SOC Prime Bias: Crítico

16 Dec 2025 16:22 UTC

Análise de Ciberespionagem do APT15: Campanhas e TTPs

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Análise de Ciberespionagem do APT15: Campanhas e TTPs
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

APT15 é um grupo de ciberespionagem patrocinado pelo estado chinês ativo desde 2010, visando principalmente agências governamentais, missões diplomáticas e organizações militares. Os atores dependem de spear-phishing, exploração de aplicativos voltados para o público e backdoors personalizados para obter acesso inicial e manter a presença a longo prazo. Seu kit de ferramentas inclui esteganografia, disfarce, manipulação de registro e canais C2 criptografados embutidos em cabeçalhos HTTP ou tráfego DNS. A campanha continua a evoluir com novas ferramentas como Graphican e a rede de retransmissão ORB3.

Investigação

A investigação mapeou várias famílias de malware (BS2005, TidePool, MirageFox, Graphican, etc.) e um conjunto abrangente de técnicas ATT&CK abrangendo acesso inicial, execução, persistência, elevação de privilégios, evasão de defesa, acesso a credenciais, descoberta, coleta, exfiltração e comando e controle. Analistas extraíram indicadores concretos incluindo domínios, caminhos de arquivos, chaves de registro e linhas de comando dos dados do caso. A infraestrutura do grupo utiliza domínios como goback.stranged.net and finance.globaleducat.com para operações C2.

Mitigação

As medidas recomendadas de defesa incluem escaneamento rigoroso de anexos de e-mail, aplicação rápida de patches nos aplicativos Microsoft Exchange, SharePoint e VPN, e monitoramento de modificações suspeitas no registro, tarefas agendadas anormais e execução de payloads baseados em rundll32 ou COM. O monitoramento da rede deve focar em atividade atípica de cookies HTTP e consultas DNS TXT alinhadas a padrões conhecidos de C2. Lista branca de aplicativos e análises comportamentais podem ajudar a bloquear o uso de archivers renomeados e payloads baseados em esteganografia em PNG.

Resposta

Quando a atividade do APT15 é detectada, isole o host afetado, capture dados voláteis e todos os artefatos IOC relacionados, e bloqueie os domínios e endereços IP C2 identificados. Realize uma análise forense completa para localizar atalhos persistentes, tarefas agendadas e alterações no registro, depois erradique os componentes maliciosos e redefina quaisquer credenciais comprometidas. Informe os usuários impactados e atualize as regras de detecção para cobrir as linhas de comando observadas, caminhos de arquivos e indicadores de infraestrutura.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Teste Prévio de Telemetria & Base deve ter passado.

Narrativa e Comandos do Ataque:

  1. Preparação: O adversário já comprometeu uma conta de usuário e acessou o ponto de extremidade.
  2. Armazenamento de Dados (T1059.003): Usando o exato xcopy sintaxe observada na atividade histórica do APT15, o atacante copia os arquivos da área de trabalho da vítima para uma pasta temporária oculta WMI, preservando os carimbos de data/hora (/D:09-29-2021) para se misturar com a atividade legítima do sistema.
  3. Execução de Payload (T1218.002): O atacante então invoca rundll32.exe com um caminho de nome curto (C:DOCUME~1ALLUSE~1IEHelpermshtml.dll) para executar um JavaScript malicioso que estabelece persistência.
  4. Resultado: Ambos os comandos geram eventos de criação de processo distintos que correspondem à seleção 1 and 2 da regra Sigma, desencadeando um alerta.

Script de Teste de Regressão:

# -------------------------------------------------
# Script de Simulação APT15 – aciona regra Sigma
# -------------------------------------------------

# 1. Criar diretórios de armazenamento e arquivos de teste
$src = "C:usersREDACTEDDesktop"
$dst = "C:windowstempwmi"
New-Item -Path $src -ItemType Directory -Force | Out-Null
New-Item -Path $dst -ItemType Directory -Force | Out-Null
Set-Content -Path "$srcsecret.txt" -Value "dados sensíveis" -Encoding UTF8

# 2. Executar o comando exato xcopy usado pelo APT15
$xcopyCmd = "xcopy /D:09-29-2021 /S/Y/C c:usersREDACTEDDesktop c:windowstempwmi"
Invoke-Expression $xcopyCmd

# 3. Implantar o DLL malicioso (simulado copiando um DLL legítimo)
$malDllSrc = "$env:SystemRootSystem32mshtml.dll"
$malDllDst = "C:DOCUME~1ALLUSE~1IEHelpermshtml.dll"
New-Item -Path (Split-Path $malDllDst) -ItemType Directory -Force | Out-Null
Copy-Item -Path $malDllSrc -Destination $malDllDst -Force

# 4. Executar rundll32 com o exato padrão de argumento APT15
$rundllCmd = "rundll32.exe C:DOCUME~1ALLUSE~1IEHelpermshtml.dll, IEHelper"
Invoke-Expression $rundllCmd

# -------------------------------------------------
# Fim da simulação
# -------------------------------------------------

Comandos de Limpeza:

# Remover arquivos e diretórios de armazenamento
Remove-Item -Path "C:usersREDACTEDDesktopsecret.txt" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "C:windowstempwmi" -Recurse -Force -ErrorAction SilentlyContinue

# Remover a pasta e DLL falsas do IEHelper
Remove-Item -Path "C:DOCUME~1ALLUSE~1IEHelper" -Recurse -Force -ErrorAction SilentlyContinue

# Opcional: parar Sysmon (apenas se necessário para o teste)
# & "$env:ProgramFilesSysinternalsSysmon.exe" -u