revengerrat - RunkIntel

# RevengerRAT > [!medium] RAT Commodity Multi-Grupo com Ofuscação Avançada > RevengerRAT é um RAT .NET de uso comercial (commodity), amplamente adotado por grupos como Aggah, Gorgon Group e TA558. Notório por process hollowing via ConfuserEx e uso de serviços legítimos (Pastebin, Blogspot) como infraestrutura C2. ## Visão Geral RevengerRAT é um Remote Access Trojan desenvolvido em .NET que se tornou ferramenta commodity, disponível em fóruns underground e utilizado por múltiplos grupos de ameaça. O malware ganhou destaque ao ser adotado pelo [[aggah-group]], um ator de origem pakistanesa com foco em espionagem e campanhas de phishing em massa. Também foi identificado nas operações do [[g0078-gorgon-group]] e do [[ta558]], grupo com histórico de ataques em organizações LATAM. A técnica central do RevengerRAT é o process hollowing via ferramentas de ofuscação .NET como ConfuserEx e .NET Reactor. O código malicioso é injetado em processos legítimos do Windows (como RegAsm.exe, vbc.exe) para operar sem levantar suspeitas. A obfuscação do payload torna a análise estática difícil e permite evasão de soluções antivírus tradicionais. Um diferencial notável é o uso de infraestrutura C2 baseada em serviços legítimos: Pastebin e Blogspot são usados para hospedar configurações de C2 e até payloads secundários. Esta técnica dificulta o bloqueio de comúnicações C2 sem bloquear serviços legítimos amplamente utilizados. Em 2024-2025, novas variantes continuam sendo observadas em campanhas ativas. No contexto LATAM, o [[ta558]] - que frequentemente usa o RevengerRAT - tem histórico de ataques contra organizações de turismo, hospitalidade e setor financeiro no Brasil, Argentina e outros países da região. ## Attack Flow ```mermaid graph TB A["📧 Phishing Email Documento Office malicioso"] --> B["📄 Macro ou OLE Execução de VBA/PowerShell"] B --> C["📥 Download RevengerRAT Payload .NET ofuscado"] C --> D["🔀 Process Hollowing ConfuserEx injeta em RegAsm.exe"] D --> E["🌐 Beacon C2 Pastebin ou Blogspot para config"] E --> F["📡 Conexão C2 Ativa Aguarda comandos do operador"] F --> G["🔍 Reconhecimento Coleta info sistema e credenciais"] G --> H["📤 Exfiltração Dados via C2 estabelecido"] ``` *Atores relacionados: [[aggah-group]] · [[g0078-gorgon-group]] · [[ta558]]* ## Técnicas MITRE ATT&CK | ID | Técnica | Fase | Descrição | |----|---------|------|-----------| | T1566 | Phishing | Acesso Inicial | Documentos Office maliciosos via email | | T1027 | Obfuscated Files | Evasão | ConfuserEx e .NET Reactor para ofuscação do payload | | T1055 | Process Injection | Evasão | Process hollowing em RegAsm.exe, vbc.exe | | T1036 | Masquerading | Evasão | Nomes de processo imitando software legítimo | | T1059.001 | PowerShell | Execução | Scripts PS para download e execução do payload | | T1140 | Deobfuscate/Decode | Execução | Decodificação do payload em memória | | T1102 | Web Service | C2 | Pastebin e Blogspot como infraestrutura C2 | | T1071 | Application Layer | C2 | HTTP/HTTPS para comunicação C2 | ## Grupos que Utilizam RevengerRAT ```mermaid graph TB subgraph Grupos AGG["Aggah Group Pakistan - espionagem"] GOR["Gorgon Group Pakistan - cibercrime"] TA5["TA558 Financeiro LATAM"] end subgraph Distribuição REVRAT["RevengerRAT .NET Commodity RAT"] NJR["njRAT Alternativa frequente"] ASYNC["AsyncRAT Alternativa frequente"] end subgraph Infraestrutura C2 PB["Pastebin Configs e payloads"] BL["Blogspot Staging de C2"] end AGG --> REVRAT GOR --> REVRAT TA5 --> REVRAT REVRAT --> PB REVRAT --> BL ``` *Técnicas: [[t1027-obfuscated-files-or-information|T1027]] · [[t1055-process-injection|T1055]] · [[t1102-web-service|T1102]]* ## Detecção e Defesa **Indicadores comportamentais:** - Processo RegAsm.exe ou vbc.exe com comportamento de rede incomum - Requisições HTTP/S para Pastebin ou Blogspot de processos de sistema - Injeção de código em processos .NET legítimos - Payload .NET altamente ofuscado com múltiplas camadas de encoding - Criação de chaves de registro Run para persistência **Mitigações recomendadas:** - Restringir execução de RegAsm.exe e ferramentas .NET não necessárias via AppLocker - Monitorar tráfego de saída para serviços como Pastebin de processos de sistema - [[m1049-antivirus-antimalware|EDR]] com análise de comportamento em memória para process hollowing - Inspeção de anexos de email com análise dinâmica (sandbox) - Bloquear macros em documentos Office baixados da internet (MOTW) ## Referências - [1](https://unit42.paloaltonetworks.com/aggah-campaign-bit-ly-blogspot-and-pastebin-for-all-the-things/) Palo Alto Unit 42 - Aggah Campaign: Bit.ly, Blogspot and Pastebin (2019) - [2](https://www.proofpoint.com/us/blog/threat-insight/ta558-targeting-hospitality-and-travel) Proofpoint - TA558 Targeting Hospitality and Travel (2022) - [3](https://attack.mitre.org/groups/G0112/) MITRE ATT&CK - Gorgon Group G0112 (2023) - [4](https://www.fortinet.com/blog/threat-research/new-aggah-campaign-uses-multiple-pseudo-randomized-pastebin-payloads) FortiGuard Labs - Aggah Campaign with Pastebin Payloads (2024)