# DoraRAT > [!high] Backdoor Go do Andariel contra alvos sul-coreanos em 2024 > O DoraRAT é um **Remote Access Trojan (RAT)** desenvolvido em linguagem Go pelo grupo norte-coreano **Andariel** (subgrupo do Lazarus Group), identificado em campanhas de espionagem contra organizações sul-coreanas em 2024. Destaca-se pela simplicidade de design e uso de Go para portabilidade cross-platform. ## Visão Geral O DoraRAT é uma ferramenta de acesso remoto desenvolvida pelo grupo [[g0138-andariel]], um subgrupo especializado do [[g0032-lazarus-group]] com foco em operações de espionagem e sabotagem contra alvos sul-coreanos. O malware foi identificado pela primeira vez pelo AhnLab Security Intelligence Center (ASEC) em 2024, quando foi utilizado em ataques direcionados a empresas de defesa, construção naval e logística na Coreia do Sul. A escolha de Go (Golang) como linguagem de desenvolvimento reflete uma tendência crescente entre grupos APT de adotar linguagens modernas que oferecem vantagens operacionais: facilidade de compilação cross-platform (Windows, Linux, macOS), binários standalone sem dependências externas, e código-fonte mais difícil de reverter comparado a linguagens como C/C++. O [[g0138-andariel]] tem expandido gradualmente seu arsenal para incluir ferramentas em Go e Rust. O DoraRAT é notavelmente simples em comparação com outras ferramentas do arsenal Andariel como o [[dorarat]] predecessor. Sua funcionalidade básica inclui upload/download de arquivos, execução de comandos via shell e informações do sistema. Essa simplicidade é intencional - o DoraRAT é tipicamente implantado como segundo estágio após o comprometimento inicial, funcionando como backdoor persistente de baixo perfil. Para o contexto LATAM, embora o DoraRAT tenha sido documentado principalmente em ataques à Coreia do Sul, o [[g0138-andariel]] tem histórico de operações oportunistas contra organizações em outros países quando servidores ou redes comprometidas intermediários são necessários. Empresas com operações na Ásia-Pacífico ou conexões com a indústria de defesa devem estar alertas. > [!latam] Relevância para o Brasil > **DoraRAT** é relevante para o Brasil como exemplo da tendência de grupos APT norte-coreanos como **Andariel** adotarem Go para desenvolver RATs cross-platform. Empresas brasileiras com operações em cadeias de suprimento globais de defesa, tecnologia ou logística podem ser alvos indiretos como ponto de acesso a parceiros asiáticos. A técnica de beaconing regular com intervalos fixos é detectável em ambientes com monitoramento de tráfego de rede adequado. ## Análise Técnica ### Características do Código Go O uso de Go confere ao DoraRAT características técnicas distintas: ```mermaid graph TB A["🔧 Compilação em Go<br/>Binário standalone"] --> B["🎯 Deploy no Alvo<br/>Disfarçado como software legítimo"] B --> C["📡 Conexão C2<br/>HTTP/HTTPS"] C --> D{"Comando Recebido"} D --> E["📁 Upload de Arquivo<br/>Exfiltração de dados"] D --> F["📥 Download de Arquivo<br/>Ferramentas adicionais"] D --> G["⚙️ Execução de Comando<br/>Shell do sistema"] E --> C F --> C G --> C ``` ### Capacidades Funcionais O DoraRAT implementa um conjunto minimalista de funcionalidades: | Capacidade | Descrição | Técnica MITRE | |-----------|-----------|---------------| | Upload de arquivos | Exfiltração de documentos e dados | T1041 | | Download de arquivos | Recepção de ferramentas adicionais | T1105 | | Execução de comandos | Shell reverso via Go exec | T1059 | | Informações do sistema | Reconhecimento básico do host | T1082 | ### Contexto da Campanha 2024 ```mermaid graph TB subgraph "Campanha Andariel - Coreia do Sul 2024" A["📧 Spear-Phishing<br/>Documentos de construção naval"] --> B["🔓 Comprometimento Inicial<br/>Macro Office / CVE"] B --> C["🚀 Loader de Primeiro Estágio<br/>Dropper customizado"] C --> D["🐀 DoraRAT Implantado<br/>Persistência via registro"] D --> E["🔍 Reconhecimento<br/>Enumeração de rede"] E --> F["📤 Exfiltração<br/>Dados de construção naval"] end ``` ### Setores Alvo na Campanha - Indústria de defesa e construção naval (Coreia do Sul) - Logística e transporte - Empresas de TI e serviços gerenciados ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | PowerShell | [[t1059-001-powershell\|T1059.001]] | Execução de comandos pós-comprometimento | | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | C2 via HTTP/HTTPS | | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Binários Go com strings ofuscadas | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download de ferramentas adicionais | | Masquerading | [[t1036-masquerading\|T1036]] | Disfarce como software legítimo | ## Detecção e Defesa ### Indicadores de Comprometimento > [!ioc]- IOCs - DoraRAT (TLP:GREEN) > **Características do binário:** > - Binários Go (identificáveis por strings Go runtime em análise estática) > - Strings de path de compilação Go no binário > > **Comportamento de rede:** > - Conexões HTTP/HTTPS periódicas para C2 com User-Agent incomum > - Polling regular com intervalos fixos (beaconing) > > **Artefatos no host:** > - Binários em diretórios não padrão com nomes de software legítimo > - Chaves de registro de persistência em Run/RunOnce > > **Fontes:** [AhnLab ASEC - DoraRAT Analysis](https://asec.ahnlab.com) · [MITRE ATT&CK - Andariel](https://attack.mitre.org/groups/G0138/) ### Mitigações 1. **Detecção de binários Go**: Regras YARA para identificar binários Go em contextos suspeitos 2. **Monitoramento de beaconing**: Detecção de conexões periódicas regulares para domínios externos 3. **EDR**: Regras de comportamento para execução de processos com padrões de RAT 4. **Consciência situacional**: Treinamento sobre spear-phishing com temas industriais específicos ## Referências - [AhnLab ASEC - DoraRAT Analysis 2024](https://asec.ahnlab.com/en/) - [MITRE ATT&CK - Andariel (G0138)](https://attack.mitre.org/groups/G0138/) - [Andariel Threat Group Profile](https://attack.mitre.org/groups/G0138/)