# Raindrop > Tipo: **malware** · S0565 · [MITRE ATT&CK](https://attack.mitre.org/software/S0565) ## Descrição [[s0565-raindrop|Raindrop]] é um loader utilizado pelo [[g0016-apt29|APT29]] (Cozy Bear), descoberto em algumas máquinas de vítimas durante investigações relacionadas ao [[solarwinds-compromise|SolarWinds Compromise]] - um dos ataques de supply chain mais impactantes da história. Foi identificado em janeiro de 2021 e provavelmente estava em uso desde pelo menos maio de 2020. O Raindrop difere do [[s0560-teardrop|TEARDROP]] - outro loader do APT29 na campanha SolarWinds - em aspectos técnicos importantes: ele usa um formato de DLL diferente, uma chave de criptografia diferente, e emprega técnicas de esteganografia ([[t1027-003-steganography|T1027.003]]) para ocultar o payload [[s0154-cobalt-strike|Cobalt Strike]] dentro do arquivo carregador. O malware realiza verificações de tempo ([[t1497-003-time-based-checks|T1497.003]]) para detectar ambientes de análise e se masquera como software legítimo ([[t1036-005-match-legitimate-resource-name-or-location|T1036.005]]). Notavelmente, o Raindrop foi implantado em apenas um subconjunto das redes já comprometidas pelo SUNBURST, sugerindo que o [[g0016-apt29|APT29]] o reservava para alvos de maior interesse após triagem inicial. O uso de compressão de software ([[t1027-002-software-packing|T1027.002]]) e arquivos cifrados ([[t1027-013-encryptedencoded-file|T1027.013]]) tornou a análise dos artefatos particularmente difícil para as equipes forenses que investigaram o incidente. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1036-masquerading|T1036 - Masquerading]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1027-003-steganography|T1027.003 - Steganography]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] ## Grupos que Usam - [[g0016-apt29|APT29]] ## Detecção A detecção do Raindrop é extremamente difícil dado seu nível de sofisticação. Regras YARA específicas desenvolvidas pela Symantec após análise pós-incidente podem identificar amostras conhecidas. Monitorar DLLs carregadas por processos legítimos com nomes incomuns ([[t1036-005-match-legitimate-resource-name-or-location|T1036.005]]), combinado com tráfego de rede característico do Cobalt Strike, são os melhores indicadores. A análise de memória de processos suspeitos é mais eficaz que a detecção baseada em arquivos em disco para este malware. ## Relevância LATAM/Brasil O [[g0016-apt29|APT29]] é responsável por algumas das operações de espionagem mais sofisticadas registradas. O Raindrop, como componente da campanha SolarWinds, afetou organizações globais incluindo agências governamentais e empresas de tecnologia. No Brasil, empresas que utilizavam produtos SolarWinds Orion durante 2020 podem ter sido expostas ao SUNBURST; o Raindrop representaria um risco adicional de persistência em redes já comprometidas. A campanha SolarWinds serve como caso de estudo fundamental para equipes de segurança brasileiras sobre risco de cadeia de suprimentos de software. ## Referências - [MITRE ATT&CK - S0565](https://attack.mitre.org/software/S0565)