Campanha rastreada como CL-STA-1087 usa backdoors, coleta seletiva de documentos militares e técnicas de evasão para manter acesso prolongado a ambientes comprometidos.
| Componente | Backdoors AppleChris e MemFun, além do coletor de credenciais Getpass, usados contra organizações militares do Sudeste Asiático. |
| Vetor | O vetor inicial não foi identificado; a intrusão foi detectada a partir de execução suspeita de PowerShell, espera prolongada e criação posterior de shells reversos para C2 controlado pelo operador. |
| Impacto | Acesso persistente, enumeração de arquivos e processos, transferência e exclusão de arquivos, execução remota de shell e tentativa de extração de credenciais da memória de lsass.exe. |
| Prioridade | Investigar execução anômala de PowerShell, uso de DLL hijacking, consultas a Pastebin/Dropbox para resolução de C2, process hollowing em dllhost.exe e sinais de coleta direcionada de documentos militares. |
| Artefatos | A cadeia envolve AppleChris, MemFun, Getpass, configuração C2 obtida por Pastebin em Base64 e, em uma variante, Dropbox como fonte primária com Pastebin como fallback. |
| Tática | A atividade combina persistência, evasão de sandbox por atrasos de execução, infraestrutura estável e implantação de payloads sob medida para acesso não autorizado prolongado. |
A campanha rastreada como CL-STA-1087 tem foco em organizações militares do Sudeste Asiático e apresenta comportamento compatível com operações de inteligência de longo prazo. O objetivo observado não é coleta indiscriminada de dados, mas busca seletiva por documentos ligados a capacidades militares, estruturas organizacionais, registros de reuniões oficiais, atividades militares conjuntas e colaboração com forças armadas ocidentais. Esse padrão reduz ruído operacional, concentra a coleta em arquivos de alto valor e indica que o operador entende previamente quais categorias documentais são relevantes para sua missão.
O conjunto de ferramentas inclui os backdoors AppleChris e MemFun, além de um coletor de credenciais chamado Getpass. A intrusão foi identificada após execução suspeita de PowerShell que entrou em espera por seis horas antes de criar shells reversos para um servidor de comando e controle. O acesso inicial permanece desconhecido, portanto a análise defensiva deve evitar assumir phishing, exploração de vulnerabilidade ou credenciais válidas como causa confirmada. O que está sustentado pelos artefatos descritos é uma fase pós-comprometimento com movimentação lateral, persistência, coleta direcionada e comunicação C2 mediada por serviços externos usados como resolvedores de endereço.
Após o comprometimento inicial, o operador implanta versões diferentes de AppleChris em endpoints alvo, inclusive depois de movimentação lateral. Essa variação entre implantações ajuda a manter persistência e dificulta detecção baseada apenas em assinatura estática. O malware é iniciado por DLL hijacking, técnica em que uma aplicação legítima carrega uma biblioteca controlada pelo atacante devido à ordem de busca ou a dependências manipuladas. Uma vez carregado, AppleChris contata o C2 e recebe comandos para enumerar unidades, listar diretórios, enviar arquivos, baixar arquivos, excluir arquivos, enumerar processos, executar shell remoto e criar processos de forma silenciosa.
As variantes de AppleChris e MemFun usam um mecanismo de dead drop resolver. Em vez de embutir diretamente o endereço real do C2 no binário, elas acessam uma conta compartilhada no Pastebin para recuperar a configuração, armazenada em formato Base64. Uma variante de AppleChris também consulta Dropbox para obter a informação de C2 e usa Pastebin como fallback. Esse desenho desacopla o binário da infraestrutura final, permite alterar destinos sem redistribuir o implante e reduz a exposição direta do servidor controlador em amostras coletadas por defensores.
MemFun opera como uma cadeia de múltiplos estágios. Um loader inicial injeta shellcode que inicia um downloader em memória; esse downloader busca detalhes de configuração no Pastebin, comunica-se com o C2 e obtém uma DLL que aciona a execução do backdoor. Como a DLL é entregue em tempo de execução, o operador consegue trocar payloads sem modificar a etapa inicial. Na prática, isso transforma MemFun em uma plataforma modular, mais flexível que um backdoor estático, e aumenta a importância de telemetria de memória, criação de processos e conexões de rede associadas ao processo hospedeiro.
A cadeia de execução de MemFun inclui verificações antiforenses e alteração do próprio timestamp de criação para coincidir com o diretório de sistema do Windows. Em seguida, o payload principal é injetado em um processo suspenso associado a dllhost.exe por process hollowing, permitindo que a execução maliciosa aparente ocorrer sob um processo legítimo. Algumas variantes também usam temporizadores de 30 segundos em executáveis e 120 segundos em DLLs para atrasar comportamento malicioso e ultrapassar janelas curtas de análise automatizada em sandbox.
A superfície exposta envolve estáções e servidores Windows dentro de ambientes militares comprometidos, especialmente sistemas com acesso a arquivos de planejamento, registros oficiais, avaliações de capacidades operacionais e documentação de C4I, isto é, comando, controle, comunicações, computadores e inteligência. O risco não depende apenas do endpoint infectado: quando o operador alcança compartilhamentos, diretórios de trabalho, repositórios internos ou estáções de usuários com acesso privilegiado a documentos estratégicos, a coleta seletiva pode ocorrer mesmo sem sinais de exfiltração em grande volume.
O uso de Getpass, uma versão customizada de Mimikatz, amplia o risco para identidade. A ferramenta tenta elevar privilégios e extrair senhas em texto claro, hashes NTLM e dados de autenticação diretamente da memória de lsass.exe. Esse comportamento não confirma por si só uso bem-sucedido das credenciais extraídas, mas torna necessária a revisão de sessões, contas administrativas, logons laterais e exposição de credenciais reutilizadas em ativos sensíveis.
