warzonerat - RunkIntel

# WarzoneRAT > [!danger] MaaS Desmontado pelo FBI em 2024 - Ressurgiu em Meses com Novas Campanhas > O WarzoneRAT (alias Ave Maria) foi objeto de operação internacional do FBI em 7 de fevereiro de 2024 que derrubou sua infraestrutura e prendeu dois operadores em Malta e Nigeria. Porém, em poucas semanas o malware ressurgiu em campanhas de lures fiscais, demonstrando a resiliencia de operações MaaS que dependem de clientes independentes e nao de infraestrutura centralizada. O WarzoneRAT foi usado por atores nation-state (como [[g0064-apt33|APT33]]) e cibercriminosos comuns, com base de clientes estimada em mais de 7.000 usuarios. ## Visão Geral [[s0670-warzonerat|WarzoneRAT]] (alias Ave Maria, identificado por variacao do texto "Ave_Maria" no código) e uma ferramenta de acesso remoto comercializada como Malware-as-a-Service (MaaS) desde outubro de 2018, a $38/mes ou $196/ano, no dominio `warzone.ws`. O nome "Ave Maria" deriva de uma string interna identificada por pesquisadores da Yoroi em 2019 durante análise de campanha contra empresa italiana do setor de petroleo e gas. O WarzoneRAT e escrito em C++ e compativel com todas as versoes do Windows. Em janeiro de 2019, a Yoroi documentou a primeira campanha públicamente - um ataque de spear-phishing explorando [[cve-2017-11882|CVE-2017-11882]] (Equation Editor da Microsoft) para entregar o payload em ambiente corporativo italiano. Desde então, o malware foi adotado por atores nation-state como o [[g0064-apt33|APT33]] (grupo iraniano) e cibercriminosos em campanhas globais de espionagem, roubo de credenciais e exfiltração de dados. A comunicação C2 usa protocolo TCP nao-HTTP cifrado com RC4, com a senha/chave `warzone160` identificada como string forense pelo FBI em seu FLASH report após o takedown de 2024. | Campo | Detalhe | |-------|---------| | **Tipo** | Remote Access Trojan / MaaS | | **Linguagem** | C++ (Windows nativo) | | **Modelo comercial** | $38/mes ou $196/ano | | **Takedown FBI** | 7 de fevereiro de 2024 | | **Presos** | Daniel Meli (Malta), Prince Odinakachi (Nigeria) | | **Status** | Ativo - ressurgiu após takedown | | **Plataformas** | Windows (todas as versoes) | | **Artefato C2** | String `warzone160` e `Ave_Maria Stealer` em memoria | ## Como Funciona **Entrega via CVE de Equation Editor:** A campanha inaugural (Yoroi 2019) usou CVE-2017-11882 - vulnerabilidade no Equation Editor do Microsoft Office ainda nao patcheada em muitos ambientes - via planilha Excel maliciosa enviada por phishing. Esta vulnerabilidade continua sendo explorada por atores que sabem que organizacoes nao patcheiam sistematicamente. **Cadeia pos-takedown (2024):** Após o FBI derrubar a infraestrutura, campanhas ressurgiram usando LNK file mascarado como PNG que aciona PowerShell. O script PS baixa HTA, que executa VBScript, que instala o payload via reflective loading no processo `RegSvcs.exe`. A cadeia inclui: patch de AMSI via `AmsiScanBuffer`, desabilitacao de script-block logging, contorno de UAC, manipulação de Windows Defender e criação de conta de usuario para persistência. **DLL sideloading alternativo:** Uma variante observada usa arquivo ZIP contendo executavel + DLL maliciosa, com DLL sideloading para injetar o RAT de forma furtiva - abordagem diferente da cadeia de scripts, indicando flexibilidade operacional dos atores. **C2 cifrado RC4:** Após infecção, a vitima estabelece comunicação com o servidor C2 em protocolo TCP nao-HTTP, decriptando a conexão via algoritmo RC4. O FBI identificou que a senha/chave de criptografia para C2 e a string `warzone160` - artifact forense que permite identificar