s1105-coathanger - RunkIntel

# COATHANGER > Tipo: **malware** · S1105 · [MITRE ATT&CK](https://attack.mitre.org/software/S1105) ## Descrição [[s1105-coathanger|COATHANGER]] é um remote access tool (RAT) que tem como alvo appliances de rede FortiGaté. Utilizado pela primeira vez em 2023 em intrusões direcionadas contra entidades militares e governamentais nos Países Baixos, além de outras vítimas, o [[s1105-coathanger|COATHANGER]] foi divulgado públicamente no início de 2024, com avaliação de alta confiança vinculando o malware a uma entidade patrocinada pelo Estado da República Popular da China. O [[s1105-coathanger|COATHANGER]] é entregue após a obtenção de acesso a um dispositivo FortiGaté, com observações em ambiente real associadas à exploração da CVE-2022-42475. O nome [[s1105-coathanger|COATHANGER]] é baseado em uma string única no malware utilizada para criptografar arquivos de configuração no disco: <code>”She took his coat and hung it up”</code>. **Plataformas:** Linux, Network Devices ## Técnicas Utilizadas - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1543-004-launch-daemon|T1543.004 - Launch Daemon]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1222-002-linux-and-mac-file-and-directory-permissions-modification|T1222.002 - Linux and Mac File and Directory Permissions Modification]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1014-rootkit|T1014 - Rootkit]] - [[t1574-006-dynamic-linker-hijacking|T1574.006 - Dynamic Linker Hijacking]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1574-hijack-execution-flow|T1574 - Hijack Execution Flow]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] ## Referências - [MITRE ATT&CK - S1105](https://attack.mitre.org/software/S1105)