- Endpoints Windows com execução suspeita de PowerShell seguida de longos períodos de espera e comunicação externa posterior.
- Hosts nos quais DLL hijacking, criação silenciosa de processos ou execução remota de shell tenham ocorrido sem justificativa operacional.
- Processos associados a
dllhost.execom árvore de processos, memória, módulos carregados ou conexões de rede inconsistentes com o perfil normal do host. - Contas com acesso a documentos de estrutura militar, C4I, registros de reunião e atividades conjuntas com forças externas.
- Ambientes com tráfego para Pastebin ou Dropbox usado por binários não autorizados como mecanismo de resolução de C2.
A investigação deve começar por eventos de PowerShell que combinem execução anômala, períodos incomuns de inatividade e posterior criação de canal reverso. Como o vetor inicial não foi confirmado, a telemetria precisa cobrir endpoints, identidade, rede e movimentação lateral. Em EDR, procure encadeamentos nos quais um processo de usuário ou serviço carregue DLL fora de local esperado, inicie processos filhos silenciosos, enumere unidades e diretórios em sequência e acesse arquivos em áreas ligadas a planejamento ou registros institucionais.
No tráfego de rede, o ponto de interesse não é apenas o C2 final, que pode mudar, mas a consulta a serviços usados como resolvedores. Acesso automatizado a Pastebin contendo dados codificados em Base64, especialmente por processos que não deveriam consultar esse serviço, deve ser correlacionado com execução de binários recentes, carregamento de DLLs e conexões subsequentes para destinos externos. A presença de Dropbox como fonte de configuração em uma variante exige análise por processo, usuário e horário, distinguindo uso corporativo legítimo de uso por implantes.
Para MemFun, a defesa deve priorizar sinais de execução em memória e process hollowing. Eventos de criação de processo suspenso, inconsistência entre imagem em disco e conteúdo executado em memória, alteração suspeita de timestamp, módulos carregados em dllhost.exe e ausência de artefatos persistentes em disco são sinais relevantes. Para Getpass, monitore acesso anômalo à memória de lsass.exe, tentativas de elevação de privilégio e criação de handles sensíveis por processos que não fazem parte de ferramentas administrativas aprovadas.
- PowerShell com atraso prolongado antes de conexão externa ou criação de shell reverso.
- DLL carregada por aplicação legítima a partir de diretórios inesperados ou com histórico recente de criação/modificação.
- Consultas automatizadas a Pastebin ou Dropbox por processos sem perfil de navegação ou sincronização legítima.
- Dados codificados em Base64 recuperados de serviços públicos e usados como configuração de comunicação externa.
dllhost.execom conexões de rede, memória alterada, processo suspenso prévio ou comportamento incompatível com COM legítimo.- Acesso à memória de
lsass.exe, extração de hashes NTLM ou tentativas de leitura de credenciais por binários não autorizados. - Busca intensiva por documentos relacionados a C4I, estruturas de comando, reuniões oficiais e atividades militares conjuntas.
A resposta deve tratar os hosts afetados como parte de uma operação de acesso persistente, não como infecção isolada. Primeiro, isole sistemas com sinais de shell reverso, DLL hijacking, process hollowing ou acesso a lsass.exe, preservando memória e artefatos voláteis antes de reinicializações quando a política de resposta permitir. Em seguida, correlacione a linha do tempo entre execução de PowerShell, implantação de AppleChris, possível uso de MemFun, consultas a resolvedores externos e acesso a arquivos sensíveis. Essa ordem ajuda a separar a entrada inicial, ainda desconhecida, das ações confirmadas de pós-comprometimento.
A contenção precisa incluir identidade. Contas usadas nos endpoints comprometidos, principalmente administrativas ou com acesso a documentação militar, devem passar por rotação de credenciais e invalidação de sessões. A presença de Getpass justifica revisão de hashes, senhas em texto claro expostas em memória e reutilização de credenciais entre estáções, servidores e compartilhamentos. Bloqueios de rede devem priorizar comunicação não autorizada com C2 e uso indevido de serviços públicos como resolvedores, sem interromper usos corporativos legítimos sem análise de escopo.
A recuperação exige erradicação dos implantes, remoção de mecanismos de carga por DLL hijacking, validação de integridade de binários e reforço de controles de execução. Regras de detecção devem combinar comportamento, não apenas nomes de malware, porque a campanha utiliza variantes e infraestrutura ajustável. Para reduzir reincidência, restrinja execução de PowerShell onde não for necessária, aplique política de controle de aplicações, monitore carga de DLL em caminhos graváveis por usuário e aumente retenção de logs de endpoint, identidade e proxy para cobrir períodos de dormência de meses.
- Isolar hosts com sinais de shell reverso, DLL hijacking, process hollowing ou acesso suspeito a
lsass.exe. - Preservar memória, árvore de processos, módulos carregados, artefatos de PowerShell e conexões de rede antes da limpeza.
- Rotacionar credenciais de contas expostas em endpoints comprometidos e revisar logons laterais associados.
- Bloquear ou alertar uso automatizado de Pastebin e Dropbox por processos não autorizados como resolvedores de C2.
- Remover DLLs não autorizadas, validar caminhos de carga e restaurar binários legítimos afetados por hijacking.
- Criar detecções comportamentais para enumeração de unidades, listagem de diretórios sensíveis, transferência de arquivos e execução remota de shell.
- Revisar acessos a documentos de C4I, registros de reuniões, estruturas organizacionais e atividades militares conjuntas durante a janela da intrusão.
0 Comentários