Análise de Ciberespionagem do APT15: Campanhas e TTPs
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
APT15 é um grupo de ciberespionagem patrocinado pelo estado chinês ativo desde 2010, visando principalmente agências governamentais, missões diplomáticas e organizações militares. Os atores dependem de spear-phishing, exploração de aplicativos voltados para o público e backdoors personalizados para obter acesso inicial e manter a presença a longo prazo. Seu kit de ferramentas inclui esteganografia, disfarce, manipulação de registro e canais C2 criptografados embutidos em cabeçalhos HTTP ou tráfego DNS. A campanha continua a evoluir com novas ferramentas como Graphican e a rede de retransmissão ORB3.
Investigação
A investigação mapeou várias famílias de malware (BS2005, TidePool, MirageFox, Graphican, etc.) e um conjunto abrangente de técnicas ATT&CK abrangendo acesso inicial, execução, persistência, elevação de privilégios, evasão de defesa, acesso a credenciais, descoberta, coleta, exfiltração e comando e controle. Analistas extraíram indicadores concretos incluindo domínios, caminhos de arquivos, chaves de registro e linhas de comando dos dados do caso. A infraestrutura do grupo utiliza domínios como goback.stranged.net and finance.globaleducat.com para operações C2.
Mitigação
As medidas recomendadas de defesa incluem escaneamento rigoroso de anexos de e-mail, aplicação rápida de patches nos aplicativos Microsoft Exchange, SharePoint e VPN, e monitoramento de modificações suspeitas no registro, tarefas agendadas anormais e execução de payloads baseados em rundll32 ou COM. O monitoramento da rede deve focar em atividade atípica de cookies HTTP e consultas DNS TXT alinhadas a padrões conhecidos de C2. Lista branca de aplicativos e análises comportamentais podem ajudar a bloquear o uso de archivers renomeados e payloads baseados em esteganografia em PNG.
Resposta
Quando a atividade do APT15 é detectada, isole o host afetado, capture dados voláteis e todos os artefatos IOC relacionados, e bloqueie os domínios e endereços IP C2 identificados. Realize uma análise forense completa para localizar atalhos persistentes, tarefas agendadas e alterações no registro, depois erradique os componentes maliciosos e redefina quaisquer credenciais comprometidas. Informe os usuários impactados e atualize as regras de detecção para cobrir as linhas de comando observadas, caminhos de arquivos e indicadores de infraestrutura.
Fluxo de Ataque
Detecções
Execução de Software de Arquivamento via Intérprete de Comandos e Scripts (via process_creation)
Ver
Strings Suspeitas do Powershell (via powershell)
Ver
Strings Suspeitas do Powershell (via cmdline)
Ver
Binários / Scripts Suspeitos em Local de Autoinício (via file_event)
Ver
Possível Execução do XCOPY para Coleta de Documentos (via cmdline)
Ver
Extensão de Arquivo Suspeita Adicionada às Chaves de Execução [ASEPs] (via registry_event)
Ver
IOCs (Emails) para detectar: APT15 Ciber Espionagem: Análise de Campanhas e TTPs
Ver
Detecção de Execução de Comandos e Técnicas de Persistência do APT15 [Criação de Processo no Windows]
Ver
Detectar Comunicação C2 do APT15 via Cabeçalhos HTTP Específicos [Conexão de Rede no Windows]
Ver
Execução de Simulação
Pré-requisito: O Teste Prévio de Telemetria & Base deve ter passado.
Narrativa e Comandos do Ataque:
- Preparação: O adversário já comprometeu uma conta de usuário e acessou o ponto de extremidade.
- Armazenamento de Dados (T1059.003): Usando o exato
xcopysintaxe observada na atividade histórica do APT15, o atacante copia os arquivos da área de trabalho da vítima para uma pasta temporária oculta WMI, preservando os carimbos de data/hora (/D:09-29-2021) para se misturar com a atividade legítima do sistema. - Execução de Payload (T1218.002): O atacante então invoca
rundll32.execom um caminho de nome curto (C:DOCUME~1ALLUSE~1IEHelpermshtml.dll) para executar um JavaScript malicioso que estabelece persistência. - Resultado: Ambos os comandos geram eventos de criação de processo distintos que correspondem à seleção
1and2da regra Sigma, desencadeando um alerta.
Script de Teste de Regressão:
# -------------------------------------------------
# Script de Simulação APT15 – aciona regra Sigma
# -------------------------------------------------
# 1. Criar diretórios de armazenamento e arquivos de teste
$src = "C:usersREDACTEDDesktop"
$dst = "C:windowstempwmi"
New-Item -Path $src -ItemType Directory -Force | Out-Null
New-Item -Path $dst -ItemType Directory -Force | Out-Null
Set-Content -Path "$srcsecret.txt" -Value "dados sensíveis" -Encoding UTF8
# 2. Executar o comando exato xcopy usado pelo APT15
$xcopyCmd = "xcopy /D:09-29-2021 /S/Y/C c:usersREDACTEDDesktop c:windowstempwmi"
Invoke-Expression $xcopyCmd
# 3. Implantar o DLL malicioso (simulado copiando um DLL legítimo)
$malDllSrc = "$env:SystemRootSystem32mshtml.dll"
$malDllDst = "C:DOCUME~1ALLUSE~1IEHelpermshtml.dll"
New-Item -Path (Split-Path $malDllDst) -ItemType Directory -Force | Out-Null
Copy-Item -Path $malDllSrc -Destination $malDllDst -Force
# 4. Executar rundll32 com o exato padrão de argumento APT15
$rundllCmd = "rundll32.exe C:DOCUME~1ALLUSE~1IEHelpermshtml.dll, IEHelper"
Invoke-Expression $rundllCmd
# -------------------------------------------------
# Fim da simulação
# -------------------------------------------------
Comandos de Limpeza:
# Remover arquivos e diretórios de armazenamento
Remove-Item -Path "C:usersREDACTEDDesktopsecret.txt" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "C:windowstempwmi" -Recurse -Force -ErrorAction SilentlyContinue
# Remover a pasta e DLL falsas do IEHelper
Remove-Item -Path "C:DOCUME~1ALLUSE~1IEHelper" -Recurse -Force -ErrorAction SilentlyContinue
# Opcional: parar Sysmon (apenas se necessário para o teste)
# & "$env:ProgramFilesSysinternalsSysmon.exe" -u