s0682-trailblazer - RunkIntel

# TrailBlazer > [!info] Identidade do Malware > **Tipo:** backdoor modular stealth · **MITRE:** [S0682](https://attack.mitre.org/software/S0682) · **Grupo:** [[g0016-apt29|APT29]] (Cozy Bear / SVR) > **Plataformas:** Windows · **Ativo desde:** 2019 · **C2:** mascarado como Google Notifications (HTTP) > **Contexto:** implante de segunda fase do APT29, usado em conjunto com [[chopstick|CHOPSTICK]] e [[s0559-sunburst|SUNBURST]] ## Visão Geral [[s0682-trailblazer|TrailBlazer]] e um backdoor modular sofisticado utilizado pelo [[g0016-apt29|APT29]] desde pelo menos 2019. Sua caracteristica mais notavel e o mascaramento do trafico C2 como requisicoes legitimas para servicos Google - específicamente notificacoes do Google Notifications - tornando o trafico práticamente indistinguivel do trafico normal de um dispositivo Windows. O malware foi atribuido pelo NCSC (Centro Nacional de Cibersegurança do Reino Unido) e CISA em reportes sobre operações do SVR russo. O [[s0682-trailblazer|TrailBlazer]] e utilizado como implante de segunda fase após estabelecimento inicial de acesso, geralmente junto com o [[chopstick|CHOPSTICK]] (X-Agent) ou após comprometimento via [[s0559-sunburst|SUNBURST]]. A persistência via WMI Event Subscription ([[t1546-003-windows-management-instrumentation-event-subscription|T1546.003]]) e uma técnica avancada que sobrevive a reinicializacoes e nao aparece em autoruns tradicionais, tornando-a invisivel para muitas ferramentas de análise de persistência. ## Como Funciona O TrailBlazer e tipicamente entregue como DLL por um dropper após comprometimento inicial. Seu funcionamento: 1. **Mascaramento como Google Notifications** - todo trafico C2 imita requisicoes HTTP de notificacoes do Google, com headers e estrutura identica a requisicoes legitimas ([[t1036-masquerading|T1036]]) 2. **Junk data padding** - insere dados aleatórios (junk data) em comúnicacoes ([[t1001-001-junk-data|T1001.001]]) para dificultar detecção por análise de tamanho/padrao de pacotes 3. **Ofuscação de dados** - dados reais de C2 sao obfuscados ([[t1001-data-obfuscation|T1001]]) dentro do payload HTTP mascarado 4. **Persistência via WMI Event** - registra WMI Event Subscription ([[t1546-003-windows-management-instrumentation-event-subscription|T1546.003]]) para execução automatica em eventos do sistema (login, etc.) 5. **Comúnicação HTTP bidireacional** - usa HTTP/HTTPS ([[t1071-001-web-protocols|T1071.001]]) para toda comunicação, impossibilitando distincao de trafico normal 6. **Arquitetura modular** - funcionalidades adicionais (keylog, screenshot, lateral movement) sao carregadas como módulos separados sob demanda A combinacao de mascaramento de C2 com Google + junk data torna o TrailBlazer um dos backdoors mais dificeis de detectar via análise de rede - o trafico e identico ao de um dispositivo Windows atualizado normalmente. ## Attack Flow ```mermaid graph TB A["Acesso inicial APT29 Phishing ou supply chain Ex: após SUNBURST"] --> B["TrailBlazer implantado DLL carregada por dropper Implante de segunda fase"] B --> C["Persistência WMI Event T1546.003 - sobrevive reinicio Invisivel para autoruns"] C --> D["C2 mascarado como Google HTTP para Google Notifications T1036 masquerading"] D --> E["Junk data obfuscation Dados reais ocultos no trafico T1001.001 - análise de rede frustrada"] E --> F["Execução modular Módulos carregados sob demanda Keylog, screenshot, lateral"] F --> G["Exfiltração persistente Longo prazo sem detecção APT29 - paciencia operacional"] classDef access fill:#e74c3c,color:#fff classDef implant fill:#e67e22,color:#fff classDef persist fill:#27ae60,color:#fff classDef c2 fill:#3498db,color:#fff classDef obfusc fill:#9b59b6,color:#fff classDef exec fill:#1abc9c,color:#fff classDef exfil fill:#2c3e50,color:#fff class A access class B implant class C persist class D,E c2 class F exec class G exfil ``` **Legenda:** [[g0016-apt29|APT29]] - [[t1546-003-windows-management-instrumentation-event-subscription|T1546.003]] - [[t1001-001-junk-data|T1001.001]] - [[s0559-sunburst|SUNBURST]] ## Timeline ```mermaid timeline title