g0082-apt38 - RunkIntel

# APT38 > [!danger] Grupo de Alto Risco para o Setor Financeiro > **APT38** (BeagleBoyz / BlueNoroff) é o subgrupo financeiro do complexo norte-coreano Lazarus, especializado em **roubo a bancos e sistemas SWIFT**. Com mais de **US$ 1,3 bilhão tentados** em operações documentadas, o grupo é responsavel pelo maior roubo bancario cibernetico da historia (Bank of Bangladesh, 2016). **O Brasil figura na lista de vitimas confirmadas** via operações FASTCash. Risco direto para instituições financeiras brasileiras integradas ao sistema SWIFT. ## Visão Geral **APT38** (também rastreado como BeagleBoyz, BlueNoroff e Sapphire Sleet) é o braço de **operações financeiras ciberneticas** patrocinado pelo estado norte-coreano, atribuído ao **Reconnaissance General Bureau (RGB)** da DPRK. Enquanto o [[g0032-lazarus-group|Lazarus Group]] é o guarda-chuva estratégico, o APT38 é o executor especializado em comprometimento de sistemas bancarios internacionais. **Visão geral:** - Origem: Coreia do Norte - RGB (Reconnaissance General Bureau) - Ativo desde: **2014** (primeiro ataque SWIFT documentado contra banco do Bangladesh) - Motivação principal: **financeiro** - geração de divisas para contornar sanções internacionais - Alvo prioritário: redes de bancos com acesso ao sistema **SWIFT**, caixas eletronicos e exchanges - Confirmado em **38+ países** com vitimas documentadas - **Brasil confirmado** como alvo em operação FASTCash **Diferencial operacional:** APT38 demonstra paciência excepcional - entra silenciosamente em redes bancarias, observa operações por semanas ou meses para entender processos internos, e só então executa a transação fraudulenta. Após o roubo, deploia wipers ([[s0607-killdisk|KillDisk]]) para destruir evidências. ## Campanhas Documentadas ### Bank of Bangladesh Heist - Fevereiro 2016 (US$ 81 milhões) O maior roubo bancario cibernetico da historia. O APT38 comprometeu a rede interna do Banco Central de Bangladesh, obteve credenciais do sistema SWIFT, e transmitiu 35 ordens fraudulentas de transferência via SWIFT para contas nas Filipinas. Quatro transferências no total de **US$ 81 milhões** passaram antes que erros de digitação em uma quinta ordem alertaram o Deutsche Bank (banco intermediario) e interromperam o ataque. O total tentado era de **US$ 951 milhões**. ### FASTCash ATM Scheme - 2016 a 2020 Esquema de jáckpotting de caixas eletronicos que operou em múltiplos países simultaneamente. O APT38 comprometia switches de ATM de bancos (servidores que processam transações), instalava malware que aprovava saques fraudulentos mesmo com saldo insuficiente ou contas inexistentes. Operações simultâneas em 30 países resultaram em centenas de milhões de dólares. **Brasil incluso** no alcance geograico confirmado. ### Bancomext - México, Janeiro 2018 (tentativa de US$ 110 milhões) Ataque contra o Banco Nacional de Comercio Exterior do Mexico via comprometimento do sistema SWIFT. A maioria das transferencias fraudulentas foi bloqueada, mas o evento demonstrou alcance do APT38 na América Latina. ### Banco de Chile - Maio 2018 (US$ 10 milhões) Comprometimento do Banco de Chile com deploy de KillDisk como distração enquanto transferências SWIFT fraudulentas eram executadas. Modelo "wiper como cobertura" caracteristico do grupo. ## Arsenal | Ferramenta | Tipo | Função | |-----------|------|--------| | [[s0593-eccentricbandwagon\|ECCENTRICBANDWAGON]] | Keylogger | Captura credenciais de operadores bancarios via keylogging persistente | | [[s0376-hoplight\|HOPLIGHT]] | Backdoor proxy | C2 com capacidade de proxy para mascarar origem das conexões | | [[s0607-killdisk\|KillDisk]] | Wiper | Destruição de evidências após roubo consumado | | [[mimikatz\|Mimikatz]] | Credential Dumping | Extração de credenciais para movimentação lateral | | [[darkcomet\|DarkComet]] | RAT | Acesso remoto persistente em fase de reconhecimento | ## Attack Flow - Roubo Bancário SWIFT ```mermaid graph TB A["🎯 Reconhecimento Banco com acesso SWIFT T1591 Victim Info"] --> B["🎣 Acesso Inicial Drive-by / Spearphishing T1189 - T1204.001"] B --> C["🐚 Implante Silencioso HOPLIGHT / DarkComet Backdoor persistente"] C --> D["⌨️ Keylogging ECCENTRICBANDWAGON T1056.001 Captura de credenciais"] D --> E["📊 Observação Bancária Meses de aprendizado Processos SWIFT internos"] E --> F["💰 Execução do Roubo Transação SWIFT fraudulenta Caixas eletrônicos FASTCash"] F --> G["🔥 Destruição de Evidências KillDisk wiper T1486 - T1529"] ``` ## Timeline do Grupo ```mermaid timeline title APT38 - Linha do Tempo 2014 : Primeiras operações contra bancos asiáticos : Comprometimento de sistemas SWIFT 2016 : Bank of Bangladesh - US$ 81M roubados : FASTCash ATM scheme lançado 