wellmess - RunkIntel

# WellMess > [!danger] Resumo > Implant leve do [[g0016-apt29|APT29]] (Cozy Bear/SVR russo) em Golang e .NET, em uso desde 2018. Ganhou notoriedade em julho 2020 quando NCSC/CISA/NSA/CSE públicaram advisory conjunto revelando uso em campanhas contra organizacoes de pesquisa de vacinas COVID-19 no Reino Unido, EUA e Canada. Suporta HTTP, HTTPS e DNS como canais C2, com criptografia simetrica e assimetrica combinadas. ## Visão Geral O [[wellmess|WellMess]] e uma familia de malware leve desenvolvida e operada pelo [[g0016-apt29|APT29]] (também conhecido como Cozy Bear, The Dukes, Yttrium) - grupo de espionagem cibernetica atribuido ao Servico de Inteligência Estrangeiro da Federacao Russa (SVR). O malware foi identificado pela primeira vez em julho de 2018 pelo JPCERT e pela empresa jáponesa LAC, mas sua atribuicao ao APT29 somente foi tornada pública em julho de 2020 pelo advisory conjunto NCSC/CISA/NSA/CSE. O [[wellmess|WellMess]] existe em duas variantes de linguagem - Golang e .NET - demonstrando a capacidade do [[g0016-apt29|APT29]] de desenvolver e manter ferramentas multiplataforma. O malware e designado a operações de segundo estagio: após comprometimento inicial via exploração de vulnerabilidades conhecidas (CVE-2019-19781 Citrix, CVE-2019-11510 Pulse Secure, CVE-2018-13379 FortiGaté, CVE-2019-9670 Zimbra), o WellMess e implantado para coleta de longo prazo em ambientes de alto valor. A flexibilidade do canal C2 e uma caracteristica distintiva: HTTP, HTTPS e DNS sao todos suportados, permitindo ao operador adaptar conforme restricoes de rede do alvo. Dados lixo (junk data) sao adicionados ao trafego para dificultar análise de padroes. Certificados TLS hardcoded com `subjectKeyIdentifier` "0102030406" e subjects "C=Tunis, O=IT" sao IoCs públicados pelo NCSC e utilizaveis para detecção. Após a públicacao do advisory de julho 2020, o SVR migrou para novas ferramentas (incluindo o framework open source Sliver), conforme reportado em advisory de seguimento do NCSC em maio 2021. **Plataformas:** Windows, Linux (variante Golang) ## Como Funciona 1. **Acesso inicial**: Exploração de vulnerabilidades em VPN/gateway públicos (Citrix, Pulse Secure, FortiGaté, Zimbra) ou spearphishing para credenciais 2. **Persistência**: WellMess implantado como segundo estagio após comprometimento inicial com SoreFang (downloader de primeiro estagio) 3. **Comúnicação C2**: Suporte a HTTP, HTTPS e DNS; adicao de junk data para ofuscar padroes de trafego 4. **Execução**: Comandos PowerShell e shell arbitrarios; upload e download de arquivos 5. **Reconhecimento**: Enumeracao de grupos de dominio, usuarios, configuracoes de rede - mapeamento de Active Directory ## Attack Flow - WellMess ```mermaid graph TB A["Reconhecimento Varredura de IPs de organizacoes-alvo em pesquisa de vacinas COVID-19"] --> B["Acesso Inicial Exploits VPN/Gateway CVE-2019-19781 Citrix CVE-2019-11510 Pulse Secure"] B --> C["Primeiro Estagio SoreFang downloader exfiltra info do sistema"] C --> D["Implantação WellMess Segundo estagio para coleta de longo prazo"] D --> E["Comúnicação C2 HTTP, HTTPS ou DNS com junk data e TLS hardcoded"] E --> F["Reconhecimento AD Grupos de dominio, administradores, configuracoes de rede"] F --> G["Coleta de Dados Pesquisa de vacinas, propriedade intelectual"] ``` ## Timeline de Atividade ```mermaid timeline title WellMess - Historico 2018-07 : Primeiro avistamento pelo JPCERT e LAC (sem atribuicao APT29) 2020 : APT29 usa em campanhas contra pesquisa vacinas COVID-19 2020-07 : Advisory conjunto NCSC/CISA/NSA/CSE - primeira atribuicao publica ao APT29 2021-04 : NSA, CISA e FBI confirmam SVR por tras de SolarWinds 2021-05 : NCSC advisory seguimento - SVR migra para Sliver após exposicao 2021-06 : Recorded Future vincula infraestrutura WellMess a alvos Fortune 500 ``` ## TTPs - WellMess | Tática | Técnica | Descrição | |--------|---------|-----------| | C2 | [[t1071-004-dns\|T1071.004]] | DNS como canal C2 alternativo | | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTP/HTTPS como canal C2 primario | | C2 | [[t1573-001-symmetric-cryptography\|T1573.001]] | Criptografia simetrica nas comúnicacoes | | C2 | [[t1573-002-asymmetric-cryptography\|T1573.002]] | Criptografia assimetrica adicional | | C2 | [[t1001-001-junk-data\|T1001.001]] | Dados lixo para ofuscar padroes de trafego | | Execução | [[t1059-001-powershell\|T1059.001]] | Comandos PowerShell no sistema alvo | | Descoberta | [[t1069-002-domain-groups\|T1069.002]] | Enumeracao de grupos de dominio AD | | Coleta | [[t1005-data-from-local-system\|T1005]] | Coleta de arquivos locais | ## Relevância LATAM/Brasil O [[g0016-apt29|APT29]] realiza espionagem global de alto valor, com foco em governos, pesquisa cientifica e tecnológica. Orgaos governamentais brasileiros (especialmente Ministerio das Relacoes Exteriores, defesa e setores estratégicos), institutos de pesquisa (Embrapa, Fiocruz, INPE) e empresas com acesso a informações estratégicas sao potenciais alvos de campanhas de coleta de inteligência do SVR russo. O uso de DNS como canal C2 - uma técnica que frequentemente passa despercebida em ambientes sem monitoramento específico de DNS - torna essencial que organizacoes brasileiras de alto perfil implementem análise de trafego DNS e bloqueio de resolvedores DNS externos nao autorizados. Os certificados TLS hardcoded com subjectKeyIdentifier "0102030406" sao IoCs duravelmente uteis para detecção retroativa. ## Detecção > [!tip] Indicadores de Detecção > - Monitorar trafego DNS em beaconing - consultas regulares a dominios externos com intervalos fixos > - Alertar sobre conexoes TLS com certificados com subject "C=Tunis, O=IT" ou subjectKeyIdentifier "0102030406" > - Detectar binarios .NET ou Golang desconhecidos com padroes de comunicação de rede regulares > - Regras YARA e IoCs específicos públicados pelo NCSC no advisory de julho 2020 (MAR-10296782-2.v1) > - Monitorar exploração das CVEs de VPN/gateway: CVE-2019-19781, CVE-2019-11510, CVE-2018-13379 ## Referências - [1](https://attack.mitre.org/software/S0514/) MITRE ATT&CK - WellMess S0514 (2024) - [2](https://media.defense.gov/2020/Jul/16/2002457639/-1/-1/0/NCSC_APT29_ADVISORY-QUAD-OFFICIAL-20200709-1810.PDF) NCSC/CISA/NSA/CSE - APT29 Targets COVID-19 Vaccine Development (2020) - [3](https://www.ncsc.gov.uk/files/Advisory-APT29-targets-COVID-19-vaccine-development-V1-1.pdf) NCSC UK - Advisory APT29 WellMess WellMail (2020) - [4](https://www.bleepingcomputer.com/news/security/russian-hackers-target-covid-19-vaccine-research-with-custom-malware/) BleepingComputer - Russian Hackers Target COVID-19 Vaccine Research (2020) - [5](https://www.recordedfuture.com/blog/darkside-affiliate-tag-21-wellmess-sliver) Recorded Future - TAG-21 WellMess Sliver Infrastructure Links (2021)