njrat - RunkIntel

# njRAT (Bladabindi) > Tipo: **malware - RAT** · S0385 · [MITRE ATT&CK](https://attack.mitre.org/software/S0385) ## Visão Geral [[s0385-njrat|njRAT]] (também conhecido como **Bladabindi** e **Njw0rm**) e um trojan de acesso remoto (RAT) criado em 2012 pelo grupo de hacking conhecido como "M38dHhM". Apesar de mais de uma decada de existencia, o njRAT permanece entre as familias de malware mais ativas e prevalentes do cenário global, aparecendo regularmente nos top-20 de malware botnet monitorados pelo Spamhaus. O Brasil e a regiao com maior concentracao de servidores C2 do njRAT globalmente, seguido pelo norte da Africa e Oriente Medio. Em 2024 e 2025, campanhas direcionadas específicamente a LATAM distribuiram njRAT usando iscas em portugues brasileiro, incluindo temas de Receita Federal, SEFAZ e entidades governamentais. As versoes mais recentes incluem **NJRAT 0.7NC** e **0.6.4**, com melhorias em evasão e funcionalidades expandidas. Uma variante critica documentada em 2023 inclui capacidade de **wipe do MBR** (Master Boot Record), transformando o njRAT de ferramenta de espionagem para potencial arma destrutiva. O malware e codificado em .NET, o que facilita a análise reversa, mas também sua modificacao por grupos menos sofisticados. **Plataformas:** Windows ## Como Funciona O njRAT opera em quatro etapas principais após a infecção inicial: 1. **Entrega via phishing**: documentos Office com macros VBA ou VBScript embutido, frequentemente com temas fiscais/governamentais no Brasil 2. **Persistência**: copia-se para `%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup` e adiciona chave em `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` 3. **Armazenamento fileless**: dados de keylog salvos na chave de registro `[kl]`; plugins DLL injetados diretamente da memoria sem salvar em disco 4. **C2 via DNS dinâmico**: usa provedores como no-ip, dDNS e thinDNS para ocultar infraestrutura; portas configuradas pelo operador (tipicamente 1177 ou customizadas) Capacidades completas incluem: controle remoto de desktop, keylogging, captura de camera e microfone, acesso ao sistema de arquivos, manipulação de processos e servicos, propagação via USB, roubo de credenciais de browsers, desativacao de firewall, e destruicao do MBR na variante mais recente. ## Attack Flow ```mermaid graph TB A["📧 Phishing - Tema BR Receita Federal / SEFAZ Documento Office + macro VBA"] --> B["🔧 VBScript / PowerShell Decodificacao base64 T1059.001 / T1059.005"] B --> C["📦 Carga njRAT .NET Copia para Startup folder Registry Run Key T1547.001"] C --> D["🔍 Reconhecimento Hostname, OS, AV instalado T1082 / T1083"] D --> E["⌨️ Coleta de dados Keylogging T1056.001 Screenshot T1113 Credenciais de browser"] E --> F["📡 C2 via DNS Dinamico no-ip / dDNS / ngrok Exfiltração + controle remoto"] F --> G["💣 Acao final Implante adicional / MBR wipe T1105 / Variante destrutiva"] classDef delivery fill:#e74c3c,color:#fff classDef exec fill:#e67e22,color:#fff classDef persist fill:#3498db,color:#fff classDef recon fill:#27ae60,color:#fff classDef collect fill:#16a085,color:#fff classDef c2 fill:#9b59b6,color:#fff classDef impact fill:#c0392b,color:#fff class A delivery class B exec class C persist class D recon class E collect class F c2 class G impact ``` ## Timeline de Atividade ```mermaid timeline title njRAT - Historico de Atividade 2012 : Criado por "M38dHhM" : Primeiras versoes 0.3.6 e 0.4.1a 2016 : Brasil identificado como principal regiao de C2 pela Anomali : Versao 0.6.4 mais prevalente 2021 : Campanha LATAM (Talos) Viagem e hospitalidade njRAT + AsyncRAT entregues 2023 : UAC-0057 usa njRAT contra Ucrania Variante MBR wiper documentada : Versao 0.7NC lancada 2024 : KPMG CTI advisory Campanha contra governo e financeiro LATAM e Oriente Medio 2025 : Continua top-20 botnets Spamhaus Campanha Blind Eagle usa njRAT contra governos