# DoraRAT - Andariel Coreia do Sul 2024 > [!high] RAT minimalista em Go desenvolvido pelo grupo norte-coreano Andariel, descoberto em julho de 2024 como parte de operações de espionagem contra empresas de defesa, construção e manufatura na Coreia do Sul - durante o mesmo período em que o DoJ dos EUA indiciou o operador Rim Jong Hyok pelo grupo. ## Visão Geral O DoraRAT é um trojan de acesso remoto (RAT) minimalista escrito em Go (Golang), atribuído ao grupo [[g0138-andariel]] (também rastreado como Onyx Sleet, APT45, Silent Chollima e Stonefly/Clasiopa). O malware foi identificado em julho de 2024 pela Microsoft Threat Intelligence em operações ativas contra alvos sul-coreanos nos setores de defesa, construção e manufatura. O nome "DoraRAT" foi aplicado pelos pesquisadores da Microsoft, que descreveram o malware como uma "cepa simples de malware" com suporte a shell reverso e capacidades de download/upload de arquivos. A simplicidade do DoraRAT é intencional e consistente com a filosofia do Andariel: ferramentas específicas e leves para tarefas específicas dentro de uma cadeia de ataque modular mais ampla. O grupo foi observado usando o DoraRAT em conjunto com outros implantes customizados e ferramentas abertas (PuTTY, WinSCP) para persistência e exfiltração. O contexto histórico é relevante: o DoraRAT surgiu públicamente no mesmo mês (julho de 2024) em que o Departamento de Justiça dos EUA indiciou Rim Jong Hyok, membro do Andariel, pelos ataques a hospitais e agências governamentais americanas com o [[andariel-maui-ransomware-healthcare|Maui Ransomware]]. Isso demonstra a capacidade do grupo de operar em múltiplas frentes simultaneamente - ataques ransomware para financiamento e espionagem estratégica para o regime norte-coreano. Para o Brasil e LATAM, o [[g0138-andariel]] representa uma ameaça crescente: o grupo expandiu seus alvos além da Coreia do Sul e EUA para incluir Japão, Índia e alvos globais nas indústrias de defesa e energia nuclear. Organizações com contratos de defesa ou pesquisa de tecnologia avançada na região devem estar alertas. ## Como Funciona ### Attack Flow - Andariel com DoraRAT (2024) ```mermaid graph TB A["🎯 Reconhecimento<br/>Alvos defesa / construcao<br/>Coreia do Sul"] --> B["💥 Acesso Inicial<br/>Exploits em servicos expostos<br/>Log4Shell, VPNs, Exchange"] B --> C["🌐 Webshell<br/>Implantação em servidor<br/>para acesso persistente"] C --> D["🐀 Deploy DoraRAT<br/>RAT Go minimalista<br/>Shell reverso + file ops"] D --> E["📡 C2 via HTTP/HTTPS<br/>Comúnicação periodica<br/>beaconing para C2"] E --> F["📤 Exfiltração<br/>WinSCP/PuTTY para FTP<br/>Storage em nuvem isolado"] F --> G["🔍 Coleta de Intel<br/>IP militar, planos defesa<br/>tecnologia avancada"] ``` ## Capacidades Técnicas O DoraRAT é um RAT deliberadamente minimalista, em contraste com ferramentas mais complexas do Andariel: | Capacidade | Descrição | |-----------|-----------| | Shell reverso | Executa comandos arbitrários enviados pelo operador via C2 | | Download de arquivos | Recebe arquivos do servidor C2 para o sistema comprometido | | Upload de arquivos | Envia arquivos do sistema comprometido para o servidor C2 | | Comúnicação HTTP | Beaconing HTTP/HTTPS periódico para servidor C2 | | Implementação Go | Binário Go compila para múltiplas plataformas sem dependências externas | ## Contexto - Arsenal do Andariel 2024 O DoraRAT é uma das várias ferramentas customizadas do Andariel identificadas na campanha de espionagem documentada no advisory AA24-207A: ```mermaid timeline title Andariel - Evolução de Ferramentas 2021-2024 2021 : Maui Ransomware contra hospitais EUA 2022 : CISA Advisory AA22-187A documenta operacoes 2023 : Campanhas contra defesa, aerospace, nuclear 2024-07 : Advisory AA24-207A e indiciamento Rim Jong Hyok 2024-07 : DoraRAT identificado contra alvos Coreia do Sul 2024 : Play Ransomware colaboracao documentada 2025 : Grupo continua campanhas globais de espionagem ``` O Andariel usa um arsenal modular onde cada ferramenta cumpre uma função específica: - **DoraRAT** - Shell