netwire - RunkIntel

# NetWire RAT > [!danger] Multi-Plataforma com Links a APT33 e Grupos Chineses > NetWire se distingue como uma das poucas RATs de commodity com suporte nativo a Windows, Linux e macOS, alem de Android (via PWNDROID). Pesquisa da LMNTRIX revela que a empresa desenvolvedora "World Wired Labs" pode ser uma fachada para atores chineses, com o [[g0064-apt33|APT33]] (Refined Kitten - Iran) e grupos chineses entre os usuarios documentados. Esta convergencia de atores nation-state usando uma ferramenta "comercial" torna o NetWire particularmente relevante para CTI estratégica. ## Visão Geral [[s0198-netwire|NetWire RAT]] (MITRE S0198) e uma ferramenta de acesso remoto multi-plataforma desenvolvida e comercializada pela empresa "World Wired Labs" desde 2012. Ao contrario de RATs que sao exclusivamente maliciosos, o NetWire era vendido abertamente como "solução de administracao remota", o que complica esforcos de atribuicao e categoriza o malware como dual-use. O diferencial tecnico do NetWire e sua capacidade de injecao de código nos processos do sistema: `notepad.exe`, `svchost.exe` e `vbc.exe` foram documentados como targets de process injection. A configuração do malware e armazenada na chave de registro `HKCU\Software\Netwire`, um indicador forense confiavel. O [[g0064-apt33|APT33]] (Iran), o [[g0078-gorgon-group|Gorgon Group]] e o [[aggah-group|Aggah Group]] foram documentados usando NetWire em campanhas espionagem e crime cibernetico. O Gorgon Group específicamente combina NetWire com GuLoader em campanhas de spear-phishing contra o setor de manufatura italiano e britanico - padrao que se replica em campanhas contra industria brasileira. | Campo | Detalhe | |-------|---------| | **Tipo** | Remote Access Trojan (RAT) multi-plataforma | | **Plataformas** | Windows, Linux, macOS, Android (PWNDROID) | | **Linguagem** | C++ / Delphi (componentes mistos) | | **Desenvolvedor** | World Wired Labs (suspeitos de ligacoes chinesas) | | **Status** | Ativo - uso continuo por grupos APT | | **MITRE ID** | S0198 | | **Artefato forense** | `HKCU\Software\Netwire` | | **Porta C2 padrao** | TCP customizada (configuravel) | ## Como Funciona **Entrega via macros Office:** A cadeia de infecção tipica usa documentos Excel (.xls) com macros VBA maliciosas. Quando o usuario habilita macros, um Wscript dropa um payload em `%TEMP%`, que então baixa e executa o NetWire RAT. Em campanhas recentes, foi observado multi-estagio com AMSI bypass e carregamento via PowerShell. **Self-decrypting routine:** O executavel NetWire usa uma rotina de auto-decriptografia para desempacotar seus módulos trojan em memoria, alocando nova area de memoria e decriptando o código limpo em tempo de execução. Esta técnica dificulta análise estática e reduce assinaturas detectaveis. **Injecao em processos do sistema:** NetWire injeta código em `notepad.exe`, `svchost.exe`, e `vbc.exe` (Microsoft VB Virtual Machine) para mascarar atividade maliciosa como processos legimitimos do Windows. O `NtWow64ReadVirtualMemory64` e usado para queries do PEB (Process Environment Block). **Registro de configuração:** A configuração operacional (C2, porta, configuracoes de persistência) e armazenada em `HKCU\Software\Netwire` - um artefato forense imediatamente identificavel em análise de registro. **Roubo de credenciais:** NetWire extrai credenciais de clientes de mensageria (Windows Live Messenger, Pidgin), clientes de e-mail (Outlook, Thunderbird), e clientes FTP. O arquivo de configuração capturado inclui encoding Base64 de credenciais exfiltradas. **AMSI bypass em campanhas modernas:** Campanhas de 2020-2025 incorporam patching do AMSI via `AmsiScanBuffer` em `amsi.dll` para contornar Windows Defender, tornando a detecção baseada em assinatura insuficiente. ## Attack Flow ```mermaid graph TB A["📄 Phishing com Excel VBA Macro habilitada por usuario Lures: fatura, cotacao"] --> B["📥 Downloader Multi-Estagio VBS/PS obfuscado AMSI bypass T1562.001"] B --> C["🔓 NetWire Desempacotado Self-decrypt routine T1027.013 Encrypted file"] C --> D["💉 Process Injection notepad.exe svchost.exe T1055 T1055.012"] D --> E["💾 Persistência Registry HKCU Netwire Scheduled Task T1053.005"] E --> F["📡 C2 TCP/Proxy Requisicoes proxy externo T1090.002 External Proxy"] F --> G["🔑 Coleta de Credenciais Outlook FTP Messenger T1555.003 + T1056.001"] classDef delivery fill:#e74c3c,stroke:#c0392b,color:#fff classDef evasion fill:#f39c12,stroke:#d68910,color:#fff classDef inject fill:#3498db,stroke:#1a5276,color:#fff classDef c2 fill:#8e44ad,stroke:#7d3c98,color:#fff classDef cred fill:#27ae60,stroke:#1e8449,color:#fff class A delivery class B,C evasion class D inject class E,F c2 class G cred ``` ## Timeline de Evolução ```mermaid timeline title NetWire RAT - Uso por Grupos de Ameaça 2012 : Lancamento pela World Wired Labs : Comercializado como RAT legitimo multi-plataforma 2015 : APT33 adota NetWire em campanhas de espionagem : Targets no setor de energia e petroleo 2018 : Gorgon Group combina