ratankba - RunkIntel

# RATANKBA > [!danger] Resumo > RAT (Remote Access Trojan) vinculado ao [[g0032-lazarus-group|Lazarus Group]] norte-coreano, utilizado em campanhas de watering hole contra instituições financeiras e exchanges de criptomoedas, com variantes PE e PowerShell para controle remoto e entrega de payloads adicionais. ## Visão Geral O [[ratankba|RATANKBA]] é um backdoor não-realtime associado ao [[g0032-lazarus-group|Lazarus Group]] (HIDDEN COBRA), ativo desde pelo menos o final de 2016. O malware funciona como um agente que consulta periodicamente (a cada 120 segundos, configurável) um servidor C2 para receber tarefas empilhadas por um operador via uma ferramenta gráfica chamada **Remote Controller**. A Trend Micro documentou extensivamente as campanhas do RATANKBA, revelando que o malware foi distribuído via **watering hole attacks** em sites legítimos comprometidos, incluindo um servidor de atualização do antivírus eScan. As campanhas focavam em instituições financeiras e exchanges de criptomoedas, refletindo o interesse do [[g0032-lazarus-group|Lazarus Group]] em operações financeiras para financiamento do regime norte-coreano. Uma variante **PowerShell** (PowerRatankba/QUICKRIDE.POWER) surgiu em junho de 2017, sendo significativamente mais difícil de detectar que a versão PE executável. Análise dos servidores backend do Lazarus revelou que ~55% das vítimas dessa variante estavam na Índia e regiões vizinhas. ## Capacidades Técnicas - **Comúnicação C2**: HTTP GET/POST com servidor C2 para recebimento de tarefas e upload de dados - **Execução de comandos**: `cmd` para shell commands, `exe` para DLL injection reflexiva a partir de URLs - **Reconhecimento**: WMI para listagem de processos em execução e envio de resultados ao C2 - **Entrega de payloads**: Drop de ferramentas de hacking adicionais, trojans bancários e malware POS (variante RatankbaPOS) - **Kill switch**: Comando `killkill` para cessar atividades no host comprometido - **Intervalo configurável**: Comando `interval` ajusta a frequência de polling do C2 - **Variante PowerShell**: Salva em `C:\windows\temp\`, persistência via scripts, mais evasiva que a variante PE - **Ferramenta Remote Controller**: Interface gráfica usada pelo operador para enfileirar tarefas e monitorar vítimas ## Táticas, Técnicas e Procedimentos (TTPs) | Tática | Técnica | Descrição | |--------|---------|-----------| | Acesso Inicial | [[t1189-drive-by-compromise\|T1189]] | Watering hole em sites legítimos comprometidos | | Execução | [[t1059-001-powershell\|T1059.001]] | Variante PowerShell (PowerRatankba) | | Execução | [[t1059-003-windows-command-shell\|T1059.003]] | Comandos shell via `cmd` | | Execução | [[t1204-002-malicious-file\|T1204.002]] | Arquivos CHM maliciosos para execução inicial | | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTP GET/POST para comunicação C2 | | Evasão | [[t1055-process-injection\|T1055]] | DLL injection reflexiva via comando `exe` | | Descoberta | [[t1082-system-information-discovery\|T1082]] | WMI para listagem de processos e informações do sistema | | C2 | [[t1105-ingress-tool-transfer\|T1105]] | Download de ferramentas adicionais via C2 | ## Cadeia de Infecção 1. **Watering hole**: Vítima visita site legítimo comprometido (incluindo servidor de atualização eScan) 2. **Dropper**: Arquivo CHM ou exploit entrega o payload inicial 3. **Instalação**: RATANKBA (PE ou PowerShell) se instala no sistema 4. **Registro**: Malware envia informações do sistema ao C2 e inicia polling periódico (120s) 5. **Remote Controller**: Operador usa interface gráfica para enfileirar tarefas 6. **Execução**: Tarefas executadas no host - reconhecimento, shell, DLL injection 7. **Payload adicional**: Download e execução de trojans bancários, POS malware ou ferramentas de hacking 8. **Exfiltração**: Dados de interesse enviados via HTTP POST ao C2 ## Atores Associados | Ator | Nexo | Relação | |------|------|---------| | [[g0032-lazarus-group\|Lazarus Group]] | Coreia do Norte | Desenvolvedor e operador principal | O Lazarus Group utilizou o RATANKBA como parte de seu arsenal diversificado que inclui DDoS botnets, keyloggers, RATs e wipers, com foco crescente em operações financeiras e de criptomoedas. ## Alvos - **Setores**: Instituições financeiras, exchanges de criptomoedas (Bitcoin, AntShare/NEO), sistemas POS - **Regiões**: Índia e Sul da Ásia (~55% das vítimas da variante PowerShell), Polônia (bancos possívelmente afetados) - **Foco**: Reconhecimento financeiro para operações de roubo e financiamento do regime norte-coreano ## Indicadores de Comprometimento (IoCs) | Tipo | Valor | |------|-------| | Caminho | `C:\windows\temp\` (PowerRatankba payloads) | | Comandos C2 | `killkill`, `interval`, `cmd`, `exe` | | Formato | Arquivos CHM como dropper inicial | IoCs específicos (hashes, IPs, domínios) variam por campanha. Consulte relatórios da Trend Micro para conjuntos completos de indicadores. ## Detecção A detecção do RATANKBA pode ser realizada através de monitoramento de comunicação HTTP periódica de processos não-navegador para endereços externos desconhecidos - o polling a cada 120 segundos é um padrão comportamental identificável. Inspeção de arquivos CHM suspeitos recebidos por e-mail ou sites comprometidos é o primeiro ponto de prevenção. Regras Sigma para detecção de injeção de DLL reflexiva e análise de processos WMI iniciando conexões de rede complementam a detecção comportamental via EDR. ## Relevância LATAM/Brasil O [[g0032-lazarus-group|Lazarus Group]] tem interesse documentado em instituições financeiras e exchanges de criptomoedas globalmente, e o Brasil possui um dos maiores mercados de criptomoedas da América Latina. Embora ataques diretos do RATANKBA ao Brasil não sejam amplamente documentados, o histórico do Lazarus Group em atacar exchanges de criptomoedas (como o hack da Bybit em 2025) e bancos representa uma ameaça concreta para o setor financeiro brasileiro. Exchanges brasileiras de criptomoedas e bancos digitais devem considerar as TTPs do RATANKBA em seus exercícios de threat modeling e red team. ## Referências - [Trend Micro - Lazarus Campaign Targeting Cryptocurrencies: Remote Controller Tool and RATANKBA](https://www.trendmicro.com/en_us/research/18/a/lazarus-campaign-targeting-cryptocurrencies-reveals-remote-controller-tool-evolved-ratankba.html) - [MITRE ATT&CK - Lazarus Group (G0032)](https://attack.mitre.org/groups/G0032/) - [SecurityWeek - Lazarus Hackers Updaté Arsenal of Hacking Tools](https://www.securityweek.com/north-korea-linked-lazarus-hackers-update-arsenal-hacking-tools/) - [Malpedia - PowerRatankba](https://malpedia.caad.fkie.fraunhofer.de/details/win.power_ratankba)