s0694-dratzarus - RunkIntel

# DRATzarus > Tipo: **malware** · S0694 · [MITRE ATT&CK](https://attack.mitre.org/software/S0694) ## Descrição [[s0694-dratzarus|DRATzarus]] é um remote access tool (RAT) utilizado pelo [[g0032-lazarus-group|Lazarus Group]] para atingir organizações de defesa e aeroespacial em todo o mundo desde pelo menos o verão de 2020. O [[s0694-dratzarus|DRATzarus]] compartilha semelhanças com o [[s0239-bankshot|Bankshot]], que foi utilizado pelo [[g0032-lazarus-group|Lazarus Group]] em 2017 para atingir o setor financeiro turco. O malware é distribuído frequentemente por meio de campanhas de spear-phishing direcionadas a profissionais da indústria de defesa, muitas vezes disfarçado como ofertas de emprego falsas - estratégia amplamente documentada na Operação Dream Job. Após comprometer o host-alvo, o DRATzarus realiza verificações anti-análise extensas (evasão de debugger, verificações de tempo) antes de revelar sua funcionalidade completa de RAT, incluindo transferência de arquivos, descoberta de sistemas e execução remota de comandos. O DRATzarus apresenta técnicas sofisticadas de evasão: empacotamento de software, ofuscação de código e uso de verificações baseadas em tempo para detectar ambientes de sandbox. A comunicação C2 é realizada via protocolos web padrão, e o malware mascara seu arquivo executável com nomes semelhantes a componentes legítimos do sistema operacional. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1622-debugger-evasion|T1622 - Debugger Evasion]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1106-native-api|T1106 - Native API]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] ## Detecção - Monitorar processos que realizam múltiplas chamadas de API de descoberta de sistema em sequência rápida (T1033, T1018, T1057) logo após execução - padrão típico de RAT de primeiro estágio - Alertar sobre execução de binários com nomes imitando componentes legítimos do Windows (T1036.005) em diretórios incomuns como `%APPDATA%` ou `%TEMP%` - Detectar uso de chamadas de API nativa direta (T1106) por processos sem assinatura digital reconhecida - Aplicar regras YARA baseadas em strings características do DRATzarus e padrões de empacotamento para varredura em endpoints - Correlacionar eventos de verificação de tempo de sistema com subsequente comunicação de rede saindo de processos suspeitos ## Relevância LATAM/Brasil O [[g0032-lazarus-group|Lazarus Group]], ator vinculado à Coreia do Norte, tem histórico de campanhas globais visando indústrias estratégicas - incluindo defesa, financeiro e criptomoedas. O Brasil, como maior economia da América Latina e com crescente indústria de defesa e setor financeiro sofisticado, representa alvo potencial de alto valor. Campanhas de spear-phishing com ofertas de emprego falsas (estratégia utilizada com DRATzarus) são facilmente adaptáveis para o contexto brasileiro e já foram registradas em países da região. Empresas de tecnologia, defesa e fintech no Brasil devem implementar controles de detecção para TTPs do Lazarus Group. ## Referências - [MITRE ATT&CK - S0694](https://attack.mitre.org/software/S0694)