NetWire com GuLoader : Campanhas contra manufatura italiana e britanica 2019 : LMNTRIX publica ligacoes da World Wired Labs : com possível fachada para grupos chineses 2020 : Aggah Group usa NetWire contra setor industrial : Campanhas phishing com documentos Excel maliciosos 2021 : Security Affairs documenta campanha contra Italia : AMSI bypass adicionado a cadeia de infecção 2023 : NetWire continua ativo - top RAT em telemetria : Combinado com campanha GuLoader avancada 2025 : Persistência em campanhas multi-payload ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|---------------| | Acesso Inicial | [[t1566-001-spearphishing-attachment\|T1566.001]] | Excel com macro VBA ou documento com XML macro | | Execução | [[t1059-005-visual-basic\|T1059.005]] | VBScript como downloader de primeiro estagio | | Persistência | [[t1547-001-registry-run-keys\|T1547.001]] | Registro em `HKCU\Software\Netwire` | | Persistência | [[t1053-005-scheduled-task\|T1053.005]] | Scheduled Task para sobreviver a reboot | | Evasão | [[t1027-002-software-packing\|T1027.002]] | .NET packer para evasão de AV em campanhas | | Evasão | [[t1055-process-injection\|T1055]] | Injecao em notepad.exe, svchost.exe, vbc.exe | | Evasão | [[t1055-012-process-hollowing\|T1055.012]] | Process hollowing em campanhas recentes | | Evasão | [[t1562-001-disable-or-modify-tools\|T1562.001]] | AMSI bypass via AmsiScanBuffer patch | | Descoberta | [[t1016-system-network-configuration-discovery\|T1016]] | Descoberta de configuração de rede (IP público) | | Credenciais | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de credenciais de browsers e e-mail | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogging com logs cifrados | | Coleta | [[t1113-screen-capture\|T1113]] | Captura de tela da vitima | | C2 | [[t1090-proxy\|T1090]] | Proxy para mascarar conexoes C2 | | C2 | [[t1090-002-external-proxy\|T1090.002]] | Proxy externo para ofuscacao de infraestrutura | | C2 | [[t1112-modify-registry\|T1112]] | Modificacao de registro para armazenar configuração | ## Relevância LATAM/Brasil NetWire e relevante para o Brasil e LATAM por múltiplos vetores: - **Grupo Aggah e manufatura:** O [[aggah-group|Aggah Group]] realiza campanhas phishing específicas contra setores de manufatura e tecnologia industrial. O Brasil e um alvo natural dado seu setor industrial relevante (automotivo, petroquimico, agro). - **APT33 e energia:** O [[g0064-apt33|APT33]] (Refined Kitten) tem historico de atacar infraestrutura de energia globalmente. Empresas de energia brasileiras (Petrobras, distribuidoras eletricas) estao no perfil de alvos. - **PWNDROID e setores moveis:** O módulo Android PWNDROID adiciona capacidade de interceptar chamadas telefonica, rastrear localização e exfiltrar SMS - relevante para cenários de espionagem corporativa. - **Coincidencia com Aggah/Italia:** A Security Affairs documentou campanha NetWire contra manufatura italiana com TTPs identicos aos observados contra industria brasileira - AMSI bypass, multi-estagio via Pastebin, injecao em processos sistema. ## Detecção e Defesa **Artefatos forenses primarios:** - **`HKCU\Software\Netwire`:** Chave de registro criada durante infecção - verificar presenca e conteudo. - **Process injection em vbc.exe:** O Microsoft VB Virtual Machine nao deveria ter conexoes de rede externas; `vbc.exe` com conexoes TCP e indicador de NetWire. - **Logs de keylogger cifrados:** Arquivos cifrados em diretorios temporarios de usuario podem ser logs de keylogging. **Event IDs prioritarios:** - **Sysmon Event ID 3 (NetworkConnect):** `notepad.exe`, `svchost.exe` ou `vbc.exe` iniciando conexoes TCP externas - indicador de process injection. - **Sysmon Event ID 12/13 (RegistryEvent):** Criação ou modificacao de `HKCU\Software\Netwire`. - **Windows Event ID 4688:** Spawning de `wscript.exe` com argumentos de download por processos de office. **Regras de detecção:** - Sigma: `reg_set_value_netwire_config.yml` - monitorar escrita em `HKCU\Software\Netwire`. - Sigma: `proc_injection_netwire_notepad_vbc.yml` - `notepad.exe` ou `vbc.exe` com conexoes de rede. - YARA: `win_netwire_rat` - strings internas do payload NetWire. **Mitigacoes:** - Bloquear macros VBA em documentos Office de fontes externas via Group Policy. - Implementar detecção de AMSI patch em EDR para identificar tentativas de bypass. - Monitorar processos como `notepad.exe` e `vbc.exe` com conexoes de rede ativas. ## Referências - [1](https://attack.mitre.org/software/S0198/) MITRE ATT&CK S0198 - NETWIRE - [2](https://lmntrix.com/blog/analysis-of-netwire-rat/) LMNTRIX - Analysis of NetWire RAT (2025) - [3](https://redcanary.com/blog/threat-detection/netwire-remote-access-trojan-on-linux/) Red Canary - Trapping NetWire on Linux - [4](https://securityaffairs.com/104356/malware/netwire-attack-chain.html) Security Affairs - New Cyber Operation Targets Italy - [5](https://socprime.com/blog/detection-content-hunting-for-netwire-rat/) SOC Prime - Detection Content: Hunting for NetWire RAT