crossrat - RunkIntel

# CrossRAT > Tipo: **rat** · S0235 · [MITRE ATT&CK](https://attack.mitre.org/software/S0235) > [!info] Resumo Operacional > RAT Java multiplataforma (Windows, Linux, macOS, Solaris) desenvolvido pelo grupo Dark Caracal, vinculado ao Departamento de Inteligência Geral do Libano (GDGS). Divulgado públicamente pela EFF e Lookout em janeiro de 2018. Único binario JAR infecta todos os SO suportados. Campanha atingiu 21+ paises, exfiltrando centenas de GB de dados de alvos governamentais, militares e jornalistas. ## Visão Geral [[crossrat|CrossRAT]] e um Trojan de Acesso Remoto desenvolvido em Java e distribuido pelo grupo [[g0070-dark-caracal|Dark Caracal]], um ator de espionagem cibernetica atribuido ao Departamento de Inteligência Geral do Libano (GDGS - Direction Generale de la Securite Generale). A pesquisa conjunta da Electronic Frontier Foundation (EFF) e da Lookout, públicada em janeiro de 2018, revelou uma das maiores operações de espionagem cibernetica ligada a um estado do Oriente Medio, com infeccoes em mais de 21 paises e centenas de GB de dados exfiltrados de governos, militares, ativistas, jornalistas e empresas de telecomúnicacoes. O design do [[crossrat|CrossRAT]] e notavel pela versatilidade: um único arquivo JAR funciona em Windows (persistência via Registry Run Keys [[t1547-001-registry-run-keys-startup-folder|T1547.001]]), macOS (via Launch Agent [[t1543-001-launch-agent|T1543.001]]), Linux (via XDG Autostart [[t1547-013-xdg-autostart-entries|T1547.013]]) e Solaris. Esta abordagem "escreva uma vez, infete todos" reduz a carga de desenvolvimento e e possibilitada pelo runtime Java amplamente distribuido. O [[crossrat|CrossRAT]] usa a biblioteca `jnativehook` para implementar keylogging ([[t1056-input-capture|T1056]]) de forma portavel em todos os SO suportados - capturando keystrokes e eventos de mouse sem APIs específicas de plataforma. A comunicação C2 usa sockets TCP para transmitir capturas de tela ([[t1113-screen-capture|T1113]]), listas de arquivos e diretorios ([[t1083-file-and-directory-discovery|T1083]]) e dados de keylogging de volta ao servidor do operador via protocolos web ([[t1071-001-web-protocols|T1071.001]]). O [[g0070-dark-caracal|Dark Caracal]] combinava o [[crossrat|CrossRAT]] com um RAT Android (Pallas) e campanhas de phishing via WhatsApp/Facebook para comprometer alvos em dispositivos moveis e desktop simultaneamente. Segundo o relatorio EFF/Lookout, o [[g0070-dark-caracal|Dark Caracal]] operou suas campanhas de espionagem a partir do edificio do GDGS em Beirute, com múltiplas campanhas documentadas entre 2012 e 2018 contra governos, militares, ativistas e jornalistas na Asia, Europa e Oriente Medio. **Plataformas:** Linux, Windows, macOS ## Como Funciona O [[crossrat|CrossRAT]] e distribuido principalmente via links de download maliciosos em aplicativos de mensagens (WhatsApp, Facebook Messenger) que direcionam para paginas de phishing disfaradas de atualizacoes de software ou aplicativos legitimos. O arquivo JAR baixado requer Java instalado - amplamente presente em ambientes corporativos. Após execução, o CrossRAT instala persistência específica do SO, inicia keylogger via jnativehook, e estabelece canal TCP para o servidor C2 do Dark Caracal. O operador pode solicitar listas de arquivos, capturas de tela e dados de keylogging. ## Attack Flow ```mermaid graph TB A["Engenharia Social WhatsApp/Facebook com link Pagina falsa de software"] --> B["Download JAR crossrat-<versao>.jar Requer Java Runtime"] B --> C["Persistência SO-específica Registry Run (Win) Launch Agent (Mac) / XDG (Linux)"] C --> D["Keylogging jnativehook library Portavel em todos SO"] D --> E["Reconhecimento File/Directory Discovery Screen Capture periodico"] E --> F["C2 TCP Socket direto para servidor GDGS Beirute"] F --> G["Exfiltração Credenciais, documentos Centenas de GB coletados"] style A fill:#1a1a2e,color:#e0e0e0 style B fill:#16213e,color:#e0e0e0 style C fill:#0f3460,color:#e0e0e0 style D fill:#533483,color:#e0e0e0 style E fill:#533483,color:#e0e0e0 style F fill:#e94560,color:#ffffff style G fill:#c62a2a,color:#ffffff ``` ## Timeline ```mermaid timeline title