orcus - RunkIntel

# Orcus RAT > [!warning] Plugin Builder RAT com Arquitetura Unica - Desenvolvedor Preso no Canada > Orcus distingue-se dos demais RATs comerciais por sua arquitetura de tres componentes (controller, server, trojan) e sistema nativo de plugins que permite escrever módulos em C#, C++ e VB.Net. O desenvolvedor John Revesz ("Armada"), de Toronto, foi preso em 2019 após investigação da CRTC canadense que confirmou uso malicioso global. Apesar da prisao, o Orcus continua ativo em campanhas globais, combinado frequentemente com outros payloads como RevengeRAT, GuLoader e PureCrypter em cadeias de ataque multi-estagio. ## Visão Geral [[orcus|Orcus RAT]] e uma ferramenta de acesso remoto desenvolvida a partir de 2016 por John Paul Revesz (alias "Armada" e "Ciriis McGraw") em Toronto, Canada, comercializada originalmente por $40 USD através da empresa de fachada "Orcus Technologies". Anteriormente conhecido como "Schnorchel", o Orcus se diferencia de outros RATs da epoca por sua arquitetura de tres componentes independentes: o controller (painel de administracao do atacante), o server (relay que conecta trojan ao controller) e o trojan (implant na vitima). A investigação da CRTC canadense (Canadian Radio-television and Telecommúnications Commission) em 2019 comprovou que o Orcus era usado para infeccoes nao-consentidas em escala global - 900 sistemas comprometidos somente em um caso australiano identificado. Revesz também operava um servico de DDNS que foi identificado em conexão com outros RATs maliciosos como Luminosity Link, NanoCore, Imminent Monitor e [[darkcomet|DarkComet]]. O Orcus continua ativo em campanhas documentadas por Cisco Talos, Morphisec, AhnLab e BlackBerry, frequentemente distribuido junto com [[s0379-revenge-rat|RevengeRAT]] em campanhas que atacam governo, finanças e manufatura. Em 2023, a AhnLab documentou campanha específica usando Orcus disfarado como crack do MS Office para alvos coreanos. | Campo | Detalhe | |-------|---------| | **Tipo** | Remote Access Trojan (RAT) modular com plugin builder | | **Linguagem** | C# (controller e server), VB.Net/C++ (plugins) | | **Preco original** | $40 USD (Orcus Technologies) | | **Desenvolvedor preso** | 2019 (RCMP Canada, 36 anos) | | **Status** | Ativo - uso continuo após prisao do autor | | **Plataformas** | Windows | | **Artefato** | Arquivos com "Orcus" no nome em diretorios de usuario | ## Como Funciona **Arquitetura de tres componentes:** O Orcus separa controller (painel do atacante), server (relay sem painel) e trojan (implant na vitima). Esta separacao permite que múltiplos atacantes compartilhem acesso a vitimas via um servidor comum, e que o deploy de novos servidores sejá escalavel sem expor a interface do controller. O server que a vitima contacta nao possui painel administrativo - apenas repassa comandos. **Sistema de plugins nativo:** Qualquer usuario pode desenvolver plugins em C#, VB.Net ou C++ usando a biblioteca de desenvolvimento do Orcus. O repositorio oficial de plugins inclui funcionalidades como survey bot, spreader via USB/ZIP/DOC, verificador de VirusTotal e injetor de anuncios - demonstrando que o desenvolvimento de plugins maliciosos era suportado ativamente pela "empresa". **Anti-análise e VM detection:** Se configurado, o Orcus verifica a presenca de ParallelsDesktop, VirtualBox, VirtualPC e VMWare antes de executar. Também detecta ferramentas de monitoramento de rede como Netmon, TCPView e Wireshark. Estas verificacoes protegem o payload de análise em ambientes de sandbox. **Real-time scripting:** Uma capacidade única do Orcus e a execução