colombianos ``` ## Técnicas Utilizadas (MITRE ATT&CK) | Técnica | ID | Descrição | |---------|-----|-----------| | Phishing | [[t1566-phishing\|T1566]] | Email com documentos maliciosos | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Execução de scripts de download | | Visual Basic | [[t1059-005-vba\|T1059.005]] | Macros VBA como vetor inicial | | Registry Run Keys | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Persistência via registro | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Captura de teclas em `[kl]` no registro | | Screen Capture | [[t1113-screen-capture\|T1113]] | Screenshots do sistema comprometido | | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Ofuscacao .NET e codificacao base64 | | System Checks | [[t1497-001-system-checks\|T1497.001]] | Detecção de sandbox/VM | | Process Injection | [[t1055-process-injection\|T1055]] | Injecao de plugins DLL na memoria | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download de cargas adicionais | | File Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Enumeracao de arquivos e diretorios | | System Info Discovery | [[t1082-system-information-discovery\|T1082]] | Coleta de hostname, OS, AV | ## Relevância LATAM/Brasil O Brasil ocupa posicao única no ecossistema do njRAT - e simultaneamente o pais com maior concentracao de servidores C2 do malware e um dos alvos mais afetados. Pesquisas da Anomali identificaram que a maioria dos C2 de njRAT observados estava hospedada em provedores brasileiros de internet. Campanhas documentadas pela Cisco Talos em 2021 visaram específicamente organizacoes de viagem e hospitalidade na América Latina, distribuindo njRAT com identificadores de vitimas em portugues (ex: "Brasil_VIP", "BR_CORP"). O grupo [[g0099-blind-eagle-apt-c-36|Blind Eagle]], ativo na Colombia e outros paises LATAM, utilizou njRAT em campanhas de espionagem contra entidades governamentais. A acessibilidade do njRAT - código aberto, gratuito em forums de crimeware - democratiza o acesso a capacidades avancadas de RAT para atores com recursos limitados, aumentando o volume de ataques na regiao. ## Detecção e Defesa **Regras de detecção:** - **Sysmon ID 13 (RegistryValueSet):** Monitorar criação de chave `[kl]` em qualquer caminho do registro - assinatura única do njRAT para armazenamento de keylog fileless - **Sysmon ID 11 (FileCreaté):** Arquivos criados em `%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup` com extensao `.exe` ou `.vbs` - **YARA:** Strings `netsh firewall add allowedprogram`, `SEE_MASK_NOZONECHECKS` e `[TAP]` co-ocorrentes em amostras (regras públicas no Malpedia) - **Network:** Beaconing para provedores de DNS dinâmico (no-ip.com, duckdns.org, ngrok.io) em portas nao-padrao **Mitigacoes prioritarias:** - Desabilitar macros VBA por padrao em todos os endpoints da organização - Implementar regras de AppLocker/WDAC bloqueando execução de VBScript de locais de usuario - Monitorar criação de chaves de registro em paths de startup com ferramentas EDR - Bloquear conexoes de saida para provedores de DDNS nao autorizados no firewall perimetral ## Referências - [MITRE ATT&CK - S0385](https://attack.mitre.org/software/S0385) - [Cisco Talos - RAT Campaign Targets Latin América (2021)](https://blog.talosintelligence.com/rat-campaign-targets-latin-america/) - [Splunk STRT - NjRAT MBR Wiping Capabilities (2023)](https://www.splunk.com/en_us/blog/security/more-than-just-a-rat-unveiling-njrat-s-mbr-wiping-capabilities.html) - [KPMG CTI Advisory - njRAT (2024)](https://assets.kpmg.com/content/dam/kpmgsites/in/pdf/2024/08/kpmg-ctip-njrat-27-aug-2024.pdf.coredownload.inline.pdf) - [Anomali - njRAT Geographic Distribution](https://www.anomali.com/fr/blog/njrat-trojan-alive-and-kicking-a-cool-overview-into-its-day-to-day-operati) - [Malpedia - win.njrat](https://malpedia.caad.fkie.fraunhofer.de/details/win.njrat)