jbifrost - RunkIntel

# jBiFrost > Tipo: **rat** · S0181 · [MITRE ATT&CK](https://attack.mitre.org/software/S0181) ## Descrição [[jbifrost|jBiFrost]] é um Remote Access Trojan (RAT) baseado em Java, derivado do Frutas RAT open-source e do Adwind RAT, com atividade documentada desde pelo menos 2015. O [[jbifrost|jBiFrost]] é notável por ser multiplataforma - por ser implementado em Java, pode executar em qualquer sistema com JVM instalada, incluindo Windows, Linux, macOS e Android. O [[g0096-apt41|APT41]] utilizou o [[jbifrost|jBiFrost]] em campanhas de espionagem e intrusão cibernética direcionadas a setores de saúde, telecomúnicações, tecnologia e governo em múltiplos países. A arquitetura Java do [[jbifrost|jBiFrost]] oferece capacidades abrangentes de controle remoto: captura de tela ([[t1113-screen-capture|T1113]]), keylogging ([[t1056-001-keylogging|T1056.001]]), transferência de arquivos ([[t1105-ingress-tool-transfer|T1105]]), execução de comandos via PowerShell ([[t1059-001-powershell|T1059.001]]) e scripts JavaScript ([[t1059-007-javascript|T1059.007]]), além de descoberta abrangente do ambiente ([[t1082-system-information-discovery|T1082]], [[t1083-file-and-directory-discovery|T1083]]). Persistência é mantida via chaves de registro de autorun ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]). O payload é distribuído como arquivo JAR ofuscado ([[t1027-obfuscated-files-or-information|T1027]]) geralmente anexado a emails de phishing ou embutido em documentos maliciosos. O [[jbifrost|jBiFrost]] representa a tendência de grupos APT em adotar ferramentas de commodity disponíveis em fóruns underground como complemento a suas ferramentas customizadas. Isso oferece vantagens operacionais: dificuldade de atribuição (muitos atores usam a mesma ferramenta), custo zero ou baixo de desenvolvimento, e comunidade de suporte que continua atualizando o código. O [[g0096-apt41|APT41]] - grupo chinês que combina espionagem patrocinada pelo Estado com operações de cibercrime financeiro - utilizou o [[jbifrost|jBiFrost]] em intrusões documentadas na área da saúde e farmacêutica entre 2012 e 2019. **Plataformas:** Android, Linux, Windows, macOS ## Técnicas Utilizadas - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Grupos que Usam - [[g0096-apt41|APT41]] ## Detecção A detecção do [[jbifrost|jBiFrost]] foca na identificação de JARs maliciosos e comportamentos anômalos da JVM. Indicadores incluem: execução de java.exe ou javaw.exe a partir de diretórios temporários ou de usuário; processos Java realizando capturas de tela, hooks de teclado ou acesso a dados de navegadores; e comunicação C2 via sockets Java para IPs externos. Análise de tráfego de rede deve monitorar padrões de beacon Java típicos do [[jbifrost|jBiFrost]]. Desabilitar Java em endpoints que não necessitam dele reduz drasticamente a superfície de ataque. Regras de detecção baseadas em hash de JARs conhecidos do [[jbifrost|jBiFrost]] estão disponíveis em repositórios públicos de inteligência. ## Relevância LATAM/Brasil O [[jbifrost|jBiFrost]], por ser derivado de ferramentas de crimeware amplamente disponíveis, é relevante para o Brasil onde variantes de RATs Java têm sido utilizadas em campanhas de fraude bancária. O setor farmacêutico e de saúde brasileiro - alvo primário do [[g0096-apt41|APT41]] globalmente - representa um vetor de risco, especialmente empresas como EMS, Eurofarma, Hypermarcas e multinacionais farmacêuticas com P&D no Brasil. A natureza multiplataforma do [[jbifrost|jBiFrost]] também o torna relevante para ambientes Linux corporativos, comuns em data centers e servidores de aplicação no Brasil. ## Referências - [MITRE ATT&CK - S0181](https://attack.mitre.org/software/S0181)