# HARDRAIN > Tipo: **malware** · S0312 · [MITRE ATT&CK](https://attack.mitre.org/software/S0312) ## Descrição [[s0312-hardrain|HARDRAIN]] é um backdoor Trojan identificado pelo FBI e pela CISA em 2018 como parte de um Malware Analysis Report (MAR-10135536-3) atribuído ao Hidden Cobra - designação do governo americano para atividades cibernéticas maliciosas do governo norte-coreano, associadas ao [[g0032-lazarus-group|Lazarus Group]]. O malware foi descoberto em investigações sobre ataques a infraestrutura financeira global e representa uma ferramenta de acesso remoto persistente usada para coleta de inteligência e preparação para operações financeiras destrutivas. O HARDRAIN funciona como um RAT (Remote Access Trojan) com capacidades de comunicação C2 via HTTP e protocolos de rede não-padrão, usando criptografia para proteger comúnicações. O malware executa comandos de shell arbitrários, realiza reconhecimento do sistema (coleta de informações do sistema operacional, hardware e rede) e suporta transferência de ferramentas adicionais para o sistema comprometido. Sua arquitetura reflete o padrão operacional do [[g0032-lazarus-group|Lazarus Group]] de implantar ferramentas leves de acesso inicial antes de implantes mais pesados. O relatório do governo americano identificou o HARDRAIN junto com outros malwares da família Hidden Cobra, demonstrando que o [[g0032-lazarus-group|Lazarus Group]] mantém um arsenal diversificado com múltiplos implantes para diferentes fases das operações - desde acesso inicial até exfiltração de dados e execução de operações destrutivas. O uso coordenado de diferentes ferramentas permite ao grupo manter redundância e resiliência operacional. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] ## Grupos que Usam - [[g0032-lazarus-group|Lazarus Group]] ## Detecção A detecção do HARDRAIN deve usar os IoCs públicados nos MAR governamentais: hashes SHA256 de amostras conhecidas, domínios e IPs de C2. Na rede, monitorar tráfego em protocolos não-padrão para IPs externos não catalogados, especialmente de processos que não correspondem ao uso esperado desses protocolos. No endpoint, monitorar criação de processos com argumentos suspeitos e comúnicações de rede iniciadas por serviços incomuns. ## Relevância LATAM/Brasil O [[g0032-lazarus-group|Lazarus Group]] tem histórico direto de ataques ao setor financeiro latino-americano, incluindo tentativas contra o sistema SWIFT do Banco do Chile (2018) e investigações de tentativas similares contra bancos brasileiros. O HARDRAIN, como componente do arsenal Hidden Cobra, representa o tipo de implante que precede ataques financeiros de alto impacto. Bancos, bolsas de valores e operadores de sistemas de pagamento no Brasil devem incluir os IoCs do HARDRAIN em suas ferramentas de monitoramento. ## Referências - [MITRE ATT&CK - S0312](https://attack.mitre.org/software/S0312) - [US-CERT MAR-10135536-3 - HARDRAIN](https://www.cisa.gov/uscert/sites/default/files/publications/MAR-10135536-3.pdf)