# RunningRAT > Tipo: **malware** · S0253 · [MITRE ATT&CK](https://attack.mitre.org/software/S0253) ## Descrição [[s0253-runningrat|RunningRAT]] é uma ferramenta de acesso remoto que surgiu em operações relacionadas às Olimpíadas de Inverno de Pyeongchang em 2018, ao lado de [[s0249-gold-dragon|Gold Dragon]] e [[s0252-brave-prince|Brave Prince]]. Esses ataques, atribuídos ao grupo norte-coreano Lazarus (com possível envolvimento de outros atores), visaram organizações relacionadas ao evento esportivo, incluindo patrocinadores, parceiros de mídia e a própria infraestrutura das Olimpíadas - em um dos casos mais notórios de sabotagem cibernética de evento esportivo internacional. O [[s0253-runningrat|RunningRAT]] possui funcionalidades típicas de RAT para espionagem: realiza keylogging, captura o conteúdo da área de transferência, coleta informações do sistema e envia os dados compactados para o servidor C2. Uma das características de segurança operacional do malware é a limpeza ativa de logs de eventos do Windows ([[t1070-001-clear-windows-event-logs|T1070.001]]) e a deleção de arquivos relacionados ao malware após a exfiltração ([[t1070-004-file-deletion|T1070.004]]), dificultando análise forense pós-comprometimento. O malware também desabilita ferramentas de segurança instaladas no sistema ([[t1562-001-disable-or-modify-tools|T1562.001]]) e arquiva os dados coletados antes de exfiltrá-los ([[t1560-archive-collected-data|T1560]]), seguindo um padrão operacional cuidadoso e metódico. A persistência é garantida via chaves Run do registro, e o malware coleta informações extensas sobre o sistema-alvo para permitir que os operadores avaliem o valor do alvo comprometido. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - [[t1070-001-clear-windows-event-logs|T1070.001 - Clear Windows Event Logs]] - [[t1115-clipboard-data|T1115 - Clipboard Data]] ## Detecção - Monitorar limpeza de logs de eventos do Windows por processos não relacionados a ferramentas de administração legítimas - Detectar desabilitação de processos de segurança (AV, EDR) por processos de usuário - Alertar sobre criação de arquivos compactados (.zip, .rar) seguida de exfiltração para endereços externos - Implementar SIEM com regras de correlação para sequências: keylogger + archive + exfiltração + limpeza de logs - Manter cópias de logs de eventos em servidor central para garantir preservação mesmo após limpeza local ## Relevância LATAM/Brasil A capacidade do [[s0253-runningrat|RunningRAT]] de apagar evidências forenses - logs de eventos e arquivos relacionados - representa um desafio significativo para equipes de resposta a incidentes brasileiras. A falta de centralização de logs em muitas organizações da região significa que a limpeza local pode resultar em perda permanente de evidências. Eventos esportivos de grande porte realizados no Brasil (Copa do Mundo, Olimpíadas) já demonstraram ser alvos de operações cibernéticas, tornando o histórico do RunningRAT uma referência relevante para planejamento de segurança de megaeventos. ## Referências - [MITRE ATT&CK - S0253](https://attack.mitre.org/software/S0253)