# APT38 > [!danger] APT Norte-Coreano — Subgrupo Lazarus Especializado em Bancos > **APT38** (MITRE G0082), também conhecido como **BlueNoroff**, é o subgrupo financeiro do [[lazarus-group|Lazarus Group]] especializado em ataques a bancos e sistemas SWIFT. Responsável pelo roubo de US$81 milhões do Bangladesh Bank em 2016 — o maior assalto a banco digital da história. ## Visão Geral APT38 (BlueNoroff) é um subgrupo especializado do [[lazarus-group|Lazarus Group]] norte-coreano, com missão exclusiva de geração de receita para o regime: roubo de bancos internacionais via rede SWIFT, exchanges de criptomoedas e sistemas de pagamento digital. O grupo é financeiramente motivado e extremamente disciplinado em suas operações. O ato mais famoso do APT38 foi o ataque ao Bangladesh Bank em fevereiro de 2016: os operadores comprometeram os sistemas SWIFT do banco central de Bangladesh e enviaram 35 ordens de transferência fraudulentas para contas nos EUA, Filipinas e Sri Lanka. As transferências de US$951 milhões foram bloqueadas na maioria pelos bancos intermediários, mas US$81 milhões chegaram às Filipinas e foram lavados via cassinos — tornando-se o maior roubo bancário digital da história. A América Latina tem relevância específica no histórico do APT38: o grupo tentou atacar bancos no México (Bancomext, 2018) e no Chile (Banco de Chile, 2018) usando variantes de malware que tentavam fraudar transações SWIFT. O Banco de Chile perdeu aproximadamente US$10 milhões em uma operação onde o APT38 usou um wiper (FASTCASH) como distração enquanto realizava as transferências. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nSistemas SWIFT do alvo\nLayout de rede] --> B[Acesso Inicial\nSpear Phishing\nEngenharia social bancária] B --> C[Persistência\nAnos de acesso\nAprendizado do ambiente] C --> D[Preparação\nModificação lógica SWIFT\nCredenciais de operadores] D --> E[Ataque\nTransferências SWIFT\nWiper como distração] E --> F[Exfiltração\nContas mulas\nLavagem cripto] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Spear Phishing | [[t1566-phishing\|T1566]] | E-mails direcionados a operadores bancários | | Manipulação SWIFT | [[t1078-valid-accounts\|T1078]] | Credenciais de operadores SWIFT comprometidos | | Wiper como Distração | [[t1486-data-encrypted-for-impact\|T1486]] | FASTCASH wiper durante operação SWIFT | | Deploy de Ferramentas | [[t1105-ingress-tool-transfer\|T1105]] | DreamLoaders e backdoors customizados | ## Relevância LATAM O APT38 tem histórico confirmado de ataques na América Latina: - **México (2018)**: Tentativa de fraude SWIFT contra Bancomext - **Chile (2018)**: Banco de Chile — US$10 milhões roubados via SWIFT + wiper distração - **Costa Rica**: Tentativas não confirmadas públicamente ## Detecção e Defesa - Implementar controles duplos para autenticação de transferências SWIFT de alto valor - Monitorar anomalias em logs SWIFT para transações em horários incomuns - Isolar sistemas SWIFT em segmento de rede dedicado com monitoramento rigoroso - Aplicar [[m1032-multi-factor-authentication|M1032]] em todas as estações SWIFT - Verificar integridade de aplicações SWIFT com checksums regulares ## Referências - MITRE ATT&CK: [APT38 G0082](https://attack.mitre.org/groups/G0082/) - Mandiant: APT38 — North Korea's Financially Motivated Cyber Operations (2018) - FBI: APT38 — FASTCash 2.0 North Korea-Linked ATM cash-out (2020) - Bangladesh Bank heist — comprehensive analysis (2016) - Perfil relacionado: [[lazarus-group|Lazarus Group]]