s0198-netwire - RunkIntel

# NETWIRE > Tipo: **rat** · S0198 · [MITRE ATT&CK](https://attack.mitre.org/software/S0198) > [!abstract] Visão Geral > RAT multiplataforma (Windows/Linux/macOS) comercializado como "ferramenta legitima de administracao remota" desde 2012. Amplamente adotado por grupos de crime financeiro como SilverTerrier (Nigeria, BEC) e TA2541 (aviacao). O desenvolvedor Mario Zanko foi preso na Croatia em marco de 2023 em operação conjunta do FBI e DOJ, resultando em encerramento do servico oficial. ## Descrição [[s0198-netwire|NETWIRE]] e um Remote Access Trojan (RAT) multiplataforma disponível públicamente desde 2012, comercializado pela empresa croata World Wired Labs sob o pretexto de ser uma "ferramenta legitima de administracao remota". Na prática, foi amplamente adotado por grupos criminosos e APTs para espionagem, roubo de credenciais e fraude financeira em escala global. Suas capacidades incluem acesso remoto completo, keylogging, captura de tela, exfiltração de arquivos, gerenciamento de processos e suporte a proxies para ocultar trafego C2 ([[t1090-proxy|T1090]]). O [[s0198-netwire|NETWIRE]] e multiplataforma por design: suporta Windows (com persistência via chaves de registro [[t1547-001-registry-run-keys-startup-folder|T1547.001]]), Linux (persistência via XDG autostart [[t1547-013-xdg-autostart-entries|T1547.013]] e cron [[t1053-003-cron|T1053.003]]) e macOS. No Windows, o binario tipicamente e empacotado com UPX ([[t1027-002-software-packing|T1027.002]]) e usa armazenamento fileless para evitar detecção em disco ([[t1027-011-fileless-storage|T1027.011]]). As comúnicacoes sao criptografadas com cifras simetricas ([[t1573-001-symmetric-cryptography|T1573.001]]), e o RAT pode ser injetado em processos legitimos do sistema para evasão ([[t1055-process-injection|T1055]]). O grupo [[g0083-silverterrier|SilverTerrier]], especializado em fraude Business Email Compromise (BEC) na Nigeria, foi um dos principais usuarios do NETWIRE para comprometer funcionarios financeiros e interceptar transferencias bancarias. O grupo [[g1018-ta2541|TA2541]] utilizou o NETWIRE extensivamente em campanhas de phishing contra o setor de aviacao, usando documentos maliciosos do Microsoft Office ([[t1204-002-malicious-file|T1204.002]]) com macros VBA ([[t1059-005-visual-basic|T1059.005]]) para instalacao. Em marco de 2023, o FBI e o DOJ conduziram operação coordenada que resultou na prisao do desenvolvedor Mario Zanko na Croatia, no encerramento do dominio `worldwiredlabs.com` e na apreensao do servidor C2. Embora o [[s0198-netwire|NETWIRE]] oficial tenha sido desativado, copias piratas e forks continuam circulando em forums underground. **Plataformas:** Windows, Linux, macOS ## Como Funciona O vetor tipico de infecção e via phishing com anexo malicioso ([[t1204-002-malicious-file|T1204.002]]) ou link ([[t1204-001-malicious-link|T1204.001]]). Documentos Office com macros VBScript executam um dropper PowerShell ([[t1059-001-powershell|T1059.001]]) que baixa e instala o agente NETWIRE. Após instalacao, o RAT estabelece persistência adequada ao SO e inicia beacon criptografado para o servidor C2. O operador tem acesso completo ao sistema: keylogger, captura de tela, exploração de arquivos, execução de comandos. ## Attack Flow ```mermaid graph TB A["📧 Phishing Email com anexo Office ou link malicioso"] --> B["💥 Execução Macro VBA / VBScript PowerShell dropper"] B --> C["📦 Instalacao NETWIRE UPX-packed binary Process injection"] C --> D["🔒 Persistência Registry Run Keys (Win) XDG Autostart / Cron (Linux)"] D --> E["📡 Beacon C2 Comúnicação criptografada Proxy para ocultar trafego"] E --> F["🎯 Coleta Keylogging Screenshot / File harvest"] F --> G["💸 Impacto BEC fraud / espionagem Credenciais financeiras"] classDef phish fill:#e74c3c,stroke:#c0392b,color:#fff classDef exec fill:#e67e22,stroke:#d35400,color:#fff classDef persist fill:#8e44ad,stroke:#6c3483,color:#fff classDef c2 fill:#2980b9,stroke:#1a5276,color:#fff classDef impact fill:#c0392b,stroke:#922b21,color:#fff class A phish class B,C exec class D persist class E c2 class F,G impact ``` **Grupos documentados:** SilverTerrier (BEC/Nigeria), TA2541 (aviacao), APT33 (Iran/espionagem), The White Company (Paquistao) ## Timeline ```mermaid timeline title NETWIRE - Historico 