CrossRAT e Dark Caracal - Historico 2012 : Dark Caracal inicia operacoes de espionagem : Campanhas contra alvos no Oriente Medio 2015 : CrossRAT em desenvolvimento ativo : Expansao para alvos na Europa 2016 : Infeccoes identificadas em 21+ paises : Alvos incluem governo, militar, jornalistas 2017 : Versao madura do CrossRAT em uso : Combinado com RAT Android (Pallas) 2018-01 : EFF e Lookout publicam relatorio conjunto : Dark Caracal atribuido ao GDGS Libano : Exposicao encerra campanha principal 2019 : Variantes menores detectadas : Grupo reduz atividade após exposicao 2021 : Dark Caracal retoma com novas campanhas : Novos alvos na America Latina documentados ``` ## Técnicas Utilizadas - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] - link malicioso via WhatsApp/Facebook - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys]] - persistência Windows - [[t1543-001-launch-agent|T1543.001 - Launch Agent]] - persistência macOS - [[t1547-013-xdg-autostart-entries|T1547.013 - XDG Autostart]] - persistência Linux - [[t1056-input-capture|T1056 - Input Capture]] - keylogging via jnativehook - [[t1113-screen-capture|T1113 - Screen Capture]] - capturas de tela periodicas - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - enumeracao de arquivos - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - C2 via sockets TCP/HTTP - [[t1059-007-javascript|T1059.007 - JavaScript]] - scripts de entrega no browser ## Grupos que Usam - [[g0070-dark-caracal|Dark Caracal]] - GDGS Libano, espionagem estatal ## Relevância LATAM/Brasil O [[crossrat|CrossRAT]] e o grupo [[g0070-dark-caracal|Dark Caracal]] tem relevância direta para o Brasil por dois motivos. Primeiro, após a exposicao em 2018, o grupo foi documentado iniciando novas campanhas com foco na América Latina, incluindo ataques a organizacoes brasileiras na América do Sul em relatorios de 2021. Segundo, o modelo de distribuição via aplicativos de mensagens (WhatsApp) e extremamente eficaz no Brasil - que e o segundo maior mercado de WhatsApp do mundo. A distribuição de RATs via links no WhatsApp e uma técnica estabelecida em campanhas contra alvos brasileiros. O fato do [[g0070-dark-caracal|Dark Caracal]] ter coletado centenas de GB de dados de governos e militares em sua campanha original levanta questoes sobre possível comprometimento de entidades brasileiras que interagiram com alvos do Oriente Medio e Europa - a rede de comprometimento pode ter se espalhado para contatos de alvos originais em diferentes paises. ## Detecção - Monitorar execução de arquivos `.jar` pelo Java Runtime (`java.exe`, `javaw.exe`) em pastas de usuario (Downloads, Temp) - Detectar criação de entradas de Launch Agent em `~/Library/LaunchAgents/` no macOS por processos java - Alertar para criação de chaves de registro de Run por `java.exe` ou `javaw.exe` - Monitorar carregamento da biblioteca `jnativehook` por processos Java - indicador específico de CrossRAT - Detectar conexoes TCP de saida em portas nao-padrao de processos `javaw.exe` para IPs externos ```sigma title: CrossRAT Java RAT Registry Persistence status: stable logsource: category: registry_event product: windows detection: selection: TargetObject|contains: '\CurrentVersion\Run' EventType: SetValue Image|endswith: - '\java.exe' - '\javaw.exe' condition: selection falsepositives: - Legitimaté Java enterprise software setting persistence level: high tags: - attack.persistence - attack.t1547.001 - code/distill ``` ## Referências - [1](https://attack.mitre.org/software/S0235) MITRE ATT&CK - S0235 CrossRAT (2024) - [2](https://info.lookout.com/rs/051-ESQ-475/images/Lookout_Dark-Caracal_srr_20180118_us_v.1.0.pdf) EFF/Lookout - Dark Caracal: Cyber-Espionage at a Nation-State Level (2018) - [3](https://www.eff.org/deeplinks/2018/01/dark-caracal-governments-can-run-cyberespionage-campaigns-low-budget) EFF - Dark Caracal: Cyberespionage at a Nation-State Level (2018) - [4](https://www.welivesecurity.com/2021/11/09/crouching-t-rex-cyberespionage-campaign-latin-america/) ESET - Cyberespionage Campaign Latin América (2021) - [5](https://unit42.paloaltonetworks.com/dark-caracal-apt/) Unit 42 - Dark Caracal APT Analysis (2018)