s0333-uboatrat - RunkIntel

# UBoatRAT > Tipo: **malware** · S0333 · [MITRE ATT&CK](https://attack.mitre.org/software/S0333) ## Descrição [[s0333-uboatrat|UBoatRAT]] é uma ferramenta de acesso remoto (RAT) identificada em maio de 2017, projetada para operar em sistemas Windows e direcionada inicialmente a organizações relacionadas à Coreia e ao setor de jogos no Jápão. O malware utiliza o GitHub e o Google Drive como pontos de entrega de configuração para localizar seu servidor de comando e controle, permitindo que os atacantes atualizem facilmente a infraestrutura C2 sem recompilar o implant. Técnicamente, o UBoatRAT emprega Windows Background Intelligent Transfer Service (BITS) para persistência, utilizando um mecanismo legítimo do sistema operacional para dificultar a detecção. O malware realiza verificações de ambiente para detectar sandboxes e máquinas virtuais antes de se ativar, e utiliza criptografia simétrica para proteger suas comúnicações com o servidor C2. O RAT fornece ao operador capacidades típicas de controle remoto, incluindo execução de comandos via shell, transferência de arquivos e reconhecimento básico de processos em execução. Apesar de não ter sido atribuído públicamente a um grupo específico, suas características técnicas e alvos sugerem um ator de ameaça com interesse em inteligência do Leste Asiático. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1102-002-bidirectional-communication|T1102.002 - Bidirectional Commúnication]] - [[t1197-bits-jobs|T1197 - BITS Jobs]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Detecção A detecção do UBoatRAT pode ser realizada monitorando o uso anômalo do BITS (Background Intelligent Transfer Service) para persistência, especialmente jobs criados por processos não relacionados a atualizações legítimas do sistema. Monitorar conexões de saída para repositórios GitHub e Google Drive em horários incomuns, bem como execuções de shell originadas de processos BITS, são indicadores relevantes de comprometimento. ## Relevância LATAM/Brasil Embora o UBoatRAT tenha sido historicamente direcionado ao Jápão e ao Leste Asiático, sua técnica de uso de serviços legítimos de nuvem (GitHub, Google Drive) como canais C2 é amplamente adotada por outros grupos de ameaça que operam na América Latina. Equipes de segurança brasileiras devem monitorar o abuso de BITS e serviços de nuvem legítimos como vetor de C2, uma técnica cada vez mais comum em campanhas que visam a região. ## Referências - [MITRE ATT&CK - S0333](https://attack.mitre.org/software/S0333)