APT38

OrigenCoreia do Norte

Técnicas (MITRE ATT&CK)56

FuenteMITRE ATT&CK

También conocido como:NICKEL GLADSTONEBeagleBoyzBluenoroffStardust ChollimaSapphire SleetCOPERNICIUM

Análisis Vexday

APT38 é um grupo de ameaça persistente avançada patrocinado pelo Estado norte-coreano, atribuído ao Reconnaissance General Bureau, com atuação documentada desde pelo menos 2014. O grupo é especializado em operações financeiras cibernéticas, tendo como alvos bancos, instituições financeiras, cassinos, exchanges de criptomoedas, endpoints do sistema SWIFT e caixas eletrônicos em pelo menos 38 países. Entre suas operações de maior impacto estão o roubo de US$ 81 milhões do Banco de Bangladesh em 2016 e ataques contra o Bancomext e o Banco de Chile, alguns dos quais com caráter destrutivo. O grupo é rastreado pelo MITRE ATT&CK sob o identificador G0082, com 56 técnicas documentadas e 2 CVEs atribuídas, sendo também reconhecido pelos aliases NICKEL GLADSTONE, BeagleBoyz, Bluenoroff, Stardust Chollima, Sapphire Sleet e COPERNICIUM.

Técnicas (MITRE ATT&CK) 56

Cómo opera el grupo, mapeado por la matriz MITRE ATT&CK y organizado por las fases de un ataque.

Preparación de recursos

Domains Tool

Acceso inicial

Drive-by Compromise Spearphishing Attachment

Ejecución

Cron Scheduled Task PowerShell Windows Command Shell Visual Basic Native API Malicious Link Malicious File Service Execution

Persistencia

Web Shell Windows Service

Escalada de privilegios

Bypass User Account Control

Acceso a credenciales

Brute Force

Descubrimiento

System Owner/User Discovery System Network Connections Discovery Process Discovery System Information Discovery File and Directory Discovery Network Share Discovery Browser Information Discovery Security Software Discovery

Recolección

Data from Local System Keylogging Clipboard Data

Comando y control

Web Protocols Ingress Tool Transfer

Impacto

Data Destruction Data Encrypted for Impact System Shutdown/Reboot Disk Structure Wipe Stored Data Manipulation Transmitted Data Manipulation Runtime Data Manipulation

defense-impairment

Modify Registry Mark-of-the-Web Bypass Disable or Modify Tools Clear Windows Event Logs Disable or Modify System Firewall Network Device Firewall Prevent Command History Logging

stealth

Software Packing Rename Legitimate Utilities Space after Filename Process Injection File Deletion Timestomp Deobfuscate/Decode Files or Information Compiled HTML File Mshta Msiexec Rundll32 Mutual Exclusion

Vulnerabilidades explotadas 2

CVEs que este grupo es conocido por explotar, según MITRE ATT&CK. Ordenadas por gravedad real.

CVE-2024-55591CRITICALEPSS 98%KEV CVE-2017-8625EPSS 15%

El grupo APT38 usa técnicas y explota fallas reales. El Pentest Autónomo con IA de TrueHacking simula esos ataques en tu infraestructura y aporta más seguridad a tu aplicación.

Conocer el Pentest Autónomo con IA →