APT38

OrigemCoreia do Norte

Técnicas (MITRE ATT&CK)56

FonteMITRE ATT&CK

Também conhecido como:NICKEL GLADSTONEBeagleBoyzBluenoroffStardust ChollimaSapphire SleetCOPERNICIUM

Análise Vexday

APT38 é um grupo de ameaça persistente avançada patrocinado pelo Estado norte-coreano, atribuído ao Reconnaissance General Bureau, com atuação documentada desde pelo menos 2014. O grupo é especializado em operações financeiras cibernéticas, tendo como alvos bancos, instituições financeiras, cassinos, exchanges de criptomoedas, endpoints do sistema SWIFT e caixas eletrônicos em pelo menos 38 países. Entre suas operações de maior impacto estão o roubo de US$ 81 milhões do Banco de Bangladesh em 2016 e ataques contra o Bancomext e o Banco de Chile, alguns dos quais com caráter destrutivo. O grupo é rastreado pelo MITRE ATT&CK sob o identificador G0082, com 56 técnicas documentadas e 2 CVEs atribuídas, sendo também reconhecido pelos aliases NICKEL GLADSTONE, BeagleBoyz, Bluenoroff, Stardust Chollima, Sapphire Sleet e COPERNICIUM.

Técnicas (MITRE ATT&CK) 56

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Preparação de recursos

Domains Tool

Acesso inicial

Drive-by Compromise Spearphishing Attachment

Execução

Cron Scheduled Task PowerShell Windows Command Shell Visual Basic Native API Malicious Link Malicious File Service Execution

Persistência

Web Shell Windows Service

Escalada de privilégio

Bypass User Account Control

Acesso a credenciais

Brute Force

Descoberta

System Owner/User Discovery System Network Connections Discovery Process Discovery System Information Discovery File and Directory Discovery Network Share Discovery Browser Information Discovery Security Software Discovery

Coleta

Data from Local System Keylogging Clipboard Data

Comando e controle

Web Protocols Ingress Tool Transfer

Impacto

Data Destruction Data Encrypted for Impact System Shutdown/Reboot Disk Structure Wipe Stored Data Manipulation Transmitted Data Manipulation Runtime Data Manipulation

defense-impairment

Modify Registry Mark-of-the-Web Bypass Disable or Modify Tools Clear Windows Event Logs Disable or Modify System Firewall Network Device Firewall Prevent Command History Logging

stealth

Software Packing Rename Legitimate Utilities Space after Filename Process Injection File Deletion Timestomp Deobfuscate/Decode Files or Information Compiled HTML File Mshta Msiexec Rundll32 Mutual Exclusion

Vulnerabilidades exploradas 2

CVEs que este grupo é conhecido por explorar, segundo o MITRE ATT&CK. Ordenadas por gravidade real.

CVE-2024-55591CRITICALEPSS 98%KEV CVE-2017-8625EPSS 15%

O grupo APT38 usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →