# BlackRAT > Tipo: **RAT (Remote Access Trojan)** - [Malpedia](https://malpedia.caad.fkie.fraunhofer.de/details/win.blackrat) > [!info] RAT Go do Grupo Andariel - Foco no Setor de Defesa Coreano > O BlackRAT e um Remote Access Trojan desenvolvido em Go pelo grupo [[g0138-andariel|Andariel]], subgrupo do [[g0032-lazarus-group|Lazarus Group]] norte-coreano. Identificado principalmente em campanhas contra o setor de defesa e tecnologia da Coreia do Sul em 2022-2023, o BlackRAT opera em conjunto com outros implantes do arsenal Andariel como [[tigerrat|TigerRAT]] e NukeSped. ## Visão Geral O [[blackrat|BlackRAT]] e um RAT desenvolvido em Go (Golang) atribuido ao grupo [[g0138-andariel|Andariel]] - unidade operacional do [[g0032-lazarus-group|Lazarus Group]] focada em espionagem e operações de sabotagem economica. Diferente de outros implantes do ecossistema Lazarus escritos em C/C++, o uso do Go confere ao BlackRAT portabilidade natural e dificulta a análise estática por ferramentas tradicionais de antivirus, já que binarios Go sao naturalmente grandes e incluem todas as dependências compiladas estáticamente ([[t1027-obfuscated-files-or-information|T1027]]). O BlackRAT foi identificado em campanhas contra organizacoes do setor de defesa, construtoras e desenvolvedores de tecnologia na Coreia do Sul. O grupo [[g0138-andariel|Andariel]] frequentemente usa o BlackRAT como implante de segunda etapa, após estabelecimento de acesso inicial via phishing ou exploração de vulnerabilidades em softwares amplamente usados no mercado coreano. O BlackRAT suporta um conjunto completo de comandos de acesso remoto: execução de comandos via shell ([[t1059-003-windows-command-shell|T1059.003]]), upload e download de arquivos ([[t1105-ingress-tool-transfer|T1105]]), captura de tela ([[t1113-screen-capture|T1113]]), descoberta de processos ([[t1057-process-discovery|T1057]]) e informações do sistema ([[t1082-system-information-discovery|T1082]]). Sua comunicação com o servidor C2 usa HTTP/HTTPS ([[t1071-001-web-protocols|T1071.001]]), mascarando o trafego malicioso como requisicoes web legitimas. **Plataformas:** Windows ## Como Funciona O BlackRAT opera como implante de segunda etapa com capacidades completas de controle remoto: 1. **Acesso Inicial**: [[g0138-andariel|Andariel]] usa phishing direcionado ou downloaders customizados para estabelecer o primeiro acesso 2. **Instalacao do BlackRAT**: implantado como segundo estagio via downloader ou comando do C2 do implante inicial ([[tigerrat|TigerRAT]]) 3. **Estabelecimento de C2**: comunicação HTTP/HTTPS com infraestrutura controlada pelo atacante 4. **Reconhecimento**: coleta de informações do sistema, enumeracao de processos e arquivos 5. **Exfiltração e Controle**: transferencia de arquivos, capturas de tela e execução arbitraria de comandos ```mermaid graph TB A["Acesso Inicial<br/>Phishing direcionado<br/>Software coreano vulnerável"] --> B["Implante Inicial<br/>TigerRAT / Downloader<br/>Primeiro estagio"] B --> C["BlackRAT instalado<br/>Binario Go compilado<br/>Segunda etapa T1105"] C --> D["C2 via HTTP/HTTPS<br/>Trafego mascarado<br/>T1071.001"] D --> E["Reconhecimento<br/>System info T1082<br/>Processos T1057"] E --> F["Exfiltração<br/>Arquivos + Screenshots<br/>Espionagem continuada"] classDef initial fill:#e74c3c,color:#fff classDef stage1 fill:#e67e22,color:#fff classDef stage2 fill:#8e44ad,color:#fff classDef c2 fill:#2980b9,color:#fff classDef recon fill:#27ae60,color:#fff classDef exfil