tigerrat - RunkIntel

# TigerRAT > [!high] RAT da Coreia do Norte - Subgrupo Andariel do Lazarus > TigerRAT é um Remote Access Trojan desenvolvido pelo grupo Andariel, subgrupo do Lazarus Group vinculado ao Reconnaissance General Bureau da Coreia do Norte. Nomeado "ByteTiger" pela KISA, é usado em espionagem e sabotagem de infraestrutura crítica. ## Visão Geral TigerRAT é um RAT sofisticado atribuído ao grupo [[g0138-andariel]], uma subdivisão especializada do [[g0032-lazarus-group]] que opera sob o RGB (Reconnaissance General Bureau) da Coreia do Norte. O malware foi identificado e nomeado "ByteTiger" pela KISA (Korea Internet & Security Agency) após análise técnica de incidentes em organizações sul-coreanas. Pesquisas da AhnLab e do ASEC expandiram o perfil do malware, identificando versões com capacidades incrementadas. O TigerRAT é distribuído principalmente via phishing com documentos maliciosos e exploração de vulnerabilidades em servidores web expostos. Após infecção inicial, o malware se instala como serviço do Windows para garantir persistência e estabelece canal C2 cifrado com RC4 via porta 443 - disfarçando comúnicações como HTTPS legítimo. Entre as capacidades do TigerRAT estão: captura de tela em tempo real, keylogging, proxy SOCKS5 para tunelamento de tráfego, transferência de arquivos bidirecional e dump de dispositivos USB. A sofisticação do proxy SOCKS5 sugere uso em redes segmentadas, onde o TigerRAT serve como ponto de pivô para movimentação lateral. O [[g0138-andariel]] é conhecido por atacar setores como defesa, energia, manufatura e saúde, com histórico que inclui ataques ao setor de saúde durante a pandemia COVID-19 em 2021. O alvo primário é a Coreia do Sul, mas há registros de alvos em outros países. > [!latam] Relevância para o Brasil e LATAM > O Andariel não possui campanhas documentadas no Brasil, mas organizações brasileiras dos setores de **defesa**, **energia** e **manufatura** com presença ou parcerias na Coreia do Sul representam potencial superfície de ataque. O TigerRAT possui capacidade de operação em redes segmentadas via proxy SOCKS5, aumentando o risco de comprometimento de cadeia de suprimentos em empresas com filiais asiáticas. O [[healthcare|setor de saúde]] brasileiro deve considerar a ameaça dado o histórico de ataques do grupo a hospitais durante a pandemia. ## Attack Flow ```mermaid graph TB A["📧 Spear-Phishing Documento malicioso"] --> B["💥 Exploração ou Macro Execução de shellcode"] B --> C["📥 Download TigerRAT Dropper busca payload C2"] C --> D["🔧 Instalação como Serviço Persistência via Windows Service"] D --> E["🔐 Canal C2 RC4 Porta 443 - camufla HTTPS"] E --> F["👁️ Reconhecimento Keylog + Screenshot + USB dump"] F --> G["↔️ Proxy SOCKS5 Pivô para rede interna"] G --> H["📤 Exfiltração Dados coletados via C2 cifrado"] ``` *Atores relacionados: [[g0138-andariel]] · [[g0032-lazarus-group]]* ## Técnicas MITRE ATT&CK | ID | Técnica | Fase | Descrição | |----|---------|------|-----------| | T1059.001 | PowerShell | Execução | Scripts PowerShell para estágios secundários | | T1543.003 | Windows Service | Persistência | Instalação como serviço para persistência | | T1056.001 | Keylogging | Coleta | Captura de teclas digitadas | | T1113 | Screen Capture | Coleta | Capturas de tela periódicas | | T1091 | Removable Media | Coleta | Dump automático de dispositivos USB | | T1090 | Proxy | C2 | Proxy SOCKS5 para tunelamento e pivô | | T1105 | Ingress Tool Transfer | C2 | Download de ferramentas adicionais | | T1573 | Encrypted Channel | C2 | RC4 encryption na porta 443 | ## Capacidades Técnicas ```mermaid graph TB subgraph Coleta de Dados KEY["Keylogging Captura de teclas"] SCR["Screen Capture Screenshots periodicos"] USB["USB Dump Dispositivos removiveis"] FIL["File Transfer Upload e download"] end subgraph Infraestrutura C2 RC4["RC4 Encryption Porta 443"] SOC["SOCKS5 Proxy Tunel para rede interna"] CMD["Command Shell Execução remota"] end KEY --> RC4 SCR --> RC4 USB --> RC4 FIL --> SOC CMD --> RC4 ``` *Técnicas: [[t1056-001-keylogging|T1056.001]] · [[t1090-proxy|T1090]] · [[t1573-encrypted-channel|T1573]]* ## Detecção e Defesa **Indicadores comportamentais:** - Serviço Windows criado com nome genérico imitando software legítimo - Tráfego RC4 encapsulado na porta 443 (não TLS padrão) - Acesso sistemático a dispositivos USB após instalação - Capturas de tela frequentes por processo não esperado - Conexões SOCKS5 internas para múltiplos hosts **Mitigações recomendadas:** - Monitorar criação de serviços Windows com alertas para nomes suspeitos - Inspeção SSL/TLS profunda para identificar RC4 fora do padrão - Controle de dispositivos USB via política de grupo (GPO) - [[m1049-antivirus-antimalware|EDR]] com detecção comportamental para keyloggers - [[m1030-network-segmentation|Segmentação de rede]] para limitar impacto de proxy SOCKS5 ## Referências - [1](https://asec.ahnlab.com/en/36159/) AhnLab ASEC - TigerRAT Analysis and Detection (2022) - [2](https://attack.mitre.org/groups/G0138/) MITRE ATT&CK - Andariel Group G0138 (2023) - [3](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-187a) CISA/NSA/FBI - North Korean Cyber Espionage Advisory AA22-187A (2022) - [4](https://www.sentinelone.com/labs/andariel-evolving-the-north-korean-playbook/) SentinelOne Labs - Andariel: Evolving the North Korean Playbook (2023)