s0234-bandook - RunkIntel

# Bandook > Tipo: **malware** · S0234 · [MITRE ATT&CK](https://attack.mitre.org/software/S0234) ## Descrição [[s0234-bandook|Bandook]] é um RAT (Remote Access Trojan) comercial escrito em Delphi e C++, disponível para venda desde pelo menos 2007 em fóruns clandestinos, com versões documentadas até 2021. Sua ampla disponibilidade comercial resultou em uso por múltiplos atores de ameaça distintos, incluindo o [[g0070-dark-caracal|Dark Caracal]] (grupo APT do Líbano vinculado à inteligência libanesa) e campanhas de espionagem independentes. O Bandook foi identificado contra organizações governamentais, financeiras, de energia, saúde, educação, TI e jurídicas nos EUA, América do Sul, Europa e Sudeste Asiático. O Bandook oferece capacidades extensas de espionagem e controle remoto: captura de áudio via microfone ([[t1123-audio-capture|T1123]]), keylogging ([[t1056-001-keylogging|T1056.001]]), captura de tela ([[t1113-screen-capture|T1113]]), enumeração de dispositivos periféricos ([[t1120-peripheral-device-discovery|T1120]]) e exfiltração via canal C2 ([[t1041-exfiltration-over-c2-channel|T1041]]). Utiliza process hollowing ([[t1055-012-process-hollowing|T1055.012]]) para execução furtiva em contexto de processos legítimos, esteganografia ([[t1027-003-steganography|T1027.003]]) para ocultar dados e comunicação via protocolos não-padrão ([[t1095-non-application-layer-protocol|T1095]]). É distribuído via spearphishing com anexos ([[t1566-001-spearphishing-attachment|T1566.001]]). O [[g0070-dark-caracal|Dark Caracal]] foi o primeiro ator atribuído ao uso do Bandook em campanhas de vigilância massiva, documentado pela EFF e Lookout em 2018 visando jornalistas, ativistas e entidades governamentais em dezenas de países. A campanha "Operation Manul" utilizou o Bandook contra dissidentes cazaques. Em 2021, pesquisadores da Check Point documentaram uma campanha renovada com versão atualizada do Bandook visando múltiplos setores na América do Sul. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1123-audio-capture|T1123 - Audio Capture]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1055-012-process-hollowing|T1055.012 - Process Hollowing]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1120-peripheral-device-discovery|T1120 - Peripheral Device Discovery]] - [[t1027-003-steganography|T1027.003 - Steganography]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1059-001-powershell|T1059.001 - PowerShell]] ## Grupos que Usam - [[g0070-dark-caracal|Dark Caracal]] ## Detecção - **Sysmon Event ID 8** (CreateRemoteThread): alertar sobre process hollowing - criação de threads remotas em processos suspeitos ou injeção em processos legítimos como `svchost.exe`, técnica característica do Bandook. - **Análise de tráfego de rede**: monitorar conexões em portas não padrão ou uso de protocolos binários sobre TCP que não correspondem a protocolos conhecidos - indicador do canal C2 proprietário do Bandook. - **EDR telemetria**: detectar acesso a dispositivos de microfone (`mmdevapi.dll`, APIs de captura de áudio) por processos não relacionados a aplicações legítimas de comunicação ou mídia. - **Referência Sigma**: `proc_creation_win_susp_process_hollow.yml` - detecção de process hollowing; e `proc_creation_win_susp_audio_capture.yml` para captura de áudio por processos não autorizados. ## Relevância LATAM/Brasil O Bandook tem relevância significativa para o Brasil e a América do Sul. Em 2021, a Check Point Research identificou uma campanha ativa de Bandook visando específicamente países da América do Sul, incluindo o Brasil, direcionada a organizações nos setores governamental, financeiro e jurídico. O histórico de uso do Bandook contra ativistas e jornalistas pelo [[g0070-dark-caracal|Dark Caracal]] também o torna relevante para o monitoramento de ameaças a defensores de direitos humanos e repórteres investigativos no Brasil. A disponibilidade comercial do RAT significa que atores com baixo nível técnico podem adquiri-lo e usá-lo em campanhas regionais. ## Referências - [MITRE ATT&CK - S0234](https://attack.mitre.org/software/S0234)