s0456-aria-body - RunkIntel

# Aria-body > Tipo: **malware** · S0456 · [MITRE ATT&CK](https://attack.mitre.org/software/S0456) ## Descrição [[s0456-aria-body|Aria-body]] é um backdoor personalizado utilizado pelo [[g0019-naikon|Naikon]] desde aproximadamente 2017, direcionado a alvos governamentais e militares no sudeste asiático e Pacífico. O [[g0019-naikon|Naikon]] é um grupo de espionagem vinculado à China com foco em coleta de inteligência de alto valor, e o [[s0456-aria-body|Aria-body]] representa uma ferramenta sofisticada construída para operações prolongadas de espionagem. O backdoor emprega [[t1568-002-domain-generation-algorithms|T1568.002 - Domain Generation Algorithms]] para dificultar o bloqueio de infraestrutura C2, e utiliza [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] para comúnicações furtivas. As capacidades de coleta incluem [[t1113-screen-capture|T1113 - Screen Capture]], [[t1025-data-from-removable-media|T1025 - Data from Removable Media]] e reconhecimento extenso via [[t1016-system-network-configuration-discovery|T1016]] e [[t1082-system-information-discovery|T1082]]. A manipulação de tokens via [[t1134-002-create-process-with-token|T1134.002 - Creaté Process with Token]] permite elevação de privilégios, enquanto a persistência é garantida por [[t1547-001-registry-run-keys-startup-folder|T1547.001]]. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1106-native-api|T1106 - Native API]] - [[t1568-002-domain-generation-algorithms|T1568.002 - Domain Generation Algorithms]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1025-data-from-removable-media|T1025 - Data from Removable Media]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1134-002-create-process-with-token|T1134.002 - Creaté Process with Token]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1010-application-window-discovery|T1010 - Application Window Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Grupos que Usam - [[g0019-naikon|Naikon]] ## Referências - [MITRE ATT&CK - S0456](https://attack.mitre.org/software/S0456)