s1100-ninj - RunkIntel

# Ninjá > Tipo: **malware** · S1100 · [MITRE ATT&CK](https://attack.mitre.org/software/S1100) ## Descrição [[ninjá|Ninjá]] é um malware desenvolvido em C++ utilizado pelo [[g1022-toddycat|ToddyCat]] para penetrar em redes e controlar sistemas remotos desde pelo menos 2020. O [[ninjá|Ninjá]] possívelmente faz parte de um toolkit de pós-exploração exclusivo do [[g1022-toddycat|ToddyCat]] e permite que múltiplos operadores trabalhem simultaneamente na mesma máquina comprometida, característica que indica operações em escala com equipes coordenadas. Foi usado contra entidades governamentais e militares na Europa e na Ásia. A ferramenta suporta proxy multi-hop para ofuscação da infraestrutura de C2, usa criptografia simétrica para proteger as comúnicações e emprega DLL sideloading para persistência e evasão. O Ninjá foi observado em cadeias de infecção específicas sendo implantado pelo [[s1099-samurai|Samurai]], outro implante do [[g1022-toddycat|ToddyCat]], compondo um ecosystem de ferramentas de pós-exploração sofisticado. O uso de protocolo não-padrão de camada de aplicação e obfuscação de dados demonstra maturidade operacional do grupo, que busca maximizar o tempo de permanência nos alvos sem acionar alertas baseados em assinaturas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1566-003-spearphishing-via-service|T1566.003 - Spearphishing via Service]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1106-native-api|T1106 - Native API]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1029-scheduled-transfer|T1029 - Scheduled Transfer]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1001-data-obfuscation|T1001 - Data Obfuscation]] - [[t1090-003-multi-hop-proxy|T1090.003 - Multi-hop Proxy]] ## Grupos que Usam - [[g1022-toddycat|ToddyCat]] ## Detecção - Monitorar DLL sideloading de processos legítimos de sistema ([[t1574-001-dll|T1574.001]]) - Detectar comunicação de rede usando protocolos não-padrão ([[t1095-non-application-layer-protocol|T1095]]) - Alertar para múltiplas sessões remotas simultâneas no mesmo host (comportamento de múltiplos operadores) - Analisar tráfego via proxy encadeados para identificar evasão de geo-filtering ([[t1090-003-multi-hop-proxy|T1090.003]]) ## Relevância LATAM/Brasil O [[g1022-toddycat|ToddyCat]] foca em alvos governamentais e militares, uma categoria de potencial interesse no contexto das relações internacionais do Brasil. Entidades governamentais brasileiras, especialmente aquelas com interface com países do Indo-Pacífico, devem monitorar indicadores associados ao [[g1022-toddycat|ToddyCat]], dado que o grupo expande progressivamente seu alcance geográfico. ## Referências - [MITRE ATT&CK - S1100](https://attack.mitre.org/software/S1100)