crimson - RunkIntel

# Crimson > [!info] Identidade do Malware > **Tipo:** RAT (.NET) · **MITRE:** [S0115](https://attack.mitre.org/software/S0115) · **Grupo:** [[g0134-transparent-tribe|Transparent Tribe]] (APT36) > **Plataformas:** Windows · **Ativo desde:** 2016 · **Linguagem:** C# / .NET Framework > **Aliases:** MSIL/Crimson, CrimsonRAT ## Visão Geral [[crimson|Crimson]] e um Trojan de Acesso Remoto (RAT) desenvolvido em .NET e utilizado exclusivamente pelo [[g0134-transparent-tribe|Transparent Tribe]] (APT36), grupo de espionagem com origem no Paquistao que opera principalmente contra alvos indianos - especialmente militares, governo e pessoal diplomatico. O malware e ativo desde pelo menos 2016 e continua em desenvolvimento ativo, com novas versoes e variantes sendo identificadas regularmente. A escolha de .NET como linguagem de desenvolvimento reflete uma estratégia de desenvolvimento rapido com funcionalidades ricas: o Crimson possui capacidades de captura de tela ([[t1113-screen-capture|T1113]]), captura de audio ([[t1123-audio-capture|T1123]]), captura de video via webcam ([[t1125-video-capture|T1125]]) e keylogging ([[t1056-001-keylogging|T1056.001]]), tornando-o uma ferramenta de vigilancia abrangente. O uso de verificacoes baseadas em tempo ([[t1497-003-time-based-checks|T1497.003]]) demonstra técnicas anti-sandbox integradas. ## Como Funciona O Crimson e distribuido principalmente via documentos Office maliciosos com macros ou exploits de leitura de documentos em campanhas de spearphishing direcionadas contra pessoal militar e diplomatico indiano. Após execução: 1. **Decodificacao e instalacao** - payload .NET deofuscado ([[t1140-deobfuscatedecode-files-or-information|T1140]]) e extraido para diretorio temporario 2. **Verificação anti-análise** - checa horario do sistema ([[t1124-system-time-discovery|T1124]]) e softwares de segurança ([[t1518-001-security-software-discovery|T1518.001]]) para detectar ambiente de análise; usa time-based checks ([[t1497-003-time-based-checks|T1497.003]]) 3. **Persistência via Run Key** - adiciona entrada no registro para execução automatica ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) 4. **Reconhecimento** - coleta informações do sistema ([[t1082-system-information-discovery|T1082]]), usuario ([[t1033-system-owneruser-discovery|T1033]]) e lista arquivos ([[t1083-file-and-directory-discovery|T1083]]) 5. **Vigilancia abrangente** - keylogging, screenshots, captura de audio pelo microfone e video pela webcam 6. **C2 via HTTP** - comúnica-se com servidor C2 via HTTP ([[t1071-001-web-protocols|T1071.001]]), exfiltrando dados coletados A capacidade de captura de video via webcam (T1125) e especialmente invasiva e distingue o Crimson de RATs menos sofisticados - o grupo [[g0134-transparent-tribe|Transparent Tribe]] usa essa funcionalidade para monitoramento de reunioes e coleta de inteligência visual de instalacoes militares. ## Attack Flow ```mermaid graph TB A["Spearphishing militar Documento Office malicioso Alvo: pessoal defesa India"] --> B["Macro / exploit Execução payload .NET Deofuscação T1140"] B --> C["Anti-sandbox Time check T1497.003 Security software T1518.001"] C --> D["Persistência Run Key HKCU Run T1547.001 Inicializacao automatica"] D --> E["Reconhecimento Sysinfo T1082 File discovery T1083"] E --> F["Vigilancia completa Keylog T1056.001 Screenshot T1113 Audio T1123 Video webcam T1125"] F --> G["Exfiltração HTTP C2 implicito Dados coletados T1005"] G --> H["Self-cleanup File deletion T1070.004 Cobertura de rastros"] classDef delivery fill:#e74c3c,color:#fff classDef exploit fill:#e67e22,color:#fff classDef evasion fill:#27ae60,color:#fff classDef persist fill:#3498db,color:#fff classDef collect fill:#9b59b6,color:#fff classDef exfil fill:#1abc9c,color:#fff classDef cleanup fill:#2c3e50,color:#fff class A delivery class B exploit class C evasion class D persist class E,F collect class G exfil class H cleanup ``` **Legenda:** [[g0134-transparent-tribe|Transparent Tribe]] - [[t1497-003-time-based-checks|T1497.003]] - [[t1125-video-capture|T1125]] - [[t1123-audio-capture|T1123]] ## Timeline de Campanhas ```mermaid timeline title Crimson RAT - Campanhas Transparent Tribe 2016 : Primeiras amostras identificadas : Alvos diplomaticos indianos 2018 : Campanha Operation Transparent Tribe : Spearphishing contra forcas armadas India 2019 : Expansao para setor universitario : Distribuição via USB drives 2020 : Campanha COVID-themed : Documentos AIIMS (hospital militar India) 2021 : Novas