2012 : World Wired Labs lanca NETWIRE : Comercializado como ferramenta legitima 2014 : SilverTerrier adota para BEC na Africa/LATAM : Documentado pela Palo Alto Unit 42 2017 : The White Company usa contra Pakistan : Campanha contra aviacao documentada 2018 : APT33 usa em espionagem contra energia : TA2541 inicia campanhas aviacao global 2021 : TA2541 intensifica uso contra aviacao : Documentado em 100+ campanhas phishing 2022 : 100+ paises afetados por campanhas NETWIRE : Forum underground distribui versoes piratas 2023 : FBI + DOJ prendem Mario Zanko na Croatia : Dominio worldwiredlabs.com apreendido : Servico oficial encerrado 2024 : Forks e variantes continuam circulando : Infraestrutura underground persiste ``` ## Técnicas Utilizadas - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - anexo Office com macro para infecção inicial - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - macro VBA no dropper - [[t1059-001-powershell|T1059.001 - PowerShell]] - download e execução do payload - [[t1027-002-software-packing|T1027.002 - Software Packing]] - binario UPX-packed - [[t1055-process-injection|T1055 - Process Injection]] - injecao em processos legitimos - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - persistência Windows - [[t1547-013-xdg-autostart-entries|T1547.013 - XDG Autostart Entries]] - persistência Linux - [[t1053-003-cron|T1053.003 - Cron]] - persistência Linux alternativa - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - C2 criptografado - [[t1090-proxy|T1090 - Proxy]] - proxy para ocultar servidor C2 - [[t1119-automated-collection|T1119 - Automated Collection]] - coleta automatizada de dados - [[t1027-011-fileless-storage|T1027.011 - Fileless Storage]] - evasão em disco - [[t1560-003-archive-via-custom-method|T1560.003 - Archive via Custom Method]] - compressao de dados para exfiltração - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - ofuscacao do payload ## Grupos que Usam - [[g0083-silverterrier|SilverTerrier]] - fraude BEC, alvos financeiros Africa/LATAM - [[g1018-ta2541|TA2541]] - campanhas phishing setor de aviacao global - [[g0064-apt33|APT33]] - espionagem industrial, setor energetico - [[g0089-the-white-company|The White Company]] - espionagem contra governo Paquistao ## Relevância LATAM/Brasil O [[g0083-silverterrier|SilverTerrier]] - principal operador do NETWIRE para fraude BEC - tem historico extenso de ataques a empresas brasileiras e latino-americanas no setor financeiro e industrial. O Brasil e um dos paises com maior volume de fraude BEC do mundo, e ferramentas como o NETWIRE sao instrumentais nessa cadeia de ataque: comprometer o email de um executivo ou funcionario financeiro, interceptar negociacoes de pagamento e desviar transferencias internacionais. O [[g1018-ta2541|TA2541]], embora focado em aviacao, também representa risco para companhias aereas e aeroportos brasileiros. Dado que forks e variantes do NETWIRE continuam circulando após a prisao do desenvolvedor, o risco de infecção permanece ativo mesmo com o servico oficial encerrado. ## Detecção - Monitorar processos inesperados estabelecendo conexoes TCP de saida para IPs desconhecidos, especialmente filhos de `winword.exe`, `excel.exe` ou `wscript.exe` - Detectar escrita em chaves de registro `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` por processos nao-administrativos - Alertar para execução de `powershell.exe -enc` (base64 encoded) originada de documentos Office abertos pelo usuario - Monitorar criação de arquivos executaveis em `%APPDATA%`, `%TEMP%` ou `%USERPROFILE%` por processos de produtividade (Word, Excel) - Implementar regras de DNS para detectar dominios C2 conhecidos do NETWIRE (atualizados regularmente em feeds de IOC) ## Referências - [1](https://attack.mitre.org/software/S0198) MITRE ATT&CK - S0198 NETWIRE (2024) - [2](https://www.justice.gov/opa/pr/justice-department-announces-coordinated-law-enforcement-action-combat-criminal-abuse) DOJ - Criminal Abuse of NetWire RAT (2023) - [3](https://unit42.paloaltonetworks.com/silverterrier-the-rise-of-nigerian-business-email-compromise/) Unit 42 - SilverTerrier: Nigerian Business Email Compromise (2018) - [4](https://www.proofpoint.com/us/blog/threat-insight/ta2541-targets-aviation) Proofpoint - TA2541 Targets Aviation (2022)