s1182-magicrat - RunkIntel

# MagicRAT > Tipo: **malware** · S1182 · [MITRE ATT&CK](https://attack.mitre.org/software/S1182) ## Descrição [[s1182-magicrat|MagicRAT]] é uma ferramenta de acesso remoto (RAT) desenvolvida em C++ e utilizada exclusivamente pelo [[g0032-lazarus-group|Lazarus Group]] (APT38 / Hidden Cobra), grupo norte-coreano atribuído ao RGB (Reconnaissance General Bureau). O MagicRAT foi descoberto pelo Cisco Talos em 2022 em campanhas contra organizações de energia e infraestrutura crítica, distinguindo-se pelo uso incomum do framework Qt para desenvolvimento da interface de controle, tornando a análise estática mais complexa. O MagicRAT fornece execução arbitrária de comandos via shell Windows ([[t1059-003-windows-command-shell|T1059.003]]), download e execução de arquivos adicionais ([[t1105-ingress-tool-transfer|T1105]]), descoberta do sistema ([[t1082-system-information-discovery|T1082]]) e configuração de rede ([[t1016-system-network-configuration-discovery|T1016]]). A persistência é estabelecida via Registry Run Keys ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) e Scheduled Task ([[t1053-005-scheduled-task|T1053.005]]). O malware mascara seu tipo de arquivo real ([[t1036-008-masquerade-file-type|T1036.008]]) e mascara sua localização como software legítimo ([[t1036-005-match-legitimate-resource-name-or-location|T1036.005]]). A comunicação C2 usa HTTP ([[t1071-001-web-protocols|T1071.001]]) com exfiltração via canal C2 ([[t1041-exfiltration-over-c2-channel|T1041]]). O [[g0032-lazarus-group|Lazarus Group]] é responsável por alguns dos ataques cibernéticos mais significativos da história, incluindo o ataque ao Banco Central do Bangladesh (81 milhões de dólares roubados) e o ataque WannaCry. O grupo tem histórico de ataques ao setor financeiro e de criptomoedas globalmente, representando risco direto a organizações financeiras brasileiras. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1036-008-masquerade-file-type|T1036.008 - Masquerade File Type]] ## Grupos que Usam - [[g0032-lazarus-group|Lazarus Group]] ## Detecção - **[[ds-0009-process|Process Creation]]** - Monitorar execução de processos Qt framework (binários grandes com dependências de biblioteca Qt) em sistemas sem aplicações Qt legítimas instaladas - o MagicRAT usa Qt para desenvolvimento. - **[[ds-0022-file|File Modification]]** - Detectar criação de arquivos em localizações que imitam software legítimo com extensões incorretas - técnica de mascaramento de tipo de arquivo do MagicRAT. - **[[ds-0029-network-traffic|Network Traffic Content]]** - Alertar para beaconing HTTP regular de processos com nomes genéricos em localizações de sistema - padrão de C2 do MagicRAT para comunicação com servidores C2 do Lazarus. ```sigma title: MagicRAT Scheduled Task Persistence status: experimental logsource: category: process_creation product: windows detection: selection: Image|endswith: '\schtasks.exe' CommandLine|contains: - '/create' - '/tr' ParentImage|endswith: - '\cmd.exe' - '\powershell.exe' condition: selection falsepositives: - Legitimaté software creating scheduled tasks via scripts level: medium tags: - attack.persistence - attack.t1053.005 - code/distill ``` ## Relevância LATAM/Brasil O [[g0032-lazarus-group|Lazarus Group]], operador do MagicRAT, é responsável por alguns dos maiores roubos financeiros cibernéticos da história, com foco em exchanges de criptomoedas, bancos e sistemas SWIFT. O Brasil, como um dos maiores mercados de criptomoedas da América Latina e com setor bancário significativo, está dentro do escopo de interesse do Lazarus Group para operações de geração de receita em apoio ao programa de armas da Coreia do Norte. ## Referências - [MITRE ATT&CK - S1182](https://attack.mitre.org/software/S1182) - [Cisco Talos - MagicRAT: Lazarus' newest malware](https://blog.talosintelligence.com/magicrat-lazarus-apt/)