2018 : Bancomext México - US$ 110M tentados : Banco de Chile - US$ 10M via KillDisk 2019 : Expansão FASTCash para ATMs africanos : US Cyber Command alerta sobre BeagleBoyz 2020 : Relatório FASTCash 2.0 do U.S. Treasury : Sanções adicionais da OFAC 2022 : Pivot parcial para criptomoedas : Fusão operacional com TraderTraitor 2026 : Monitoramento contínuo pelo FBI ``` ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Initial Access | Drive-by Compromise | [[t1189-drive-by-compromise\|T1189]] | Watering hole em sites financeiros e bancarios | | Credential Access | Keylogging | [[t1056-001-keylogging\|T1056.001]] | ECCENTRICBANDWAGON para captura de credenciais SWIFT | | Persistence | Windows Service | [[t1543-003-windows-service\|T1543.003]] | Persistência via serviços Windows customizados | | Defense Evasion | Bypass UAC | [[t1548-002-bypass-user-account-control\|T1548.002]] | Escalação de privilégios via bypass do UAC | | Discovery | Security Software Discovery | [[t1518-001-security-software-discovery\|T1518.001]] | Identificação de EDR/AV para evasão direcionada | | Impact | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | KillDisk como wiper para destruição de evidências | | Impact | System Shutdown/Reboot | [[t1529-system-shutdownreboot\|T1529]] | Reboot forçado após wiper para impedir recuperação | | Defense Evasion | File Deletion | [[t1070-004-file-deletion\|T1070.004]] | Remoção de artefatos e logs operacionais | ## Relevância para o Brasil e LATAM > [!danger] Ameaça Confirmada para Setor Bancário da Região > O APT38 **operou em países da América Latina** (Mexico, Chile, Brasil via FASTCash) e considera instituições financeiras da região como alvos válidos. O Brasil, com a maior economia da LATAM e sistema bancario integrado ao SWIFT, representa alvo de alto valor. Bancos com operações internacionais e exchanges de criptomoedas são os perfis de maior risco. **Vetores de risco direto para o Brasil:** - **Bancos com acesso SWIFT** (Banco do Brasil, Itau, Bradesco com operações internacionais): perfil exato dos alvos historicos do APT38 - **Switches de ATM sem patch adequado**: o esquema FASTCash explora vulnerabilidades em servidores de switch de caixa eletronico, comum em bancos regionais brasileiros - **Exchanges de criptomoedas brasileiras**: com a expansão do grupo para criptoativos, exchanges como Mercado Bitcoin e Foxbit são perfis de interesse crescente **Recomendações prioritarias:** - Implementar autenticação multifator em todos os terminais com acesso ao SWIFT - Monitorar mensagens SWIFT por padrões anomalos (transferências noturnas, beneficiarios novos) - Isolar servidores de switch de ATM em segmento de rede dedicado com monitoramento rigoroso - Detectar presença de keyloggers via EDR em maquinas de operadores bancarios ## Detecção **Regras de detecção comportamentais:** - Processo desconhecido com acesso persistente a memoria de processos bancarios (injeção de processo - T1055) - Conexões outbound de servidores SWIFT para IPs externos não autorizados - Criação de novo serviço Windows em servidor de processamento financeiro - Execução de comandos de limpeza de log (wevtutil, del *.log) em servidores criticos - Evento Windows 4697 (serviço instalado) em hosts de switches de ATM **Fontes de inteligência:** - U.S. Treasury OFAC: lista de entidades sancionadas relacionadas ao APT38 - CISA Alert AA20-239A: FASTCash 2.0 com IoCs detalhados - FBI Flash alerts sobre SWIFT fraud indicators ## Referências - [1](https://www.us-cert.cisa.gov/ncas/alerts/AA20-239A) CISA - FASTCash 2.0: North Korea's BeagleBoyz Robbing Banks (2020) - [2](https://attack.mitre.org/groups/G0082) MITRE ATT&CK - APT38 (G0082) - [3](https://www.treasury.gov/resource-center/sanctions/OFAC-Enforcement/Pages/20190913.aspx) U.S. Treasury - North Korea Cyber Sanctions (2019) - [4](https://www.bbc.com/news/business-35631555) BBC - Bangladesh Bank Hack (2016) - [5](https://www.mandiant.com/resources/apt38-un-usual-suspects) Mandiant - APT38: Un-usual Suspects (2018) **Atores relacionados:** [[g0032-lazarus-group|Lazarus Group]] · [[g0067-apt37|APT37]] · [[tradertraitor-campaign|TraderTraitor]] **Campanhas:** [[bank-of-bangladesh-heist-2016|Bank of Bangladesh Heist]] · [[fastcash-atm-scheme|FASTCash ATM Scheme]] **Malware e ferramentas:** [[s0593-eccentricbandwagon|ECCENTRICBANDWAGON]] · [[s0376-hoplight|HOPLIGHT]] · [[s0607-killdisk|KillDisk]] · [[mimikatz|Mimikatz]] **TTPs principais:** [[t1189-drive-by-compromise|T1189]] · [[t1056-001-keylogging|T1056.001]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1529-system-shutdownreboot|T1529]] **Setores alvejados:** [[financial|Financeiro]] · [[banking|Bancário]] · [[cryptocurrency|Criptomoedas]]