# MoonWind > Tipo: **malware** · S0149 · [MITRE ATT&CK](https://attack.mitre.org/software/S0149) ## Cadeia de Infecção ```mermaid graph TB A["🌐 Watering hole<br/>Sites tailandeses legítimos<br/>comprometidos para hospedagem"] --> B["📥 Download payload<br/>MoonWind como RAR ou EXE<br/>Compilado com BlackMoon"] B --> C["⚙️ Persistência<br/>Windows Service T1543.003<br/>Identidade aleatória 'micr.ini'"] C --> D["🔍 Reconhecimento completo<br/>Hostname, IP, RAM, Drives<br/>T1082 / T1016 / T1120"] D --> E["📡 C2 criptografado<br/>RC4 em porta não-padrão<br/>T1095 / T1571 / T1573.001"] classDef initial fill:#e74c3c,color:#fff classDef install fill:#e67e22,color:#fff classDef persist fill:#3498db,color:#fff classDef recon fill:#27ae60,color:#fff classDef c2 fill:#9b59b6,color:#fff class A initial class B install class C persist class D recon class E c2 ``` ## Descrição [[s0149-moonwind|MoonWind]] é uma ferramenta de acesso remoto (RAT) descoberta e analisada pela Unit 42 da Palo Alto Networks, utilizada em campanhas entre setembro e novembro de 2016 para atingir organizações na Tailândia - incluindo uma concessionária de serviços públicos (utilities). O malware foi compilado utilizando um compilador chinês chamado BlackMoon, o mesmo usado para o BlackMoon Banking Trojan, embora sejam famílias distintas; o nome MoonWind combina o compilador ("Moon") com uma string de depuração encontrada internamente ("Wind"). A infraestrutura de entrega do MoonWind é notável: o grupo por trás comprometeu sites legítimos tailandeses - incluindo um portal de empresas de TI e o portal de estudantes de uma universidade tailandesa - para hospedar os payloads, tornando o tráfego indistinguível de acesso normal a sites locais confiáveis. O MoonWind foi implantado simultaneamente com o RAT [[trochilus|Trochilus]], usando servidores C2 diferentes para dificultar correlação de infraestrutura. A presença de [[mimikatz|Mimikatz]] na mesma operação indica que credenciais foram coletadas após o acesso inicial. Técnicamente, o MoonWind suporta 73 comandos distintos e criptografa comúnicações C2 com RC4 usando chaves estáticas embutidas. O malware se registra como serviço Windows ([[t1543-003-windows-service|T1543.003]]) para persistência e usa portas não-padrão ([[t1571-non-standard-port|T1571]]) com protocolos de camada não-aplicação ([[t1095-non-application-layer-protocol|T1095]]) para dificultar a detecção por firewalls de inspeção de camada 7. A coleta de informações abrange hostname, nome de usuário, versão do Windows, endereço IP, RAM, drives e hora do sistema. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1571-non-standard-port|T1571 - Non-Standard Port]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1120-peripheral-device-discovery|T1120 - Peripheral Device Discovery]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] ## Detecção - **Monitoramento de serviços suspeitos** - Detectar criação de serviços Windows com nomes aleatórios ou não-padrão a partir de processos não esperados ([[t1543-003-windows-service|T1543.003]]) - **Análise de tráfego de rede** - Identificar conexões de saída para portas incomuns (não 80/443/22) com payloads criptografados de tamanho fixo; o MoonWind usa formato de pacote proprietário com RC4 ([[t1571-non-standard-port|T1571]]) - **Detecção de keylogging** - Monitorar APIs de hooking de teclado (`SetWindowsHookEx`) sendo chamadas por processos não reconhecidos ([[t1056-001-keylogging|T1056.001]]) - **IOC de arquivo** - O MoonWind cria `micr.ini` no mesmo diretório do executável como identificador de vítima - detectável via monitoramento de criação de arquivos com extensão `.ini` em diretórios não-padrão ## Relevância LATAM/Brasil O MoonWind está associado a atividade atribuída a atores com nexo chinês com interesse em infraestrutura crítica da Ásia Oriental. O Brasil possui setores de energia e serviços públicos relevantes que são alvos históricos de grupos APT chineses. As técnicas de watering hole (comprometimento de sites regionais legítimos para hospedar malware) usadas na campanha do MoonWind são replicáveis em contexto brasileiro, onde sites governamentais e universitários às vezes apresentam vulnerabilidades que poderiam ser exploradas como vetores de distribuição. ## Referências - [1](https://attack.mitre.org/software/S0149) MITRE ATT&CK - MoonWind S0149 - [2](https://unit42.paloaltonetworks.com/unit42-trochilus-rat-new-moonwind-rat-used-attack-thai-utility-organizations/) Unit 42 (Palo Alto) - Trochilus and New MoonWind RATs Used in Attack Against Thai Utility Organizations (2017)