# PROC — APT28: Exploração de Zero-Days MSHTML para Espionagem NATO ## Visão Geral O [[ Fancy Bear]], unidade de inteligência cibernética do GRU russo (Unidade 26165), desenvolveu um procedimento de exploração centrado no motor MSHTML do Windows — componente de renderização HTML do Internet Explorer que permanece embutido no sistema operacional mesmo em instalações que não utilizam o IE como navegador padrão. A técnica explora o fato de que documentos Microsoft Office carregam conteúdo externo via MSHTML automaticamente ao processar referências OLE2, permitindo execução remota de código simplesmente pela abertura de um arquivo `.docx` ou `.rtf` — sem necessidade de habilitar macros ou conceder qualquer permissão adicional ao usuário. O vetor documentado com maior precisão é o [[cve-2021-40444|CVE-2021-40444]], corrigido pela Microsoft em setembro de 2021 mas extensivamente explorado durante sua jánela de zero-day em campanhas de espionagem contra governos, diplomatas e organizações da NATO. A cadeia completa de ataque combina [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]] com abuso de binários legítimos do Windows ([[t1218-system-binary-proxy-execution|T1218 - System Binary Proxy Execution]]) via `cmstp.exe`, injeção de DLL em processos do sistema ([[t1055-001-dynamic-link-library-injection|T1055.001]]) e persistência via chaves de registro ([[t1547-001-registry-run-keys|T1547.001]]). Os implantes de segundo estágio implantados são o [[chopstick]] e o [[s0137-coreshell]], backdoors modulares historicamente associados ao [[g0007-apt28|APT28]] com canais de comunicação C2 cifrados que dificultam a identificação por inspeção de tráfego. A campanha [[apt28-nearest-neighbor|APT28 Nearest Neighbor Campaign]] expandiu o alcance operacional ao comprometer redes Wi-Fi de organizações adjacentes fisicamente aos alvos, contornando controles de segurança de rede perimetral. **Contexto Brasil/LATAM:** Embora o [[g0007-apt28|APT28]] historicamente concentre suas operações em alvos europeus e norte-americanos ligados à NATO, a América Latina está crescentemente no radar de atores de espionagem estatal em razão de sua relevância geopolítica crescente — especialmente em temas de defesa, energia e posicionamento diplomático. Organizações brasileiras do setor público, think tanks de política externa, empresas de defesa e contratantes governamentais que se comúnicam com parceiros internacionais são alvos potenciais de técnicas similares. O vetor de spearphishing com documentos Office permanece amplamente eficaz em ambientes corporativos nacionais onde o controle de MOTW (Mark of the Web) e a desativação de ActiveX via Group Policy ainda não são práticas padronizadas. ## Attack Flow ```mermaid graph TB A[Spearphishing com .docx temático NATO/diplomacia] --> B[Word carrega referência OLE2 externa] B --> C:::critical C[MSHTML instancia controle ActiveX malicioso] --> D[cmstp.exe executa DLL via LOLBin] D --> E[Implante Chopstick/Coreshell instalado] classDef critical fill:#e74c3c,color:#fff ``` ## Como Funciona **Passo 1 — Preparação da infraestrutura e entrega por spearphishing.** O [[g0007-apt28|APT28]] registra domínios que imitam organizações governamentais ou serviços de email da NATO, e hospeda em servidores VPS europeus um arquivo `.cab` contendo a DLL maliciosa. O documento de isca `.docx` é construído com metadados plausíveis — idioma do país alvo, nome de autor e organização críveis — e contém no arquivo interno `word/_rels/document.xml.rels` uma referência OLE2 para uma URL controlada pelo atacante. O email é enviado a partir de contas de terceiros comprometidas ou de domínios com alta reputação para contornar filtros de email. O assunto é escolhido com alta relevância para o destinatário: briefing da Ucrânia, comúnicado da [[operation-pawn-storm|Operation Pawn Storm]], relatório diplomático confidencial. **Passo 2 — Exploração automática do MSHTML ao abrir o documento.** Quando a vítima abre o `.docx`, o Microsoft Word processa as referências OLE2 do arquivo e invoca o motor MSHTML para carregar o conteúdo externo. Em versões sem o patch do [[cve-2021-40444|CVE-2021-40444]], o MSHTML instancia automaticamente o controle ActiveX remoto sem exibir qualquer aviso de segurança. O controle ActiveX malicioso executa `cmstp.exe` — a Microsoft Connection Manager Profile Installer, um binário legítimo do Windows — com um arquivo INF malicioso como argumento, abusando desta ferramenta de sistema ([[t1218-system-binary-proxy-execution|T1218]]) para contornar restrições de execução e carregar a DLL do payload sem acionar alertas de execução de código não assinado. **Passo 3 — Injeção de implante e estabelecimento de persistência.