g0078-gorgon-group

# Gorgon Group > [!warning] **Gorgon Group** é um grupo de ameaça atribuído a **Russia**. ## Descrição Gorgon Group é um grupo de ameaças cujos membros são suspeitos de ter base no Paquistão ou de possuir outras conexões com o país. O grupo realizou uma combinação de ataques criminosos e direcionados, incluindo campanhas contra organizações governamentais no Reino Unido, Espanha, Rússia e Estados Unidos. ## Técnicas Utilizadas - [[t1055-012-process-hollowing|T1055.012 - Process Hollowing]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1106-native-api|T1106 - Native API]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1564-003-hidden-window|T1564.003 - Hidden Window]] - [[t1055-002-portable-executable-injection|T1055.002 - Portable Executable Injection]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1547-009-shortcut-modification|T1547.009 - Shortcut Modification]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1588-002-tool|T1588.002 - Tool]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] ## Software Utilizado - [[s0336-nanocore|NanoCore]] - [[s0262-quasarrat|QuasarRAT]] - [[s0332-remcos|Remcos]] - [[s0385-njrat|njRAT]] ## Relevância para o Brasil e LATAM > [!warning] RATs Criminosos Comuns em LATAM > Gorgon Group utiliza RATs amplamente disseminados ([[s0385-njrat|njRAT]], [[s0336-nanocore|NanoCore]]) que são **extremamente comuns em campanhas criminosas na região LATAM**. A combinação de phishing, process injection e coleta de dados via keylogging/screenshot é padrão em campanhas de roubo de credenciais bancárias e fraude contra brasileiros. O grupo demonstra TTPs similares a operadores criminosos sul-americanos (Argentina, Brasil, Colômbia) que exploram a mesma cadeia de ferramentas públicas. A sofisticação está em **automação e distribuição em massa** via phishing direcionado, não em malware zero-day. Usuários e empresas brasileiras devem exercer cautela extrema com anexos de email suspeitos contendo executáveis, even com nomes legítimos. --- *Fonte: [MITRE ATT&CK - G0078](https://attack.mitre.org/groups/G0078)* ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota.