g0048-rtm - RunkIntel

# RTM > [!warning] Trojan Bancário Russo Especializado em Remote Banking Systems > RTM (Group) é um grupo de cibercrime financeiro russo ativo desde 2015, especializado em atacar empresas que utilizam **sistemas de banco remoto (RBS)** - software contábil específico do mercado russo como 1C:Enterprise e sistemas de pagamento eletrônico. O trojan homônimo [[g0048-rtm|RTM]] é sofisticado: usa **LiveJournal, Bitcoin blockchain e feeds RSS como dead-drop resolvers para C2** - técnica inusitada que dificulta bloqueio por firewalls. O grupo foca em pequenas e médias empresas com menor maturidade de segurança, usando drive-by downloads e spear-phishing para infectar computadores usados para pagamentos B2B. ## Visão Geral O **RTM Group** foi documentado pela ESET em fevereiro de 2017, embora o grupo estivesse ativo desde pelo menos 2015. O foco é cirúrgico: **empresas russas e CIS que usam sistemas de remote banking** para realizar pagamentos eletrônicos a fornecedores e parceiros. O modelo de ataque é eficiente: infectar o computador do contador ou gerente financeiro, capturar credenciais do sistema bancário remoto e, quando a vítima realiza uma transferência legítima, modificar os dados de destino (ou criar uma transferência fraudulenta) para desviar fundos antes que o banco processe a transação. Características técnicas notáveis: - **Dead Drop Resolver**: o trojan RTM usa LiveJournal, feeds RSS e até transações do blockchain Bitcoin para obter endereços de C2 - tornando o bloqueio práticamente impossível sem bloquear serviços legítimos - **Foco em 1C:Enterprise**: o software de contabilidade mais usado na Rússia; o grupo tem módulos específicos para interceptar transações no 1C - **Remote Access via RMS/TeamViewer**: após comprometimento, operadores acessam manualmente o sistema para realizar fraudes ou ajustar o malware - **Anti-análise**: o trojan verifica ambientes de sandbox e debuggers, dificultando análise forense O grupo foi responsável por centenas de casos documentados no espaço CIS, com perdas individuais variando de dezenas a centenas de milhares de dólares por empresa. ## Attack Flow - Fraude em Remote Banking ```mermaid graph TB A["Acesso Inicial T1189 drive-by download T1566.001 phishing fiscal"] --> B["Deploy RTM Trojan T1105 ingress tool T1574.001 DLL hijack"] B --> C["Persistência T1547.001 registry run conexão C2 via dead drop"] C --> D["Vigilancia Financeira T1056.001 keylogging T1113 screen capture"] D --> E["Acesso RBS T1219.002 remote desktop captura credenciais 1C"] E --> F["Transferencia Fraudulenta modificacao dados pagamento saque ou wire transfer"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2980b9,color:#fff style F fill:#196f3d,color:#fff ``` ## Técnica Única: Dead Drop Resolver ```mermaid graph TB A["RTM Trojan infecta host"] --> B["Consulta LiveJournal post específico com endereço C2 ofuscado"] B --> C["Alternativa: Bitcoin blockchain transação com dados C2 codificados no OP_RETURN"] C --> D["C2 obtido de canal legítimo impossível de bloquear sem falsos positivos"] D --> E["Operador conecta ao host via RMS/TeamViewer para fraude manual"] style A fill:#922b21,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#2980b9,color:#fff style E fill:#196f3d,color:#fff ``` ## Campanhas e Atividade | Período | Atividade | Vitimas | Detalhe | |---------|---------|---------|---------| | 2015-2016 | Operações iniciais | PMEs russas | Primeiros casos de 1C fraude | | Fev 2017 | ESET Disclosure | (pesquisa) | RTM trojan documentado; análise técnica completa | | 2017-2019 | Pico de atividade | Centenas de PMEs | Alta frequência de campanhas; drive-by + phishing | | 2020 | Pandemia/remote work | Alvos domésticos | Exploração de VPNs e RDP para acesso | | 2021-2022 | Continuidade | Rússia, Ucrânia | Novas variantes do trojan RTM | | 2023 | Redução observada | Rússia CIS | Possível pivô para outros modelos | ## Arsenal Técnico | Ferramenta | Tipo | Função | |-----------|------|--------| | [[g0048-rtm\|RTM Trojan]] | Trojan bancário | Módulo principal; keylogging, screen capture, dead drop C2 | | TeamViewer/RMS | Remote access | Acesso manual para operações de fraude | | Scripts PowerShell | Auxiliary | Discovery e persistência