nanocore - RunkIntel

# NanoCore RAT > [!warning] RAT de Baixo Custo com Alcance Global - Alta Prevalencia no Brasil > NanoCore e um dos RATs de commodity mais utilizados em campanhas de phishing globais. Seu preco original de $25 e a posterior difusao do código-fonte em forums underground tornaram-no acessivel a atores de todos os niveis. O grupo [[ta558|TA558]] (RevengeHotels) utiliza NanoCore específicamente em campanhas contra hoteis e industria de hospitalidade no Brasil e LATAM, tornando-o uma ameaça direta a setores economicos importantes para o pais. ## Visão Geral [[s0336-nanocore|NanoCore RAT]] e uma ferramenta de acesso remoto escrita em **.NET (C#)**, desenvolvida por Taylor Huddleston que a distribuia em `nanocore.io` por $25 como "Remote Administration Tool" legitima. O FBI prendeu Huddleston em 2017, condenando-o a 33 meses de prisao. Apesar da prisao do desenvolvedor, o código-fonte foi públicado em forums especializados, perpetuando o uso do malware em campanhas globais até 2024-2025. O [[mitre-software-s0336|MITRE ATT&CK S0336]] cataloga o NanoCore com 13+ técnicas documentadas. A arquitetura modular do malware via plugins torna-o especialmente versatil - atacantes podem adicionar funcionalidades como roubo de credenciais específicas, keylogging avancado ou controle remoto de desktop sem modificar o core do implant. O grupo [[aggah-group|Aggah Group]] e identificado como usuario regular do NanoCore, integrando-o em campanhas de malspam contra empresas italianas, brasileiras e de outras regioes. O [[ta558|TA558]] (RevengeHotels) também incluiu NanoCore entre seus payloads contra hoteis e operadoras de turismo na América Latina. | Campo | Detalhe | |-------|---------| | **Tipo** | Remote Access Trojan (RAT) modular | | **Linguagem** | C# (.NET Framework) | | **Preco original** | $25 USD (nanocore.io) | | **Desenvolvedor preso** | 2017 (FBI - 33 meses) | | **Status** | Ativo - código-fonte amplamente disponível | | **MITRE ID** | S0336 | | **Plataformas** | Windows | | **Artefato forense** | `run.dat` em `AppData\Roaming\{GUID}` | ## Como Funciona **Arquitetura modular .NET:** O NanoCore e estruturado como um core mínimo com suporte a plugins. O core gerencia conectividade C2, persistência e operações básicas. Plugins sao carregados dinâmicamente para adicionar capacidades como keylogging avancado, roubo de credenciais de browsers específicos ou controle de webcam. **Identificação única (run.dat):** O artefato mais confiavel para detecção e o arquivo `run.dat` criado em `AppData\Roaming\{GUID}\`. O GUID e gerado a partir de elementos do sistema da maquina infectada via um algoritmo de derivacao específico - a Orange Cyberdefense mapeou todos os possiveis valores GUID e pares de chaves de registro associados, permitindo detecção sem dependência de EDR. **Entrega via spam:** Campanhas tipicas usam e-mails com receitas de pagamento bancario falsas, quotacoes de fornecedores ou confirmacoes de pedido. Arquivos `.img` ou `.iso` sao usados para contornar gateways de e-mail que filtram extensoes executaveis tradicionais. Dentro do disco de imagem esta um binario PE Windows. **Persistência dupla:** O NanoCore cria tanto uma chave de registro Run em `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` quanto uma Scheduled Task para garantir sobrevivencia a reinicializacoes. O nome da task corresponde ao nome da Run key, simplificando correlação forense. **Comúnicação C2:** Usa `RegAsm.exe` (ferramenta Windows legitima para registro de assemblies .NET) como processo host para comunicação C2, mascarando conexoes como atividade legitima de administracao .NET. Dominio C2 tipico segue o padrao `*.duckdns.org`. **Process Hollowing:** Para evasão de detecção, o NanoCore usa process hollowing (T1055.012), substituindo o código de um processo legitimo como `explorer.exe` ou `svchost.exe` com seu payload malicioso em memoria. ## Attack Flow ```mermaid graph TB A["📧 Phishing Comercial ISO/IMG com receita falsa Quotacao ou pedido de compra"] --> B["💻 Execução do PE Binario Windows dentro do disco User Execution T1204.002"] B --> C["🔧 Process Hollowing Injecao em RegAsm.exe T1055.012 Evasão AV"] C --> D["📌 Persistência Dupla Registry Run Key T1547.001 Scheduled Task T1053.005"] D --> E["🔗 Plugins Carregados Keylogger módulo Browser stealer módulo"] E --> F["📡 C2 via RegAsm.exe duckdns.org dinâmico Dados exfiltrados criptografados"] F --> G["🎯 Exfiltração Credenciais browsers T1555.003 Keystrokes + screenshots T1056.001"] classDef delivery fill:#e74c3c,stroke:#c0392b,color:#fff classDef exec fill:#f39c12,stroke:#d68910,color:#fff classDef persist fill:#3498db,stroke:#1a5276,color:#fff classDef c2 fill:#8e44ad,stroke:#7d3c98,color:#fff classDef collect fill:#27ae60,stroke:#1e8449,color:#fff class A delivery class B,C exec class D,E persist class F c2 class G collect ``` ## Timeline de Evolução ```mermaid timeline title NanoCore RAT - Evolução e Campanhas 2012 : Lancamento por Taylor Huddleston em nanocore.io : Vendido