** A DLL maliciosa é injetada em processos legítimos do Windows — tipicamente `svchost.exe` — via [[t1055-001-dynamic-link-library-injection|T1055.001 - DLL Injection]], tornando o processo malicioso indistinguível de serviços normais do sistema em listagens superficiais. O beacon inicial conecta ao servidor C2 do [[g0007-apt28|APT28]] via HTTPS, baixa o implante de segundo estágio ([[s0137-coreshell]] ou [[chopstick]]) e estabelece persistência por meio de uma chave de registro `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` ([[t1547-001-registry-run-keys|T1547.001]]). A partir deste ponto, o grupo tem acesso persistente ao ambiente da vítima para conduzir reconhecimento, exfiltração de documentos e movimentação lateral. ## Detecção | Etapa | Event ID / Log Source | Indicador de Comprometimento | |-------|----------------------|------------------------------| | Entrega do documento | Email Gateway / Sandbox | Arquivo `.docx` com referência OLE2 para URL externa em `document.xml.rels` | | Requisição HTTP do Word | Proxy / DNS Monitoring | `winword.exe` gerando requisição HTTP/S para domínio externo sem interação explícita do usuário | | Processo filho anômalo | Sysmon EID 1 (Process Creaté) | `winword.exe` como pai de `cmstp.exe` — combinação raramente legítima | | Execução de LOLBin | Sysmon EID 1 (Process Creaté) | `cmstp.exe` com argumento de arquivo `.inf` de caminho temporário (`%TEMP%`, `%APPDATA%`) | | DLL injection | Sysmon EID 8 (CreateRemoteThread) | Thread remota criada em `svchost.exe` originada de processo filho do Word | | Beacon C2 | Sysmon EID 3 + NDR | Tráfego HTTPS periódico e de tamanho fixo de `svchost.exe` para IP/domínio não categorizado | | Persistência | Sysmon EID 13 (Registry Value Set) | Criação de valor em `HKCU\...\CurrentVersion\Run` por processo filho de Office | ```yaml title: APT28 MSHTML - Word Spawning cmstp.exe (CVE-2021-40444 Pattern) status: stable description: Detecta o padrão de exploração do CVE-2021-40444 pelo APT28 — processo filho cmstp.exe originado de winword.exe, indicando abuso de LOLBin após exploração do motor MSHTML via referência OLE2 maliciosa em documento Office. logsource: category: process_creation product: windows detection: selection_parent: ParentImage|endswith: - '\winword.exe' - '\excel.exe' - '\powerpnt.exe' selection_child: Image|endswith: '\cmstp.exe' condition: selection_parent and selection_child falsepositives: - Cenário legítimo de cmstp.exe iniciado por Office é extremamente raro; investigar qualquer ocorrência level: high tags: - attack.execution - attack.t1203 - attack.t1218 - attack.defense_evasion ``` ## Mitigação | Controle | Implementação Prática | Prioridade para Orgs Brasileiras | |----------|-----------------------|----------------------------------| | Aplicar patch CVE-2021-40444 | Garantir que o KB5005565 (setembro de 2021) e atualizações subsequentes estão instalados em todos os endpoints Windows; verificar via WSUS ou Intune Compliance Policy | Crítica — sistemas sem este patch são diretamente vulneráveis ao procedimento documentado | | Desabilitar ActiveX e MSHTML via Group Policy | Configurar GPO `Computer Configuration → Administrative Templates → Windows Components → Internet Explorer` para desabilitar controles ActiveX em Zona de Internet e em documentos Office | Alta — elimina o vetor de exploração mesmo em sistemas com patch pendente | | Bloqueio de conteúdo ativo externo no Office (MOTW) | Habilitar via GPO a política `Block macros from running in Office files from the Internet` e `Always open untrusted files in Protected View`; garantir que MOTW sejá preservado por clientes de email | Alta — reduz drasticamente a superfície de exploração via anexos de email | | Detecção comportamental de process chains de Office | Configurar EDR com regras para alertar em qualquer processo LOLBin (`cmstp.exe`, `mshta.exe`, `regsvr32.exe`, `wscript.exe`) originado de processos Office | Alta — detecta a exploração mesmo de zero-days ainda não patcheados | | Sandboxing de anexos no email gateway | Detonar automaticamente anexos Office em sandbox antes da entrega; bloquear documentos com referências OLE2 para URLs externas | Alta — bloqueia a entrega do vetor inicial; especialmente relevante para organizações sem EDR avançado | | Restrição de `cmstp.exe` via AppLocker/WDAC | Criar regra AppLocker ou Windows Defender Application Control bloqueando execução de `cmstp.exe` por qualquer processo que não sejá serviços de sistema autorizados | Média — reduz efetividade do passo de LOLBin mesmo após comprometimento inicial | --- **Ver também:** [[ Fancy Bear]] · [[apt28-nearest-neighbor|APT28 Nearest Neighbor Campaign]] · [[operation-pawn-storm|Operation Pawn Storm]] · [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]] · [[t1218-system-binary-proxy-execution|T1218 - System Binary Proxy Execution]] · [[t1547-001-registry-run-keys|T1547.001 - Registry Run Keys]] · [[t1055-001-dynamic-link-library-injection|T1055.001 - DLL Injection]] · [[_techniques|Índice de TTPs]]