# Karagany > Tipo: **rat** · S0276 · [MITRE ATT&CK](https://attack.mitre.org/software/S0276) ## Descrição [[karagany|Karagany]] (também rastreado como Trojan.Karagany e MiniDionis) é um Remote Access Trojan utilizado pelo grupo [[g0035-dragonfly|Dragonfly]] (também conhecido como Energetic Bear, Havex, TEMP.Isotope ou Berserk Bear), atribuído à Rússia e com foco histórico em ataques ao setor de energia global. O [[karagany|Karagany]] foi identificado em campanhas do [[g0035-dragonfly|Dragonfly]] desde pelo menos 2009, evoluindo ao longo dos anos em resposta a melhorias nas defesas de seus alvos. Em 2014, o US-ICS-CERT emitiu alerta sobre a utilização do [[karagany|Karagany]] em ataques a distribuidoras de energia elétrica nos Estados Unidos e Europa. O [[karagany|Karagany]] fornece capacidades abrangentes de espionagem e controle remoto: keylogging ([[t1056-001-keylogging|T1056.001]]), captura de tela ([[t1113-screen-capture|T1113]]), roubo de credenciais de navegadores ([[t1555-003-credentials-from-web-browsers|T1555.003]]), execução de comandos ([[t1059-003-windows-command-shell|T1059.003]]), transferência de ferramentas ([[t1105-ingress-tool-transfer|T1105]]) e exfiltração de dados ([[t1041-exfiltration-over-c2-channel|T1041]]). O malware persiste via entradas de registro de autorun ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) e realiza reconhecimento de sistema ([[t1082-system-information-discovery|T1082]]) e arquivos ([[t1083-file-and-directory-discovery|T1083]]) para identificar dados valiosos. A obfuscação ([[t1027-obfuscated-files-or-information|T1027]]) dificulta análise estática. O [[g0035-dragonfly|Dragonfly]] é conhecido por duas fases distintas de operação: uma fase inicial (2011-2014) focada em espionagem de empresas de energia ocidentais, e uma segunda fase (a partir de 2015-2016) com foco em acesso operacional a sistemas de controle industrial (ICS/SCADA). O [[karagany|Karagany]] foi primariamente utilizado na fase de espionagem para coleta de credenciais e documentos estratégicos de empresas de energia, preparando o terreno para potenciais ações disruptivas futuras. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] ## Grupos que Usam - [[g0035-dragonfly|Dragonfly]] ## Detecção Detecção do [[karagany|Karagany]] foca em comportamentos de keylogging e acesso a dados de navegadores. Monitorar: instalação de hooks globais de teclado por processos não-autorizados; acesso a perfis de navegadores (Chrome/Firefox/IE) por processos desconhecidos; e comunicação C2 via HTTP para domínios com padrões de registro suspeitos. O CISA públicou Indicadores de Comprometimento específicos para o [[g0035-dragonfly|Dragonfly]] e suas ferramentas, incluindo o [[karagany|Karagany]], que devem ser integrados às plataformas de TIP corporativas. Monitoramento especial de sistemas que controlam ou têm acesso a redes OT/ICS é prioritário. ## Relevância LATAM/Brasil O [[g0035-dragonfly|Dragonfly]] tem foco histórico em empresas de energia ocidentais, e a Petrobras, Eletrobras e outras empresas de energia brasileiras estão entre os possíveis alvos dado o perfil estratégico do Brasil como grande produtor e exportador de energia. O ataque ao setor elétrico russo-ucraniano utilizando [[s0607-killdisk|KillDisk]] e ferramentas similares demonstrou a capacidade de grupos russos de causar apagões - o setor elétrico interconectado brasileiro representa uma infraestrutura crítica vulnerável que atores como o [[g0035-dragonfly|Dragonfly]] poderiam ter interesse em mapear e comprometer. ## Referências - [MITRE ATT&CK - S0276](https://attack.mitre.org/software/S0276)