jlorat - RunkIntel

# JloRAT > Tipo: **rat** · S1105 · [MITRE ATT&CK](https://attack.mitre.org/software/S1105) ## Descrição [[jlorat|JloRAT]] é um Remote Access Trojan identificado em campanhas de espionagem cibernética direcionadas a infraestrutura crítica, particularmente no setor de energia e transporte. Descoberto em 2022, o [[jlorat|JloRAT]] é distribuído principalmente via documentos de isca relacionados ao setor de energia e contratos industriais, utilizando spearphishing como vetor de entrega inicial. Sua arquitetura é relativamente simples mas eficaz para acesso persistente a redes corporativas. As capacidades do [[jlorat|JloRAT]] incluem captura de tela periódica ([[t1113-screen-capture|T1113]]), descoberta de informações do sistema ([[t1082-system-information-discovery|T1082]]) e arquivos ([[t1083-file-and-directory-discovery|T1083]]), execução de comandos remotos via cmd.exe ([[t1059-003-windows-command-shell|T1059.003]]), download e execução de payloads adicionais ([[t1105-ingress-tool-transfer|T1105]]) e exfiltração de dados pelo canal C2 ([[t1041-exfiltration-over-c2-channel|T1041]]). Persistência é mantida via chaves de registro de autorun ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]). A comunicação C2 ocorre via HTTP/HTTPS ([[t1071-001-web-protocols|T1071.001]]) com dados ofuscados ([[t1027-obfuscated-files-or-information|T1027]]). O [[jlorat|JloRAT]] representa uma tendência de desenvolvimento de RATs customizados por atores de ameaça de menor sofisticação que não possuem o arsenal completo de grupos APT estabelecidos, mas ainda assim conseguem comprometer organizações com defesas insuficientes. A especificidade do foco em setores de energia e industrial sugere motivações de espionagem econômica e coleta de inteligência sobre infraestrutura crítica. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Detecção Detecção do [[jlorat|JloRAT]] foca em comportamentos de persistência via registro e comúnicações C2. Monitorar: criação de entradas de autorun no registro por processos não-instaladores; capturas de tela periódicas por processos em background; e conexões HTTP regulares (beacon) de estações de trabalho para IPs/domínios externos incomuns. Análise comportamental em sandbox de documentos Office recebidos por email é o principal controle preventivo. ## Relevância LATAM/Brasil O foco do [[jlorat|JloRAT]] em setores de energia e infraestrutura crítica é diretamente relevante para o Brasil, que possui um dos maiores sistemas elétricos do mundo (ONS, Eletrobras) e empresas de petróleo e gás de destaque global (Petrobras). Campanhas de espionagem industrial voltadas para o setor energético brasileiro representam um risco crescente, e RATs como o [[jlorat|JloRAT]] são frequentemente utilizados em etapas de reconhecimento de longo prazo antes de ataques mais impactantes contra infraestrutura crítica nacional. ## Referências - [MITRE ATT&CK - S1105](https://attack.mitre.org/software/S1105)