidir se vale a pena implantar ferramentas mais sofisticadas como o X-Agent. A caracteristica mais distintiva do Zebrocy e sua implementacao em múltiplas linguagens de programacao: C++, Delphi, AutoIt, C#, VB.NET e Go (Golang). Esta estratégia deliberada de diversificacao reflete o modus operandi do [[g0007-apt28|APT28]]: criar variantes com assinaturas binarias radicalmente diferentes que podem ser inicialmente classificadas como malware completamente distinto por analistas sem contexto de inteligência suficiente. A implementacao em Golang foi identificada como estratégia para atingir sistemas com diferentes arquiteturas e perfis de segurança. O Zebrocy e distribuido via campanhas de spear-phishing tematicas e altamente direcionadas - tipicamente com isca relacionada a assuntos governamentais, militares ou diplomaticos relevantes para o alvo. Documentos Word com macros, arquivos CHM e executaveis disfarcados de documentos legitimos sao os vetores mais comuns. Os alvos historicos incluem governos e organizacoes militares de paises da OTAN, ex-repúblicas sovieticas (Azerbaijao, Cazaquistao, Uzbequistao), e organizacoes com politica externa relevante para a Russia. **Plataformas:** Windows ## Como Funciona Após execução, o Zebrocy realiza um perfil sistematico do sistema comprometido via WMI ([[t1047-windows-management-instrumentation|T1047]]): coleta informações do sistema ([[t1082-system-information-discovery|T1082]]), hora atual ([[t1124-system-time-discovery|T1124]]), processos em execução ([[t1057-process-discovery|T1057]]), conexoes de rede ([[t1049-system-network-connections-discovery|T1049]]), configuração de rede ([[t1016-system-network-configuration-discovery|T1016]]), dispositivos perifericos ([[t1120-peripheral-device-discovery|T1120]]) e arquivos em diretorios-chave ([[t1083-file-and-directory-discovery|T1083]]). Paralelamente, o Zebrocy instala hooks em APIs de autenticação ([[t1056-004-credential-api-hooking|T1056.004]]) para capturar credenciais e realiza capturas de tela periodicas ([[t1113-screen-capture|T1113]]). Todas essas informações sao exfiltradas via HTTP ou protocolos de email (SMTP) ([[t1071-003-mail-protocols|T1071.003]]) para servidores C2. Com base no perfil do alvo, os operadores decidem implantar ferramentas de segundo estagio ou encerrar o acesso. ## Attack Flow Zebrocy ```mermaid graph TB A["Spear-phishing tematico Isca governamental/militar Documento Word + macro"] --> B["Execução inicial Macro / CHM / EXE Zebrocy implantado"] B --> C["Perfilamento WMI Sistema processos rede T1047 / T1082 / T1057"] C --> D["Credential Hooking Capturas de tela T1056.004 / T1113"] D --> E["Exfiltração HTTP/SMTP Perfil do alvo T1041 / T1071"] E --> F{"Alvo de alto valor?"} F -- Sim --> G["X-Agent ou payload avancado Espionagem profunda APT28"] F -- Nao --> H["Encerramento silencioso Zebrocy removido"] classDef initial fill:#dc2626,color:#fff classDef exec fill:#ea580c,color:#fff classDef recon fill:#3b82f6,color:#fff classDef collect fill:#7c3aed,color:#fff classDef exfil fill:#ca8a04,color:#000 classDef decision fill:#64748b,color:#fff classDef next fill:#16a34a,color:#fff classDef abort fill:#6b7280,color:#fff class A initial class B exec class C recon class D collect class E exfil class F decision class G next class H abort ``` ## Linha do Tempo ```timeline Novembro 2015 : Primeiras amostras Delphi identificadas : Campanhas contra alvos OTAN 2016-2017 : Variantes AutoIT e C# emergem : Campanhas na Europa Oriental 2018 : ESET publica análise extensiva : Variantes em 6 linguagens documentadas 2018-2019 : Variante Golang identificada : Alvo ex-republicas sovieticas 2020 : Campanha tema COVID-19 e vacinas : Phishing sobre distribuição COVAX 2022 : Atividade aumentada pos-invasao Ucrania : NATO e parceiros como alvos prioritarios Atual : Zebrocy ativo em campanhas continuas : Novas variantes detectadas regularmente ``` ## TTPs - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1120-peripheral-device-discovery|T1120 - Peripheral Device Discovery]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1056-004-credential-api-hooking|T1056.004 - Credential API Hooking]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1071-003-mail-protocols|T1071.003 - Mail Protocols]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] ## Grupos que Usam - [[g0007-apt28|APT28]] ## Relevância LATAM/Brasil O [[g0007-apt28|APT28]] (GRU russo) opera espionagem estratégica contra nacoes com relevância geopolitica para a Russia. O Brasil, como membro fundador do BRICS, maior parceiro comercial da Russia na América Latina e participante ativo do G20, representa um alvo de inteligência de medio interesse para o GRU - especialmente no contexto de politica externa, negociacoes diplomaticas e posicionamento em organismos multilaterais. Funcionarios do governo brasileiro envolvidos em politica externa, missoes diplomaticas russas e brasileiras, e organizacoes que participam de foruns multilaterais onde o posicionamento do Brasil interessa a Russia sao potencialmente alvejados. O padrao de spear-phishing tematico do [[g0007-apt28|APT28]] com documentos que parecem legitimos para o cargo do destinatario e particularmente dificil de detectar sem treinamento específico. Organizacoes governamentais e diplomaticas brasileiras devem implementar autenticação multifator em todos os sistemas e treinar colaboradores para identificar campanhas de phishing sofisticadas. ## Detecção A detecção do Zebrocy e desafiadora por conta das múltiplas variantes em linguagens diferentes. A estratégia mais eficaz foca em comportamento em vez de assinaturas: - Alertar para processos que executam enumeracao extensiva via WMI ([[t1047-windows-management-instrumentation|T1047]]) seguida de comunicação HTTP ou SMTP para destinos externos nao reconhecidos - Detectar hooking de APIs de credenciais (`SetWindowsHookEx`) por processos nao relacionados a software de segurança ou acessibilidade ([[t1056-004-credential-api-hooking|T1056.004]]) - Monitorar capturas de tela periodicas (`BitBlt`, `GetDC`) por processos que nao sao softwares de colaboracao ou suporte remoto - Correlacionar padrao de descoberta de sistema + exfiltração subsequente em jánela de 5-10 minutos - padrao caracteristico do Zebrocy - YARA comportamentais focados em combinacoes de WMI + captura de tela + comunicação de rede em um mesmo processo ## Referências - [1](https://attack.mitre.org/software/S0251) MITRE ATT&CK - S0251 Zebrocy (2024) - [2](https://www.welivesecurity.com/2018/11/20/sednit-whats-going-zebrocy/) ESET - Sednit: What's Going On With Zebrocy (2018) - [3](https://securelist.com/zebrocy-as-differentiator/86740/) Kaspersky - Zebrocy as Differentiator (2018) - [4](https://attack.mitre.org/groups/G0007) MITRE ATT&CK - G0007 APT28 Fancy Bear (2024) - [5](https://www.ncsc.gov.uk/files/NCSC-Joint-Report-Python-Zebrocy.pdf) NCSC UK - APT28 Zebrocy Python Variant Technical Analysis (2020)