de código C# e VB.Net diretamente na maquina infectada em tempo real, sem necessidade de compilar e entregar um novo binario. Isso permite que atacantes adaptem o comportamento do implant sem reinfecção. **Entrega multi-vetor:** Campanhas documentadas usam spear-phishing com PDF falso (que executa processo `.pdf.exe` via injecao), batch files obfuscados com prepend UTF-16 LE para confundir parsers, e downloads de video Ramadan (Coca-Cola tematico) contendo Orcus RAT embutido esteganograficamente. A cadeia frequentemente usa ConfuserEx para obfuscar o downloader .NET. **C2 via DDNS obfuscado:** A infraestrutura C2 usa DDNS apontado para o servico Portmap, adicionando camada de ofuscacao entre o dominio público e o servidor real - técnica mais avancada que DDNS simples, dificultando takedowns. ## Attack Flow ```mermaid graph TB A["📧 Phishing Corporativo PDF fake ou batch obfuscado Lures: BetterBusinessBureau ACCC"] --> B["📥 Downloader .NET ConfuserEx obfuscado UAC bypass EventViewer"] B --> C["🎬 Payload Esteganografico Video Ramadan com RAT AES 1337 key decrypt"] C --> D["💉 Process Injection Orcus em .pdf.exe T1055 Fileless exec"] D --> E["📌 Persistência VBScript Task Schedule Registry Run Key"] E --> F["📡 C2 DDNS Portmap Ofuscacao dupla Plugins carregados dinâmicamente"] F --> G["🎯 Controle Total Keylog webcam RDP HVNC Plugin custom em C# real-time"] classDef delivery fill:#e74c3c,stroke:#c0392b,color:#fff classDef evasion fill:#f39c12,stroke:#d68910,color:#fff classDef persist fill:#3498db,stroke:#1a5276,color:#fff classDef c2 fill:#8e44ad,stroke:#7d3c98,color:#fff classDef collect fill:#27ae60,stroke:#1e8449,color:#fff class A delivery class B,C evasion class D,E persist class F c2 class G collect ``` ## Timeline de Evolução ```mermaid timeline title Orcus RAT - Do Lanamento a Prisao e Persistência 2016 : Lancamento por John Revesz como "Schnorchel" : Renomeado para Orcus RAT - vendido por $40 2016 : Unit 42 publica análise técnica detalhada : Krebs on Security expoe identidade de Armada 2018 : Talos documenta campanhas com Orcus e RevengeRAT : Alvos em governo financas e consultoria IT 2019 : CRTC Canada investiga - Revesz preso em Toronto : Investigação confirma uso malicioso global 2020 : Orcus persiste mesmo após prisao do desenvolvedor : Morphisec identifica campanha com Orcus em video Ramadan 2022 : BlackBerry documenta Orcus em campanhas com PureCrypter : Combinado com 15+ outros RATs e stealers 2023 : AhnLab documenta campanha Orcus vs Korea via MS Office crack : Distribuição via repositorios de software pirata 2025 : Uso continuo em campanhas globais de malspam : Combinado com GuLoader e outros loaders modernos ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|---------------| | Acesso Inicial | [[t1566-001-spearphishing-attachment\|T1566.001]] | PDF fake, batch obfuscado ou link para download | | Execução | [[t1059-001-powershell\|T1059.001]] | PowerShell para baixar payloads e executar etapas | | Execução | [[t1059-005-visual-basic\|T1059.005]] | VBScript como downloader e agente de persistência | | Persistência | [[t1547-001-registry-run-keys\|T1547.001]] | Registry Run Key para inicializacao automatica | | Persistência | [[t1053-005-scheduled-task\|T1053.005]] | Task Schedule via VBScript compilado | | Evasão | [[t1027-obfuscated-files\|T1027]] | ConfuserEx obfusca downloader .NET | | Evasão | [[t1497-virtualization-sandbox-evasion\|T1497]] | Detecção de VMware, VirtualBox, ferramentas de análise | | Evasão | [[t1055-process-injection\|T1055]] | Injecao de Orcus em processo criado (.pdf.exe) | | Descoberta | [[t1057-process-discovery\|T1057]] | Detecção de Netmon, TCPView, Wireshark | | Credenciais | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Plugin de roubo de senhas de browsers | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogger nativo do Orcus RAT | | Coleta | [[t1113-screen-capture\|T1113]] | Screenshots do desktop da vitima | | Coleta | [[t1125-video-capture\|T1125]] | Acesso a webcam com desabilitacao da luz indicadora | ## Relevância LATAM/Brasil O Orcus RAT apresenta relevância para o Brasil especialmente via cadeias de ataque que o combinam com outros payloads: - **Campanhas de malspam industrial:** O [[aggah-group|Aggah Group]] e [[g0078-gorgon-group|Gorgon Group]] combinam Orcus com GuLoader em campanhas de malspam contra industria manufactureira - setor relevante no Brasil (automotivo, petroquimico, agro). - **Distribuição via software pirata:** A campanha AhnLab de 2023 distribuiu Orcus via crack de MS Office - vetor extremamente eficaz no Brasil, onde pirataria de software corporativo e prevalente. - **HVNC e fraude financeira:** O módulo Hidden VNC (HVNC) do Orcus permite acesso remoto sem jánela visivel - especialmente relevante para fraude em sistemas bancarios e corporativos brasileiros. - **Real-time scripting como diferencial:** A capacidade de executar C# arbitrario na maquina infectada permite que atacantes adaptem TTPs em resposta a defesas específicas, tornando o Orcus resiliente contra contramedidas státicamente configuradas. ## Detecção e Defesa **Artefatos forenses primarios:** - **Arquivos com "Orcus" no nome:** O Orcus frequentemente cria arquivos em diretorios de usuario com "Orcus" no nome - busca por `%APPDATA%\*Orcus*` e `%TEMP%\*Orcus*` e indicador de alta fidelidade. - **Processo `.pdf.exe`:** Processo com extensao dupla (documento+executavel) e indicador de injecao Orcus em campanhas documentadas. - **DDNS apontado para Portmap:** Dominios DDNS resolvendo para servico de relay Portmap em lugar de IP direto. **Event IDs prioritarios:** - **Sysmon Event ID 1 (ProcessCreaté):** Processo com dupla extensao (`.pdf.exe`, `.doc.exe`) ou spawning de `wscript.exe` a partir de processo de office. - **Windows Event ID 4688:** `csc.exe` compilando VBScript em contexto de usuario normal - indicador de persistência Orcus. - **Sysmon Event ID 3 (NetworkConnect):** Conexoes TCP a dominios Portmap de processos suspeitos. - **Sysmon Event ID 11 (FileCreaté):** Criação de arquivos com "Orcus" em diretorios de usuario. **Mitigacoes:** - Bloquear execução de arquivos com dupla extensao via AppLocker. - Restringir uso de `csc.exe` (compilador C#) por usuarios nao-administrativos. - Monitorar conexoes para servicos de relay/proxy (Portmap) de processos de usuario. - Implementar controle de dispositivos USB para mitigar propagação via módulo spreader. ## Referências - [1](https://unit42.paloaltonetworks.com/unit42-orcus-birth-of-an-unusual-plugin-builder-rat/) Unit 42 - Orcus: Birth of an Unusual Plugin Builder RAT (2016) - [2](https://any.run/malware-trends/orcus/) ANY.RUN - Orcus RAT Malware Analysis and Overview (2025) - [3](https://crtc.gc.ca/eng/archive/2019/vt191210.htm) CRTC Canada - Notice of Violation: Orcus Technologies (2019) - [4](https://krebsonsecurity.com/2016/07/canadian-man-is-author-of-popular-orcus-rat/) Krebs on Security - Canadian Man Behind Popular Orcus RAT - [5](https://blog.talosintelligence.com/rat-ratatouille-revrat-orcus/) Cisco Talos - RAT Ratatouille: Backdooring PCs with leaked RATs - [6](https://www.morphisec.com/blog/new-campaign-delivering-orcus-rat/) Morphisec - New Campaign Delivering Orcus RAT (2025)