s0229-orz - RunkIntel

# Orz > Tipo: **malware** · S0229 · [MITRE ATT&CK](https://attack.mitre.org/software/S0229) ## Descrição [[s0229-orz|Orz]] é um backdoor personalizado em JavaScript utilizado pelo [[g0065-leviathan|Leviathan]] (APT40), grupo de espionagem chinês focado em defesa marítima e tecnologia naval. Foi observado em uso em 2014 e também em agosto de 2017, quando era entregue por meio de arquivos do Microsoft Publisher como vetor de infecção inicial. O Orz usa Regsvr32 ("squiblydoo") para execução de código JavaScript sem arquivo, técnica que contorna controles de execução baseados em whitelist. O malware emprega process hollowing para injetar código em processos legítimos, utiliza comunicação bidirecional via serviços web para C2 e remove indicadores de comprometimento para dificultar forense. A modificação do registro garante persistência entre reinicializações. O [[g0065-leviathan|Leviathan]] utiliza o Orz principalmente contra organizações de defesa, estaleiros, empresas de engenharia naval e instituições acadêmicas relacionadas ao setor, especialmente nos Estados Unidos, Europa e países do Indo-Pacífico. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1218-010-regsvr32|T1218.010 - Regsvr32]] - [[t1102-002-bidirectional-communication|T1102.002 - Bidirectional Commúnication]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1070-indicator-removal|T1070 - Indicator Removal]] - [[t1518-software-discovery|T1518 - Software Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1055-012-process-hollowing|T1055.012 - Process Hollowing]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] ## Grupos que Usam - [[g0065-leviathan|Leviathan]] ## Detecção - Monitorar execução de Regsvr32 com arquivos JavaScript ou SCT remotos ([[t1218-010-regsvr32|T1218.010]]) - Detectar process hollowing - criação de processo suspenso seguido de escrita de memória ([[t1055-012-process-hollowing|T1055.012]]) - Alertar para modificações no registro por processos JavaScript ou de documentos ([[t1112-modify-registry|T1112]]) - Monitorar arquivos do Microsoft Publisher que executam código ([[t1059-003-windows-command-shell|T1059.003]]) ## Relevância LATAM/Brasil O [[g0065-leviathan|Leviathan]] foca no setor marítimo e de defesa naval - setores de relevância crescente para o Brasil, que possui uma das maiores forças navais da América Latina e capacidades de construção naval através da Embraer e de estaleiros como o Atlântico Sul. O interesse chinês em tecnologia naval e de defesa pode direcionar o Leviathan contra organizações brasileiras do setor de defesa e seus parceiros tecnológicos. ## Referências - [MITRE ATT&CK - S0229](https://attack.mitre.org/software/S0229)