por $25 como RAT comercial 2015 : Adocao massiva em campanhas de malspam : Uso pelo grupo Aggah em campanhas contra Europa 2017 : FBI prende Huddleston - 33 meses de prisao : Código-fonte publicado em forums underground 2019 : Proliferacao após vazamento do fonte : TA558 adota NanoCore em campanhas LATAM 2021 : Distribuição via .img e .iso para evadir filtros : Campanhas de spam com fake bank receipts 2023 : NanoCore + ScrubCrypt em ataques multi-payload : Combinado com VenomRAT, XWorm, Remcos 2024 : Foxit PDF flawed design explorado para entrega : TA558 RevengeHotels com NanoCore contra hoteis BR 2025 : Persistência como payload de baixo custo preferido : Campanhas via Foxit PDF e office documents ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|---------------| | Acesso Inicial | [[t1566-001-spearphishing-attachment\|T1566.001]] | ISO/IMG com receita de pagamento ou pedido de compra | | Execução | [[t1204-002-malicious-file\|T1204.002]] | Usuario executa binario extraido do disco de imagem | | Persistência | [[t1547-001-registry-run-keys\|T1547.001]] | Run key com GUID derivado de hardware da maquina | | Persistência | [[t1053-005-scheduled-task\|T1053.005]] | Scheduled Task com mesmo nome da Run key | | Evasão | [[t1055-012-process-hollowing\|T1055.012]] | Process hollowing em RegAsm.exe ou svchost.exe | | Evasão | [[t1140-deobfuscate-decode-files\|T1140]] | Decode do payload em tempo de execução | | Credenciais | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de credenciais de Chrome, Firefox, Outlook | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogging em tempo real via módulo plugin | | Coleta | [[t1113-screen-capture\|T1113]] | Screenshots automaticos e sob demanda | | Coleta | [[t1005-data-from-local-system\|T1005]] | Coleta de arquivos locais de valor | | Exfiltração | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados enviados para C2 via RegAsm.exe | ## Relevância LATAM/Brasil O NanoCore e uma das RATs de maior prevalencia específicamente no contexto brasileiro e latino-americano: - **TA558 / RevengeHotels:** O grupo [[ta558|TA558]], rastreado como RevengeHotels pelo Kaspersky, utiliza NanoCore em campanhas contra hoteis e operadoras de turismo no Brasil, Argentina, Chile e outros paises LATAM. O objetivo e roubar dados de cartao de credito de hospedes armazenados em sistemas hoteleiros. - **Campanhas de nota fiscal:** NanoCore e regularmente identificado em campanhas disfaradas de notas fiscais e boletos, vetores de phishing extremamente eficazes no contexto brasileiro. - **Setor financeiro:** O alvo amplo incluindo FTP clients, Outlook e browsers torna o NanoCore especialmente perigoso para funcionaries financeiros e contadores no Brasil. - **Grupo Aggah:** O [[aggah-group|Aggah Group]], ativo em campanhas contra empresas italianas e de outros mercados, também atinge organizacoes brasileiras em setores de energia e manufatura. ## Detecção e Defesa **Artefatos forenses primarios:** - **`run.dat` em `AppData\Roaming\{GUID}\`:** Criação deste arquivo e a assinatura mais confiavel do NanoCore. O Orange Cyberdefense mapeou todos os possiveis valores GUID para detecção deterministica. - **Process: `RegAsm.exe` com conexoes de rede:** RegAsm.exe nao deve fazer conexoes de rede externas em operação normal; conexoes saindo deste processo indicam NanoCore ou similar. - **Scheduled Task com Run key matching:** Task cujo nome corresponde exatamente a uma Run key em HKCU. **Event IDs prioritarios:** - **Windows Event ID 4657 (Registry value modified):** Criação/modificacao de Run key com GUID derivado - detecta persistência NanoCore. - **Sysmon Event ID 1 (ProcessCreaté):** `schtasks.exe /create /f /tn "PCI Monitor"` ou similar - criação de task por RegAsm.exe. - **Sysmon Event ID 3 (NetworkConnect):** `RegAsm.exe` conectando a `*.duckdns.org` - beaconing NanoCore. - **Sysmon Event ID 11 (FileCreaté):** `run.dat` criado em `%APPDATA%\{GUID}\`. **Mitigacoes:** - Bloquear montagem de arquivos ISO/IMG por usuarios nao administrativos via GPO. - Monitorar `RegAsm.exe` com conexoes de rede saindo - anomalia critica. - Aplicar AppLocker/WDAC para restringir execução de binarios em diretorios de usuario. - Filtrar e-mails com anexos ISO/IMG em gateways corporativos. ## Referências - [1](https://attack.mitre.org/software/S0336/) MITRE ATT&CK S0336 - NanoCore - [2](https://www.huntress.com/threat-library/malware/nanocore) Huntress - NanoCore Malware Analysis (2025) - [3](https://www.orangecyberdefense.com/global/blog/managed-detection-response/malware-detection-by-artifacts-the-nanocore-case) Orange Cyberdefense - Detecção via artefatos NanoCore - [4](https://rewterz.com/articles/nanocore-rat-malware-analysis) Rewterz - NanoCore RAT Malware Analysis - [5](https://success.trendmicro.com/en-US/solution/KA-0009376) Trend Micro - NanoCore Malware Information - [6](https://thehackernews.com/2025/09/ta558-uses-ai-generated-scripts-to.html) The Hacker News - TA558 usa AI para distribuir RATs no Brasil (2025)