masol-rat - RunkIntel

# MASOL RAT > [!high] RAT Cross-Platform do Salt Typhoon - Alvo em Linux Pós-2021 > MASOL RAT é um backdoor cross-platform desenvolvido pelo grupo Earth Estries (Salt Typhoon), APT chinesa focada em telecomúnicações e governo. Versão Windows usada até 2021, variante Linux tornou-se primária após. C2 via HTTP POST com criptografia AES. ## Visão Geral MASOL RAT é um Remote Access Trojan atribuído ao grupo [[earth-estries]], também rastreado como [[g1045-salt-typhoon]] pela Microsoft - uma APT chinesa com foco em espionagem de alto valor em setores de telecomúnicações, governo e defesa. O grupo é responsável pelos ataques divulgados em 2024 contra múltiplas operadoras de telecomúnicações dos EUA, incluindo AT&T e Verizon, em um dos incidentes de espionagem mais significativos da história americana. O MASOL RAT apresenta uma evolução interessante: a variante Windows era a primária até 2021, mas o grupo migrou para uma variante Linux como plataforma principal após esse período. O PDB identificado nos binários - `E:\Masol_https190228\x64\Release\Masol.pdb` - sugere desenvolvimento interno contínuo. A migração para Linux reflete a tendência dos grupos de espionagem de priorizar servidores e infraestrutura crítica em detrimento de estações de trabalho. A comunicação C2 do MASOL RAT ocorre via HTTP POST com payload cifrado com AES. O malware coleta informações do sistema, executa comandos remotos, realiza exfiltração de arquivos e pode servir como backdoor persistente em servidores Linux expostos. A exploração de vulnerabilidades em aplicações web e servidores é o vetor de acesso inicial preferido. A campanha documentada como [[earth-estries-beta-campaign-2024]] revelou o uso conjunto de MASOL RAT com outras ferramentas do arsenal Earth Estries, incluindo Zingdoor (backdoor HTTP), TrillClient (infostealer) e HemiGate (implante multi-funcional). Esta coordenação de ferramentas sugere um grupo bem organizado com desenvolvimento ativo de capacidades. ## Attack Flow ```mermaid graph TB A["🌐 Exploit de Servidor Web Vulnerabilidades em apps expostas"] --> B["💻 Web Shell Inicial Foothold no servidor"] B --> C["📥 Download MASOL RAT Variante Linux para servidores"] C --> D["🔧 Instalacao do Implante Persistência via cron ou servico"] D --> E["🔐 C2 via HTTP POST Payload AES-encrypted"] E --> F["🔍 Reconhecimento Coleta info sistema e rede"] F --> G["📤 Exfiltração Arquivos de interesse via C2"] G --> H["🔄 Persistência Longo Prazo Acesso mantido por meses/anos"] ``` *Campanha: [[earth-estries-beta-campaign-2024]] · Grupo: [[earth-estries]] · [[g1045-salt-typhoon]]* ## Técnicas MITRE ATT&CK | ID | Técnica | Fase | Descrição | |----|---------|------|-----------| | T1190 | Exploit Public-Facing | Acesso Inicial | Exploração de vulnerabilidades em servidores web | | T1505.003 | Web Shell | Persistência | Web shell como acesso inicial e secundário | | T1059 | Command and Scripting | Execução | Execução de comandos remotos via implante | | T1047 | WMI | Execução | Uso de WMI para execução em hosts Windows | | T1071 | Application Layer | C2 | HTTP POST com payload AES cifrado | | T1041 | Exfiltration Over C2 | Exfiltração | Exfiltração via canal C2 estabelecido | | T1027 | Obfuscated Files | Evasão | Payload C2 cifrado com AES | | T1053 | Scheduled Task/Job | Persistência | Cron jobs para persistência em Linux | ## Ferramentas do Arsenal Earth Estries ```mermaid graph TB subgraph Earth Estries Arsenal MASOL["MASOL RAT Backdoor cross-platform Linux primario pos-2021"] ZING["Zingdoor Backdoor HTTP"] TRILL["TrillClient Infostealer"] HEMI["HemiGate Implante multi-funcional"] end subgraph Alvos Primarios TELCO["Telecomúnicacoes AT&T, Verizon (2024)"] GOV["Governo Ministerios e agencias"] DEF["Defesa Contratantes militares"] end MASOL --> TELCO ZING --> GOV TRILL --> DEF HEMI --> TELCO ``` *Técnicas: [[t1190-exploit-public-facing-application|T1190]] · [[t1071-application-layer-protocol|T1071]] · [[t1041-exfiltration-over-c2-channel|T1041]]* ## Contexto Salt Typhoon - Telecom Espionage Em 2024, o grupo Salt Typhoon/Earth Estries foi exposto pelos governos dos EUA, Reino Unido e outros aliados como responsável por uma campanha massiva de espionagem contra operadoras de telecomúnicações. Os ataques comprometeram sistemas de lawful intercept - os sistemas que operadoras mantêm para monitoramento legal - potencialmente expondo dados de comúnicações de funcionários governamentais e alvos de inteligência dos EUA. ## Detecção e Defesa **Indicadores comportamentais:** - Processo desconhecido em servidor Linux estabelecendo HTTP POST periódico - Tráfego HTTP com payload cifrado e padrão de timing regular (beaconing) - Web shell em diretórios de aplicações web - Comandos de reconhecimento de rede (ifconfig, netstat) por processo de serviço - Criação de cron jobs incomuns por processos web **Mitigações recomendadas:** - Monitorar integridade de arquivos em diretórios de aplicações web - [[m1016-vulnerability-scanning|Varredura regular]] de vulnerabilidades em servidores expostos - Inspeção de tráfego HTTP/HTTPS para padrões de beaconing - [[m1030-network-segmentation|Segmentação de rede]] para servidores críticos de telecomunicação - Logging centralizado de processos e conexões de rede em servidores Linux ## Referências - [1](https://www.trendmicro.com/en_us/research/23/g/earth-estries-targets-government-technology-for-cyberespionage.html) Trend Micro - Earth Estries Targets Government and Technology (2023) - [2](https://attack.mitre.org/groups/G1030/) MITRE ATT&CK - Earth Estries Group (2024) - [3](https://www.microsoft.com/en-us/security/blog/2024/10/16/salt-typhoon-compromises-us-telecoms/) Microsoft - Salt Typhoon Compromises US Telecoms (2024) - [4](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-344a) CISA - Salt Typhoon Telecom Advisory AA24-344A (2024) - [5](https://www.trendmicro.com/en_us/research/24/f/earth-estries-targets-critical-sectors-with-novel-malware.html) Trend Micro - Earth Estries Novel Malware Campaign (2024)