reverso e transferência de arquivos (Go) - **Maui Ransomware** - Extorsão de hospitais para financiamento - **Implantes customizados** - Ferramentas específicas por campanha - **Open-source** - Mimikatz (credenciais), PuTTY/WinSCP (exfiltração) - **Loaders** - Scheduled Tasks para persistência inicial ## TTPs Principais | Fase | Técnica MITRE | Descrição | |------|--------------|-----------| | Acesso Inicial | [[T1190-exploit-public-facing-application\|T1190]] | Exploração de vulnerabilidades em serviços web expostos | | Acesso Inicial | [[T1078-valid-accounts\|T1078]] | Uso de credenciais roubadas para acesso a sistemas | | Persistência | [[T1053-scheduled-task\|T1053.005]] | Scheduled Tasks para manutenção de acesso | | Execução | [[T1059-command-and-scripting-interpreter\|T1059]] | Shell reverso via DoraRAT para execução de comandos | | C2 | [[T1071-application-layer-protocol\|T1071.001]] | Beaconing HTTP/HTTPS periódico para C2 | | Exfiltração | [[T1041-exfiltration-over-c2-channel\|T1041]] | Dados enviados para VPS externos controlados pelo grupo | | Evasão | [[T1036-masquerading\|T1036]] | Atividade de rede se mistura com tráfego legítimo | ## Vitimologia Documentada (2024) O advisory AA24-207A documenta os alvos de espionagem do Andariel em 2024: | Setor | Tipo de Dado Roubado | |-------|---------------------| | Defesa (EUA) | Tecnologia de aeronaves militares, sistemas de mísseis | | NASA | 17+ GB de dados não classificados | | Bases Aéreas (EUA) | Randolph AFB (Texas), Robins AFB (Georgia) | | Defesa (Coreia do Sul) | Planos de defesa, propriedade intelectual | | Defesa (Taiwan) | Tecnologia de contratistas de defesa | | Energia (China) | Informações de empresa de energia (caso isolado) | ## Detecção e Defesa ### Mitigações Prioritárias 1. **Monitorar beaconing** - Detectar comúnicações HTTP periódicas e regulares para IPs externos desconhecidos 2. **Proteger serviços expostos** - Aplicar patches para Log4Shell, vulnerabilidades VPN, Exchange 3. **Controlar ferramentas de transferência** - Auditar uso de WinSCP, PuTTY, rclone em sistemas críticos 4. **Implementar MFA** em todos os acessos remotos sem exceção 5. **Hunting por Go binaries** - Detectar executáveis compilados em Go em diretórios incomuns 6. **Segmentar redes** de sistemas com propriedade intelectual de alto valor ### Indicadores de Comprometimento > [!ioc]- IOCs - DoraRAT / Andariel 2024 (TLP:GREEN) > **YARA - Andariel Scheduled Task Loader (FBI):** > `Andariel_ScheduledTask_Loader` (regra YARA disponível no advisory AA24-207A) > > **Comportamento suspeito:** > - Binário Go sem assinatura digital em diretórios não padronizados > - Comúnicação HTTP periódica (beaconing) para VPS externos > - Uso de WinSCP ou PuTTY para transferência de dados em horários fora do expediente > - Scheduled Tasks criadas por processos incomuns > > **Oferta de recompensa:** > State Department oferece recompensa de USD 10 milhões por informações sobre Rim Jong Hyok > > **Fontes:** [CISA Advisory AA24-207A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a) · [Microsoft Onyx Sleet Profile](https://www.microsoft.com/en-us/security/blog/2024/07/25/onyx-sleet-uses-array-of-malware/) · [DOJ Indictment Rim Jong Hyok](https://www.justice.gov/archives/opa/pr/north-korean-government-hacker-charged-involvement-ransomware-attacks-targeting-us-hospitals) ## Referências - [CISA Advisory AA24-207A - North Korea Global Espionage Campaign (2024)](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a) - [DOJ - North Korean Hacker Rim Jong Hyok Indicted (2024)](https://www.justice.gov/archives/opa/pr/north-korean-government-hacker-charged-involvement-ransomware-attacks-targeting-us-hospitals) - [Microsoft - Onyx Sleet Uses Array of Malware (2024)](https://www.microsoft.com/en-us/security/blog/2024/07/25/onyx-sleet-uses-array-of-malware/) - [The Hacker News - US DOJ Indicts North Korean Hacker (2024)](https://thehackernews.com/2024/07/us-doj-indicts-north-korean-hacker-for.html) - [MITRE ATT&CK - Andariel G0138](https://attack.mitre.org/groups/G0138/)