trafego WarzoneRAT em capturas de rede historicas. **Módulo "Poison" premium:** O servico WarzoneRAT oferecia módulo premium chamado "Poison" com funcionalidades avancadas incluindo rootkit para ocultar processos, arquivos e entradas de startup - indicando amadurecimento do produto em direcao a capacidades de persistência mais profundas. **HRDP (Hidden Remote Desktop):** O WarzoneRAT implementa sessao RDP oculta que nao e visivel ao usuario na maquina infectada, permitindo acesso visual completo ao desktop sem alertar a vitima. ## Attack Flow ```mermaid graph TB A["📧 Phishing com LNK/Excel CVE-2017-11882 ou LNK mascarado como PNG"] --> B["📜 Chain de Scripts PS1 HTA VBScript AMSI bypass UAC bypass"] B --> C["💉 Reflective Loading RegSvcs.exe injection T1055 Fileless exec"] C --> D["📌 Persistência Startup folder Registry Nova conta usuario"] D --> E["🛡 Desabilitacao Defesas Windows Defender patch T1562.001 AMSI patch"] E --> F["📡 C2 TCP RC4 Protocolo nao-HTTP warzone160 chave RC4"] F --> G["🔑 Espionagem e Roubo Keylog HRDP webcam Credenciais browsers T1555.003"] classDef delivery fill:#e74c3c,stroke:#c0392b,color:#fff classDef chain fill:#f39c12,stroke:#d68910,color:#fff classDef inject fill:#3498db,stroke:#1a5276,color:#fff classDef defense fill:#c0392b,stroke:#922b21,color:#fff classDef c2 fill:#8e44ad,stroke:#7d3c98,color:#fff classDef collect fill:#27ae60,stroke:#1e8449,color:#fff class A delivery class B chain class C,D inject class E defense class F c2 class G collect ``` ## Timeline de Evolução ```mermaid timeline title WarzoneRAT - De Lancamento ao Takedown e Ressurgimento 2018 : Lancamento em warzone.ws - MaaS por $38/mes : Yoroi documenta primeira campanha vs Italia energia 2019 : Distribuição em larga escala - adocao por APT33 : CVE-2017-11882 como vetor principal de entrega 2020 : BlackBerry documenta WarzoneRAT como top RAT : Uso por nation-state e cibercriminosos commonplace 2021 : Expansao de capacidades - módulo Poison com rootkit : Base de 7000+ clientes MaaS estimada 2023 : APT33 e outros grupos nation-state documentados : Zscaler ThreatLabz analisa protocolo RC4 C2 2024 : FBI derruba infraestrutura em fev 2024 : Daniel Meli e Prince Odinakachi presos 2024 : Ressurgimento em semanas com lures fiscais : Cyble documenta nova cadeia com AMSI bypass 2025 : Variantes com DLL sideloading e novos vetores : Persistência em telemetria de ameaças globais ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|---------------| | Acesso Inicial | [[t1566-001-spearphishing-attachment\|T1566.001]] | LNK mascarado como PNG ou Excel com CVE-2017-11882 | | Execução | [[t1059-001-powershell\|T1059.001]] | PowerShell para baixar e executar etapas da cadeia | | Execução | [[t1047-wmi\|T1047]] | WMI para queries de processos e informações de sistema | | Persistência | [[t1547-001-registry-run-keys\|T1547.001]] | Registro Run key e startup folder para persistência | | Evasão | [[t1055-process-injection\|T1055]] | Reflective loading do payload em RegSvcs.exe | | Evasão | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Patch de AMSI e desabilitacao de Windows Defender | | Evasão | [[t1036-masquerading\|T1036]] | LNK mascarado como PNG, ZIP mascarado como PNG | | Evasão | [[t1027-obfuscated-files\|T1027]] | Scripts obfuscados para evasão de detecção | | Descoberta | [[t1057-process-discovery\|T1057]] | Enumeracao de processos ativos na vitima | | Descoberta | [[t1082-system-information-discovery\|T1082]] | Coleta de OS, PC name, RAM, CPU da maquina comprometida | | Credenciais | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de credenciais de browsers e clientes