s0465-carrotball - RunkIntel

# CARROTBALL > Tipo: **tool** · S0465 · [MITRE ATT&CK](https://attack.mitre.org/software/S0465) ## Descrição [[s0465-carrotball|CARROTBALL]] é um utilitário downloader FTP em uso desde pelo menos 2019, associado a campanhas de espionagem atribuídas à Coreia do Norte. A ferramenta utiliza o protocolo FTP para transferir payloads de segunda fase - específicamente o backdoor [[s0464-syscon|SYSCON]] - de servidores controlados pelos atacantes para o sistema comprometido. A escolha de FTP como protocolo de transferência pode ser uma estratégia para contornar proxy corporativos e filtros HTTP/HTTPS que inspecionam payloads. O CARROTBALL é distribuído via documentos Office maliciosos com macros ou exploits de documentos, sendo a primeira etapa de uma cadeia de infecção em múltiplos estágios. Após execução, conecta ao servidor FTP do atacante e baixa o SYSCON, um backdoor com capacidades de controle remoto completo. A ofuscação do código e técnicas de evasão de análise indicam desenvolvimento por atores com recursos e foco específico em campanhas de espionagem de longo prazo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-002-file-transfer-protocols|T1071.002 - File Transfer Protocols]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] ## Relevância LATAM/Brasil CARROTBALL é associado a campanhas de espionagem norte-coreanas ([[g0032-lazarus-group|Lazarus Group]] / [[g0094-kimsuky|Kimsuky]] nexus) direcionadas a governos, diplomacia e setor financeiro. O Brasil, como maior economia da América Latina com relações diplomáticas e comerciais extensas com a Coreia do Sul e envolvimento em negociações internacionais, é um alvo plausível para campanhas de espionagem norte-coreana. Setores alvejados pelo grupo responsável pelo CARROTBALL incluem governo, think tanks e setor de defesa - todos com presença significativa no Brasil. ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 3 (NetworkConnect):** Conexões FTP (porta 21) iniciadas por processos de documentos Office (`winword.exe`, `excel.exe`) ou por `wscript.exe`/`cscript.exe` - padrão do downloader FTP CARROTBALL - **Windows Security Event ID 4688 / Sysmon Event ID 1:** Execução de macro ou processo de Office gerando conexão de rede direta - indicativo de documento malicioso ativo - **Proxy/Firewall Logs:** Tráfego FTP para IPs sem histórico de comunicação legítima - CARROTBALL usa FTP plain (sem TLS) tipicamente **Regras de detecção:** - Sigma: `net_connection_win_ftp_connection_from_process.yml` - conexão FTP a partir de processos incomuns (SigmaHQ) - Sigma: `proc_creation_win_susp_office_macro_execution.yml` - macro Office gerando processos filhos suspeitos ## Referências Adicionais - [MITRE ATT&CK - S0465](https://attack.mitre.org/software/S0465) - [Palo Alto Unit 42 - CARROTBALL FTP Downloader Analysis](https://unit42.paloaltonetworks.com/unit42-the-fractured-block-campaign-carrotbat-malware-used-to-deliver-payloads-targeting-southeast-asia/) - 2019