TrailBlazer - APT29 Segunda Fase 2019 : Primeiras evidencias de uso : Campanha contra alvos diplomaticos 2020 : SolarWinds - pos-SUNBURST : TrailBlazer como segundo implante 2021 : NCSC UK e CISA advisory conjunto : SVR TTPs publicadas - TrailBlazer mencionado 2021 : Microsoft e Google notificam alvos : Campanhas contra pesquisadores COVID 2022 : Campanhas continuadas : Alvos: governo, defesa, think tanks 2023 : Variantes atualizadas identificadas : Modularidade expandida ``` ## Técnicas Utilizadas (MITRE ATT&CK) | Técnica | ID | Descrição | |---------|-----|-----------| | Masquerading | [[t1036-masquerading\|T1036]] | C2 mascarado como Google Notifications | | Junk Data | [[t1001-001-junk-data\|T1001.001]] | Dados aleatorios para confundir análise | | Data Obfuscation | [[t1001-data-obfuscation\|T1001]] | Dados C2 reais obfuscados no HTTP | | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | HTTP/HTTPS para toda comunicação C2 | | WMI Event Subscription | [[t1546-003-windows-management-instrumentation-event-subscription\|T1546.003]] | Persistência via eventos WMI | ## Relevância LATAM/Brasil O [[g0016-apt29|APT29]] (SVR russo) opera com foco em governos, diplomacia, saúde, energia e think tanks - alvos de alto valor onde o Brasil tem presenca significativa: - **Ministerio de Relacoes Exteriores / Itamaraty** - o APT29 tem historico de comprometimento de ministerios de exterior em todo o mundo; o Brasil como membro do G20 e BRICS e polo diplomatico estratégico para a Russia - **Pesquisa e universidades** - o APT29 comprometeu pesquisadores de vacinas COVID em 2020; universidades brasileiras (USP, UNICAMP, FIOCRUZ) com pesquisa estratégica sao alvos analogos - **C2 via Google impossibilita detecção por blacklist** - organizacoes brasileiras que bloqueiam trafico apenas por blacklists sao completamente vulneraveis ao TrailBlazer; somente SSL inspection e análise comportamental detecta - **Post-SolarWinds exposure** - organizacoes brasileiras que usam SolarWinds Orion podem ter sido expostas ao [[s0559-sunburst|SUNBURST]] e ter o TrailBlazer como segundo implante instalado sem saber O [[s0682-trailblazer|TrailBlazer]] representa uma ameaça de espionagem de longo prazo - o SVR opera com horizontes de anos, nao meses. ## Detecção **Fontes de dados recomendadas:** - **TLS inspection:** inspecao de conteudo HTTPS mesmo para dominios Google - trafico anormal de `notifications.googleapis.com` por processos nao-browser pode indicar C2 - **WMI event subscription audit:** listar todas as WMI Event Subscriptions com `Get-WMIObject -Namespace root\subscription -Class __EventFilter` - qualquer subscription desconhecida e suspeita - **Process behavior analysis:** processos Windows fazendo requisicoes HTTP regulares para APIs Google sem contexto de aplicação conhecida - beacon pattern - **Memory forensics:** artefatos do TrailBlazer em memoria de processos legítimos - DLL injection pattern tipico do APT29 **Regras de detecção:** - **PowerShell audit:** `Get-WMIObject -Namespace root\subscription -Class __FilterToConsumerBinding` semanal - WMI Event Subscriptions maliciosas nao aparecem em autoruns tradicionais - **Network baseline:** qualquer processo diferente de browser, Chrome, ou aplicativo conhecido fazendo requisicoes para `googleapis.com` ou `google.com` - possível mascaramento C2 - **EDR hunting:** DLL loaded by processo nao Google para chamadas a `WinHttpOpen`/`WinHttpConnect` para endpoints Google sem assinatura Google válida ## Referências - [1](https://attack.mitre.org/software/S0682) MITRE ATT&CK - S0682 TrailBlazer (2024) - [2](https://www.ncsc.gov.uk/news/russian-svr-activity-exposed-apt29) NCSC UK - Russian SVR Activity Exposed as APT29 (2021) - [3](https://us-cert.cisa.gov/ncas/advisories/aa21-116a) CISA - SVR Cyber Operations: Trends and Best Practices for Network Defenders (2021) - [4](https://unit42.paloaltonetworks.com/cozy-bear-apt29-post-compromise/) Palo Alto Unit42 - APT29 Post-Compromise Activity (2022) - [5](https://www.microsoft.com/en-us/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/) Microsoft - NOBELIUM/APT29 TTPs (2021)