s1050-pcshare - RunkIntel

# PcShare > Tipo: **tool** · S1050 · [MITRE ATT&CK](https://attack.mitre.org/software/S1050) ## Descrição [[s1050-pcshare|PcShare]] é originalmente uma ferramenta de acesso remoto (RAT) de código aberto desenvolvida para administração legítima de sistemas Windows. O código-fonte foi disponibilizado públicamente e subsequentemente modificado e reutilizado por atores de ameaça chineses, principalmente durante a campanha FunnyDream desde o final de 2018, que visou governos do Sudeste Asiático. Na versão maliciosa empregada pelo [[g1023-apt5|APT5]] e atores relacionados, o [[s1050-pcshare|PcShare]] foi significativamente modificado para incorporar ofuscação de código, comunicação C2 criptografada via HTTP/HTTPS, keylogging, captura de tela, injeção via COM Hijacking e persistência através de Rundll32. A ferramenta é frequentemente dropada junto com outros componentes da cadeia de ataque FunnyDream - incluindo um loader e um backdoor adicional - para garantir redundância de acesso. A técnica de mascaramento de nome de processo (T1036.005) é usada para disfarçar PcShare como processos legítimos do sistema. O uso de uma RAT de código aberto modificada, em vez de malware completamente customizado, é uma tática recorrente de grupos de espionagem chineses para dificultar a atribuição e reduzir o custo de desenvolvimento. A identificação do PcShare requer análise do comportamento da DLL e verificação de hashes contra bancos de dados de inteligência de ameaças. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1027-015-compression|T1027.015 - Compression]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1546-015-component-object-model-hijacking|T1546.015 - Component Object Model Hijacking]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] ## Grupos que Usam - [[g1023-apt5|APT5]] ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 7 (ImageLoad):** DLL carregada via `rundll32.exe` com nome que imita processos legítimos do sistema (T1036.005) - verificar hash e assinatura digital - **Sysmon Event ID 20 (WMIFilter):** COM Object Hijacking via modificação de `HKCU\Software\Classes\CLSID` para substituir DLLs legítimas - **Sysmon Event ID 3 (NetworkConnect):** Conexões HTTP periódicas (beaconing) a domínios de baixa reputação a partir de processos `rundll32.exe` ou `svchost.exe` **Regras de detecção:** - YARA: Buscar strings de código-fonte original do PcShare em DLLs desconhecidas - includes de cabecalho e funções de rede características - Sigma: `proc_creation_win_rundll32_suspicious.yml` - detecta rundll32 executando DLLs em locais temporários ou de usuário (SigmaHQ) ## Relevância LATAM/Brasil [[g1023-apt5|APT5]] - grupo de espionagem chinês com foco em telecomúnicações, tecnologia e infraestrutura crítica - representa ameaça relevante para o Brasil dado o crescente investimento e presença de empresas de telecomúnicações chinesas no país. Organizações brasileiras do setor de telecomúnicações, energia e governo com parcerias ou relacionamento com empresas do Sudeste Asiático devem considerar APT5 em seus modelos de ameaça. Ferramentas como PcShare, por sua natureza de RAT de código aberto modificado, têm potencial de ser reutilizadas por outros grupos de ameaça com menos recursos técnicos operando na América Latina. ## Referências - [MITRE ATT&CK - S1050](https://attack.mitre.org/software/S1050)