# RemoteUtilities > Tipo: **tool** · S0592 · [MITRE ATT&CK](https://attack.mitre.org/software/S0592) ## Descrição [[s0592-remoteutilities|RemoteUtilities]] é uma ferramenta comercial de administração remota de área de trabalho desenvolvida pela RemoteUtilities LLC, funcionalmente similar ao TeamViewer e AnyDesk. Oferece controle remoto de tela, transferência de arquivos, chat e gerenciamento de múltiplos computadores via painel centralizado. É legítima e usada por equipes de suporte de TI em todo o mundo. O [[g0069-mango-sandstorm|MuddyWater]] (MOIS, Irã) utilizou RemoteUtilities desde 2021 como ferramenta de acesso remoto em campanhas de espionagem, aproveitando sua legitimidade para evitar detecção. A tática é instalar o RemoteUtilities nos sistemas alvo usando scripts ou instaladores maliciosos, configurar o acesso para o ID de conta controlado pelo operador, e então manter acesso persistente via a infraestrutura legítima do RemoteUtilities - sem necessidade de servidores C2 próprios que poderiam ser bloqueados por inteligência de ameaças. Esta abordagem de "Bring Your Own Legitimaté Tool" (BYOLT) é uma evolução da técnica LOLBin: em vez de usar ferramentas do sistema operacional, o atacante usa software comercial confiável cujo tráfego é difícil de distinguir de uso legítimo. O RemoteUtilities funciona via relay servers do próprio serviço, tornando o bloqueio de IPs/domínios eficaz apenas se a organização bloquear todo o serviço RemoteUtilities - o que impacta uso legítimo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1218-007-msiexec|T1218.007 - Msiexec]] - [[t1113-screen-capture|T1113 - Screen Capture]] ## Grupos que Usam - [[g0069-mango-sandstorm|MuddyWater]] ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** `rutserv.exe` (serviço RemoteUtilities) instalado em sistemas que não utilizam RemoteUtilities legitimamente, especialmente via linha de comando com `/silentinstall` - **Sysmon Event ID 3 (NetworkConnect):** Conexões para `relay.remoteutilities.com` ou IPs da infraestrutura RemoteUtilities a partir de hosts que não têm histórico de uso da ferramenta - **Windows Event ID 7045:** Instalação do serviço RemoteUtilities (`Remote Utilities - Host`) em contexto fora do processo normal de provisionamento de TI **Regras de detecção:** - Sigma: `proc_creation_win_remote_utilities_install.yml` - detecta instalação silenciosa do RemoteUtilities (SigmaHQ) - Allowlisting: Implementar política de allowlist para ferramentas de acesso remoto - apenas ferramentas aprovadas pela equipe de TI devem ser autorizadas - UEBA: Alerta para instalação de novos softwares de acesso remoto por usuários sem perfil de administrador de TI ## Relevância LATAM/Brasil A utilização de ferramentas de acesso remoto legítimas como RemoteUtilities por grupos de espionagem patrocinados pelo Estado é uma tendência crescente que afeta organizações em todo o mundo, incluindo o Brasil. [[g0069-mango-sandstorm|MuddyWater]] tem foco em Oriente Médio, mas organizações brasileiras com subsidiárias ou parceiros nas regiões-alvo podem ser comprometidas como pivô. O modelo BYOLT é especialmente perigoso no Brasil onde muitas empresas de médio porte utilizam ferramentas de acesso remoto sem inventário centralizado - tornando difícil identificar instalações não autorizadas do RemoteUtilities em meio ao uso legítimo. ## Referências - [MITRE ATT&CK - S0592](https://attack.mitre.org/software/S0592)