s1146-mgbot - RunkIntel

# MgBot > Tipo: **malware** · S1146 · [MITRE ATT&CK](https://attack.mitre.org/software/S1146) ## Descrição [[s1146-mgbot|MgBot]] é um framework de malware modular associado exclusivamente às operações do [[g1034-daggerfly|Daggerfly]] (também conhecido como BRONZE HIGHLAND) desde pelo menos 2012. Desenvolvido em C++, o MgBot apresenta arquitetura baseada em plugins que podem ser carregados dinâmicamente, permitindo que os operadores adaptem as capacidades do implante conforme o objetivo da missão sem trocar a carga útil principal. O arsenal de plugins do MgBot é extenso e abrange coleta de credenciais de múltiplas fontes - incluindo navegadores ([[t1555-003-credentials-from-web-browsers|T1555.003]]), armazenamentos de senhas ([[t1555-credentials-from-password-stores|T1555]]) e dump de LSASS ([[t1003-os-credential-dumping|T1003]]) - além de keylogging ([[t1056-001-keylogging|T1056.001]]), captura de clipboard ([[t1115-clipboard-data|T1115]]), acesso a bancos de dados ([[t1213-006-databases|T1213.006]]) e dados de mídias removíveis ([[t1025-data-from-removable-media|T1025]]). O framework também suporta roubo de cookies de sessão web ([[t1539-steal-web-session-cookie|T1539]]), conferindo ao [[g1034-daggerfly|Daggerfly]] capacidade abrangente de comprometimento de identidade digital. Relatórios da Symantec em 2023 e 2024 confirmaram que o MgBot continuou sendo implantado em campanhas de espionagem contra alvos em Taiwan, África e provedores de serviços de telecomúnicações, incluindo operações que exploraram vulnerabilidades em produtos de segurança. A exclusividade do MgBot ao [[g1034-daggerfly|Daggerfly]] o torna um forte indicador de atribuição quando detectado. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1087-002-domain-account|T1087.002 - Domain Account]] - [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] - [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]] - [[t1087-001-local-account|T1087.001 - Local Account]] - [[t1213-006-databases|T1213.006 - Databases]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1025-data-from-removable-media|T1025 - Data from Removable Media]] - [[t1482-domain-trust-discovery|T1482 - Domain Trust Discovery]] - [[t1115-clipboard-data|T1115 - Clipboard Data]] - [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1057-process-discovery|T1057 - Process Discovery]] ## Grupos que Usam - [[g1034-daggerfly|Daggerfly]] ## Detecção A detecção do MgBot inclui monitoramento de carregamento de plugins DLL não assinados em processos legítimos, acesso anômalo ao LSASS ([[t1003-os-credential-dumping|T1003]]), e leituras em massa de credenciais de navegadores ([[t1555-003-credentials-from-web-browsers|T1555.003]]). A presença de drivers de captura de áudio ou keylogger em nível de kernel deve acionar alertas. Regras YARA para strings específicas do framework MgBot e análise comportamental de processos que acessam múltiplos armazenamentos de credenciais simultaneamente são estrategias eficazes. Monitoramento de comunicação C2 HTTP/S com agentes de usuário não convencionais também é relevante. ## Relevância LATAM/Brasil O [[g1034-daggerfly|Daggerfly]] tem demonstrado interesse em provedores de telecomúnicações e organizações governamentais em múltiplas regiões. Embora os alvos documentados até 2024 estejam concentrados na Ásia e África, a expansão global das operações de espionagem chinesa e o interesse estratégico no Brasil (infraestrutura 5G, acordos diplomáticos, agronegócio) tornam o MgBot uma ameaça relevante para o radar de inteligência de ameaças brasileiro. Organizações em setores críticos devem incluir IOCs do MgBot em suas plataformas de SIEM e EDR. ## Referências - [MITRE ATT&CK - S1146](https://attack.mitre.org/software/S1146) - [Symantec - Daggerfly: Espionage Group Makes Extensive Use of Custom Tools](https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/daggerfly-apt-attack-telco)