pós-comprometimento | ## TTPs em Detalhe ### Acesso Inicial - Drive-by compromise ([[t1189-drive-by-compromise|T1189]]) via watering holes - fóruns contábeis e sites de software fiscal russo - Spear-phishing ([[t1566-001-spearphishing-attachment|T1566.001]]) com anexos temáticos: "relatório contábil", "nota fiscal eletrônica", "DAS/DARF" ### Persistência e C2 - Registry run keys ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) para persistência no boot - DLL hijacking ([[t1574-001-dll|T1574.001]]) para execução furtiva - Dead drop resolver ([[t1102-001-dead-drop-resolver|T1102.001]]) via LiveJournal, RSS e Bitcoin blockchain para descoberta de C2 ### Coleta e Fraude - Keylogging ([[t1056-001-keylogging|T1056.001]]) para captura de credenciais do sistema bancário remoto - Screen capture ([[t1113-screen-capture|T1113]]) para reconhecimento de fluxos financeiros - Remote desktop software ([[t1219-002-remote-desktop-software|T1219.002]]) para acesso manual pelo operador ## Timeline ```mermaid timeline title RTM Group - Linha do Tempo 2015 : Primeiras operações : PMEs russas como alvo 2017-02 : ESET documenta o grupo : Análise técnica completa do trojan 2017-2019 : Pico de atividade : Centenas de casos documentados 2020 : Adaptação ao work-from-home : VPNs e RDP como vetores 2021-2023 : Atividade continuada : Novas variantes, mesmo foco ``` ## Relevância para o Brasil e LATAM > [!info] Risco Baixo Direto - Modelo Arquetípico para Fraude Financeira > RTM Group tem foco geográfico restrito à Rússia e países da CIS, com histórico zero de operações documentadas contra alvos brasileiros ou latino-americanos. O risco direto é baixo. O valor para profissionais de segurança no Brasil está no **modelo de ataque**, não no grupo em si: - **Sistemas ERP/Contábil como vetor**: o modelo RTM (infectar contador, capturar credenciais de sistema bancário) é replicável contra usuários do SAP, TOTVS ou Oracle no Brasil - **Drive-by via fóruns especializados**: a técnica de usar watering holes em fóruns contábeis e fiscais é replicável no contexto brasileiro (Receita Federal fóruns, CRC online communities) - **Dead drop resolver via blockchain**: a técnica é cada vez mais adotada por grupos de malware globalmente, incluindo grupos que atacam LATAM Organizações brasileiras com risco de modelo similar: - Departamentos de AP (Accounts Payable) e tesouraria com usuários de bancos corporativos - Empresas que usam Internet Banking empresarial com baixa proteção (sem HSM, MFA fraco) - Contadores de PMEs que usam o mesmo computador para contabilidade e navegação geral ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | Processo acessando LiveJournal ou feeds RSS com dados binários | Proxy: anomaly detection em acessos a blog platforms | | DLL desconhecida carregada por processo financeiro (1C, SAP) | EDR: monitorar DLL loads incomuns em processos de software financeiro | | TeamViewer ou RMS instalado sem aprovação de TI | Asset mgmt + EDR: alertas para RAT/RMT não autorizado | | Keylogger capturando campos de senha em browser corporativo | EDR: comportamento de keylogging em processos de interface | | Screen capture de jánelas de home banking com alta frequência | EDR: processo tirand screenshots de jánelas de browser | | Drive-by via script de browser em site de conteúdo | Proxy/DNS: bloqueio de scripts de domínios não categorizados | ## Referências - [1](https://attack.mitre.org/groups/G0048/) MITRE ATT&CK - G0048 RTM (2024) - [2](https://www.welivesecurity.com/2017/02/28/rtm-cybercriminal-group-targeting-remote-banking-systems/) ESET WeLiveSecurity - RTM Cybercriminal Group Targeting Remote Banking (2017) - [3](https://www.group-ib.com/blog/rtm/) Group-IB - RTM: New Banking Trojan with Unusual Features (2017) - [4](https://www.secureworks.com/research/threat-profiles/gold-crestwood) SecureWorks - GOLD CRESTWOOD (RTM) Threat Profile (2022) - [5](https://www.f5.com/labs/articles/threat-intelligence/rtm-group-targeting-russian-businesses) F5 Labs - RTM Group Targeting Russian Businesses (2019) **Setores alvejados:** [[financial|Financeiro]] · [[banking|Bancário]] **TTPs principais:** [[t1189-drive-by-compromise|T1189]] · [[t1102-001-dead-drop-resolver|T1102.001]] · [[t1056-001-keylogging|T1056.001]]