fill:#2c3e50,color:#fff class A initial class B stage1 class C stage2 class D c2 class E recon class F exfil ``` ## Timeline ```mermaid timeline title BlackRAT - Historico 2022 : BlackRAT identificado pela primeira vez : Campanhas contra setor de defesa sul-coreano 2023 : Ataques contra construtoras e tecnologia : Análise técnica por KISA e AhnLab : Uso conjunto com TigerRAT confirmado 2024 : Continuidade de operacoes Andariel : Arsenal Lazarus com multiplos RATs em paralelo ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Execution | [[t1059-003-windows-command-shell\|T1059.003]] | Execução de comandos via shell Windows | | Defense Evasion | [[t1027-obfuscated-files-or-information\|T1027]] | Binario Go - ofuscacao por tamanho e compilacao estática | | Discovery | [[t1082-system-information-discovery\|T1082]] | Coleta de informações do sistema | | Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Enumeracao de arquivos e diretorios | | Discovery | [[t1057-process-discovery\|T1057]] | Listagem de processos ativos | | Collection | [[t1113-screen-capture\|T1113]] | Captura de tela do sistema comprometido | | C2 | [[t1071-001-web-protocols\|T1071.001]] | C2 via HTTP/HTTPS | | C2 | [[t1105-ingress-tool-transfer\|T1105]] | Download de ferramentas adicionais | ## Relevância LATAM/Brasil O BlackRAT tem relevância indireta para o Brasil no contexto da atividade ampla do [[g0032-lazarus-group|Lazarus Group]] na América Latina. O grupo [[g0138-andariel|Andariel]] historicamente foca em alvos de defesa e tecnologia coreanos, mas o [[g0032-lazarus-group|Lazarus Group]] como um todo tem atacado instituicoes financeiras brasileiras (especialmente operações SWIFT) e empresas de criptomoedas da regiao. A compreensao do BlackRAT e útil para equipes de inteligência que monitoram o ecossistema Lazarus, especialmente organizacoes de [[government|governo]] e [[technology|tecnologia]] com presenca no Brasil que podem ser alvos colaterais de espionagem norte-coreana. **Setores historicamente impactados:** [[government|governo]] - [[technology|tecnologia]] - defesa ## Detecção - Monitorar processos Go compilados estáticamente de grande tamanho (geralmente maior que 5MB) executados em contextos suspeitos - Alertar para conexoes HTTP/HTTPS originadas de processos incomuns para IPs nao categorizados - Detectar enumeracao sequencial de processos e arquivos por processos sem assinatura digital válida - Correlacionar TigerRAT IoCs com atividade subsequente de processos desconhecidos - BlackRAT tipicamente e a segunda etapa ```sigma title: Potential BlackRAT Go Binary Suspicious Execution status: experimental logsource: category: process_creation product: windows detection: selection: Image|endswith: '.exe' filter_known: Image|startswith: - 'C:\Program Files\' - 'C:\Windows\' - 'C:\Program Files (x86)\' condition: selection and not filter_known level: low tags: - attack.discovery - attack.t1082 ``` ## Referências - [1](https://malpedia.caad.fkie.fraunhofer.de/details/win.blackrat) Malpedia - BlackRAT Family Details (2023) - [2](https://attack.mitre.org/groups/G0138/) MITRE ATT&CK - Andariel Group Profile G0138 (2024) - [3](https://asec.ahnlab.com/en/tag/andariel/) AhnLab ASEC - Andariel Threat Analysis Series (2023) - [4](https://www.boho.or.kr/eng/index.do) KISA - Korea Internet Security Agency Andariel Reports (2023) - [5](https://unit42.paloaltonetworks.com/threat-brief-understanding-north-korean-threat-actors/) Unit 42 - North Korean Threat Actors Overview (2024)