de e-mail | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogging live e offline via GetAsyncKeyState API | | Coleta | [[t1113-screen-capture\|T1113]] | Screenshots via VNC console (HRDP) | | Exfiltração | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados coletados enviados via canal C2 RC4 | ## Relevância LATAM/Brasil O WarzoneRAT afeta o Brasil e LATAM por múltiplos vetores documentados: - **CVE-2017-11882 e ambientes nao patcheados:** O vetor de Equation Editor ainda e eficaz em organizacoes brasileiras que nao aplicam patches sistematicamente - especialmente PMEs e governo estadual/municipal com ciclos longos de atualização. - **APT33 e setor de energia:** O [[g0064-apt33|APT33]] (Refined Kitten - Iran) tem historico de atacar infraestrutura de energia globalmente usando WarzoneRAT. Empresas brasileiras de energia como Petrobras e distribuidoras eletricas estao no perfil de alvos de espionagem economica. - **MaaS e democratizacao de ameaças:** O modelo $38/mes tornava o WarzoneRAT acessivel a atores brasileiros de cibercrime. Mesmo após o takedown, variantes e cracks continuam circulando em forums underground. - **Lures fiscais pos-takedown:** As campanhas de ressurgimento usando temas fiscais sao especialmente eficazes no Brasil, onde o sistema tributario complexo (NFe, SPED, IRPF) gera alto volume de comúnicacoes legitimas sobre obrigações fiscais. ## Detecção e Defesa **Artefatos forenses primarios:** - **String `warzone160` em memoria:** Chave de cifragem RC4 identificada pelo FBI como IoC de alta confiança em dumps de memoria de processos suspeitos. - **String `Ave_Maria Stealer` no binario:** Presente em amostras descompactadas - YARA detecta em memoria e em arquivos no disco. - **Processo `RegSvcs.exe` com conexão de rede:** RegSvcs.exe nao deve iniciar conexoes TCP externas em operação normal - indicador de reflective loading WarzoneRAT. **Event IDs prioritarios:** - **Sysmon Event ID 3 (NetworkConnect):** `RegSvcs.exe` iniciando conexão TCP externa - alta prioridade de investigação. - **Sysmon Event ID 1 (ProcessCreaté):** `mshta.exe` executado por processo de office ou `wscript.exe` com download URLs. - **Sysmon Event ID 13 (Registry):** Criação de chave Run com payload mascarado em diretorios de usuario. - **Windows Event ID 4720:** Criação de nova conta de usuario por processo nao-administrativo. **Regras de detecção:** - YARA: Strings `warzone160` e `Ave_Maria Stealer` em dumps de memoria. - Sigma: `proc_injection_regsvcs_network.yml` - RegSvcs.exe com conexão TCP. - Sigma: `defense_evasion_amsi_bypass.yml` - patch de AmsiScanBuffer em powershell. **Mitigacoes:** - Aplicar patch CVE-2017-11882 imediatamente em todos os endpoints Windows com Office. - Bloquear execução de LNK files recebidos por e-mail via Group Policy. - Monitorar `RegSvcs.exe` com conexoes de rede - anomalia critica. - Filtrar HTA e VBScript em gateways de e-mail corporativos. ## Referências - [1](https://www.ic3.gov/CSA/2024/240215.pdf) FBI FLASH MU-000174-MW - Identification and Disruption of Warzone RAT (2024) - [2](https://thehackernews.com/2024/02/us-doj-dismantles-warzone-rat.html) The Hacker News - US DoJ Dismantles Warzone RAT Infrastructure (2024) - [3](https://cyble.com/blog/warzonerat-returns-with-multi-stage-attack-post-fbi-seizure/) Cyble - WarzoneRAT Strikes Back After FBI Seizure (2024) - [4](https://www.anvilogic.com/threat-reports/warzonerat-tax-theme-campaign) Anvilogic - WarzoneRAT Tax-Themed Campaign (2024) - [5](https://www.malwarebytes.com/blog/news/2024/02/warzone-rat-infrastructure-seized) Malwarebytes - Warzone RAT Infrastructure Seized (2024)