lazarus-group - RunkIntel

# Lazarus Group > [!danger] Ameaça Patrocinada por Estado — Coreia do Norte > **Lazarus Group** (MITRE G0032) é o principal ator de ameaça ligado à Coreia do Norte, operando desde 2009 com alvos financeiros, governamentais e de defesa no mundo inteiro. Responsável por ataques de bilhões de dólares em criptoativos e infraestrutura crítica. ## Visão Geral O Lazarus Group é um dos grupos de ameaça persistente avançada (APT) mais prolíficos e perigosos do mundo, atribuído pela comunidade de inteligência à Coreia do Norte e supostamente supervisionado pelo Reconnaissance General Bureau (RGB). Ativo desde pelo menos 2009, o grupo combina motivações de espionagem, sabotagem e geração de receita para o regime norte-coreano — um perfil único entre APTs estatais. O grupo ficou internacionalmente conhecido pelo ataque ao Sony Pictures Entertainment em 2014, seguido pelo wiper NotPetya e pelo ataque ao Bangladesh Bank em 2016, no qual desviou quase US$81 milhões via SWIFT. A partir de 2018, o Lazarus redirecionou foco significativo para exchanges de criptomoedas e projetos DeFi, acumulando mais de US$3 bilhões em ativos digitais roubados entre 2017 e 2023 segundo estimativas do FBI. Para o Brasil e a América Latina, o Lazarus representa risco elevado ao setor financeiro e a empresas de criptoativos. A operação **Operation DreamJob** (desde 2019) tem como vetor principal a engenharia social via LinkedIn, com falsas ofertas de emprego direcionadas a engenheiros de software e profissionais de finanças — perfil presente em fintech brasileiras de alto crescimento. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nLinkedIn / OSINT] --> B[Acesso Inicial\nSpear Phishing\nFalsa Oferta de Emprego] B --> C[Execução\nBeaverTail / InletHook\nVia npm malicioso] C --> D[Persistência\nBackdoor customizado] D --> E[Exfiltração\nCredenciais / Chaves Cripto] E --> F[Impacto\nRoubo de Criptoativos\nWiper / Ransomware] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Spear Phishing | [[t1566-phishing\|T1566]] | Falsas ofertas de emprego via LinkedIn e email | | Execução via Script | [[t1059-command-and-scripting-interpreter\|T1059]] | Python, JavaScript, PowerShell | | Contas Válidas | [[t1078-valid-accounts\|T1078]] | Uso de credenciais roubadas | | Criptografia de Dados | [[t1486-data-encrypted-for-impact\|T1486]] | Ransomware e wipers em campanhas de sabotagem | | Transferência de Ferramentas | [[t1105-ingress-tool-transfer\|T1105]] | Deploy de malware via pacotes npm maliciosos | ## Subgrupos Conhecidos O Lazarus Group opera por meio de subgrupos especializados identificados pela comunidade de inteligência: - **APT38 / BlueNoroff** — Foco exclusivo em crimes financeiros, SWIFT, bancos e criptoativos - **Andariel** — Operações de espionagem e ataques a contratados de defesa sul-coreanos - **Kimsuky** — Inteligência e espionagem política, think tanks, jornalistas ## Detecção e Defesa Para organizações financeiras e de criptoativos no Brasil: - Monitorar pacotes npm/PyPI com nomes suspeitos ou typosquatting antes de instalação - Revisar solicitações de conexão no LinkedIn de perfis com histórico limitado - Implementar MFA em todas as contas com acesso a sistemas financeiros e wallets - Aplicar [[m1049-antivirus-antimalware|M1049]] e detecção comportamental de processos anômalos - Consultar [[ds0009-process|DS0009]] para monitoring de execução de processos suspeitos ## Referências - MITRE ATT&CK: [Lazarus Group G0032](https://attack.mitre.org/groups/G0032/) - FBI: North Korea Cyber Actors Stealing Cryptocurrency (2023) - Mandiant: UNC4736 — Lazarus AppleJeus Campaign (2023) - Microsoft MSTIC: ZINC weaponizing open-source software (2022) - Kaspersky: Operation DreamJob targeting defense contractors (2021)