# Operation Sharpshooter ## Descrição A Operation Sharpshooter foi uma campanha global de espionagem cibernética atribuída com média-alta confiança ao [[g0032-lazarus-group|Lazarus Group]], documentada pela McAfee em dezembro de 2018 com atividade identificada entre setembro de 2017 e março de 2019. A campanha visou empresas dos setores nuclear, de defesa, governamental, de energia e financeiro, com concentração de alvos na Alemanha, Turquia, Reino Unido e Estados Unidos. O vetor de acesso inicial utilizava documentos Word maliciosos com macros ([[t1204-002-malicious-file|T1204.002]]) entregues via iscas de recrutamento - falsas ofertas de emprego em setores de alto valor, padrão característico do Lazarus Group. O malware principal [[s0448-rising-sun|Rising Sun]] - um backdoor modular em C++ com capacidades de keylogging, exfiltração de sistema e controle remoto - compartilhava semelhanças de código com o backdoor MIHAIL utilizado em operações anteriores atribuídas ao grupo, reforçando a atribuição. A campanha utilizou proxy ([[t1090-proxy|T1090]]) e process injection ([[t1055-process-injection|T1055]]) como técnicas de evasão, e Dynamic Data Exchange ([[t1559-002-dynamic-data-exchange|T1559.002]]) para execução de código em documentos Office sem macros tradicionais. A infraestrutura de C2 utilizava serviços cloud legítimos como staging, dificultando a detecção por ferramentas de filtragem de tráfego. ## Impacto A campanha comprometeu organizações nos setores de defesa, nuclear e energia em quatro países, com provável exfiltração de propriedade intelectual sensível e dados operacionais de alto valor estratégico para a DPRK. O interesse no setor nuclear é particularmente significativo dado o programa de armas nucleares norte-coreano e seu interesse em inteligência sobre tecnologias e capacidades nucleares de adversários. ## Relevância LATAM/Brasil A Operation Sharpshooter demonstra o interesse do [[g0032-lazarus-group|Lazarus Group]] em alvos dos setores de energia nuclear e defesa globalmente. O Brasil possui o Programa Nuclear Brasileiro - incluindo o Complexo de Aramar e capacidades de enriquecimento de urânio da Marinha - , tornando organizações do setor nuclear brasileiro potencialmente relevantes para operações futuras com padrões similares. A técnica de iscas de recrutamento via documentos Office é diretamente aplicável ao contexto brasileiro e deve ser incluída em treinamentos de conscientização de segurança. ## Técnicas Utilizadas - [[t1559-002-dynamic-data-exchange|T1559.002 - Dynamic Data Exchange]] - [[t1584-004-server|T1584.004 - Server]] - [[t1608-001-upload-malware|T1608.001 - Upload Malware]] - [[t1583-006-web-services|T1583.006 - Web Services]] - [[t1106-native-api|T1106 - Native API]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1587-001-malware|T1587.001 - Malware]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1090-proxy|T1090 - Proxy]] ## Software Utilizado - [[s0448-rising-sun|Rising Sun]] --- --- *Fonte: [MITRE ATT&CK - C0013](https://attack.mitre.org/campaigns/C0013)* *Fonte: McAfee Advanced Threat Research - "Operation Sharpshooter: Campaign Targets Global Defense, Critical Infrastructure" (Dezembro 2018)*