variantes com Android component : CapraRAT Android + CrimsonRAT Windows 2022 : Operacoes continuadas contra India : Alvos no setor aeroespacial 2023 : Campanha Python variant descoberta : Crimson v4 .NET e variantes Golang 2024 : Campanhas ativas documentadas : Extensao para alvos paquistaneses dissidentes ``` ## Técnicas Utilizadas (MITRE ATT&CK) | Técnica | ID | Descrição | |---------|-----|-----------| | Screen Capture | [[t1113-screen-capture\|T1113]] | Screenshots periodicos da tela | | Audio Capture | [[t1123-audio-capture\|T1123]] | Gravacao via microfone do sistema | | Video Capture | [[t1125-video-capture\|T1125]] | Captura de video via webcam | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Registro de teclas digitadas | | Time-Based Checks | [[t1497-003-time-based-checks\|T1497.003]] | Anti-sandbox por verificação de horario | | Run Keys Persistence | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Inicializacao automatica via registro | | System Info Discovery | [[t1082-system-information-discovery\|T1082]] | Coleta de info do sistema comprometido | | Security Discovery | [[t1518-001-security-software-discovery\|T1518.001]] | Detecção de antivirus/EDR | | File Deletion | [[t1070-004-file-deletion\|T1070.004]] | Remoção de artefatos após execução | | Web Protocols C2 | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação HTTP com C2 | ## Relevância LATAM/Brasil O [[g0134-transparent-tribe|Transparent Tribe]] opera com foco primario na regiao sul-asiatica (India, Afeganistao, Bangladesh), mas o Crimson RAT representa um vetor relevante para o Brasil por razoes estruturais: - **Modelo de desenvolvimento .NET** - a arquitetura do Crimson e amplamente imitada por grupos de ameaça de menor sophisticacao que operam na América Latina, incluindo grupos que visam o setor financeiro e governamental brasileiro - **Atores estatais emergentes** - a métodologia do Transparent Tribe (spearphishing + RAT .NET + vigilancia abrangente) e um templaté adotado por grupos menos maduros com capacidade em desenvolvimento - **Diplomaticos e militares brasileiros** - organizacoes com presenca diplomatica no Paquistao/India ou com intercambio militar estao no escopo potencial - **Sector de defesa** - a Embraer e outros fabricantes de defesa brasileiros sao alvos de interesse para coleta de inteligência de propriedade intelectual A capacidade de captura de audio e video (T1123, T1125) representa risco específico para reunioes estratégicas - uma ameaça que ultrapassa os limites geograficos tradicionais do grupo. ## Detecção **Fontes de dados recomendadas:** - **Process monitoring:** processos .NET (executaveis com assembly CLR carregado) chamando APIs de Audio (waveInOpen, AudioCapture) ou Video (webcam API) sem contexto de usuario - anomalia critica - **Sysmon Event ID 13 (RegistryValueSet):** criação de chave `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` por processos nao reconhecidos - **Network monitoring:** HTTP beacons para IPs nao categorizados em intervalos regulares (60-300s) com corpo de requisicao codificado em base64 - padrao de C2 do Crimson - **File monitoring:** arquivos temporarios .NET com nomes de hash aleatorios em `%TEMP%` imediatamente antes de execução de processo - indicador de deofuscação **Regras de detecção:** - **YARA:** strings caracteristicas de assemblies .NET do Crimson - classe `CrimsonTech`, strings de C2 hard-coded, imports específicos de `System.Drawing` para screenshot - **Sigma:** processo .NET acessando `DirectSoundCapture` ou `AudioCaptureGraph` sem aplicação de comunicação reconhecida - **Hunting query:** buscar processos que criam arquivos em `%TEMP%`, estabelecem Run Key E fazem chamadas HTTP dentro de jánela de 5 minutos - sequencia de instalacao tipica ## Referências - [1](https://attack.mitre.org/software/S0115) MITRE ATT&CK - S0115 Crimson (2024) - [2](https://www.proofpoint.com/us/threat-insight/post/new-years-resolution-transparent-tribe) Proofpoint - New Year, New Transparent Tribe (2020) - [3](https://securelist.com/transparent-tribe-crimson-rat/100506/) Kaspersky Securelist - Transparent Tribe: Evolution analysis (2020) - [4](https://www.trendmicro.com/en_us/research/22/k/new-apt36-ttps.html) Trend Micro - New APT36 TTPs (2022) - [5](https://blogs.blackberry.com/en/2021/06/threat-thursday-crimsonrat) BlackBerry - Threat Thursday: CrimsonRAT (2021) - [6](https://unit42.paloaltonetworks.com/unit42-transparent-tribe-attacks-india/) Palo Alto Unit42 - Transparent Tribe Attacks in India (2021)