# GoldBackdoor > Tipo: **backdoor** · [NK News Research / Stairwell Analysis](https://stairwell.com/) ## Descrição [[goldbackdoor|GoldBackdoor]] é um backdoor identificado pela empresa de segurança Stairwell em 2022, atribuído ao [[g0067-apt37|APT37]] (Reaper, ScarCruft, Group 123), o grupo de ameaça persistente norte-coreano. O malware foi descoberto em campanhas de espionagem direcionadas a jornalistas e funcionários de think tanks que cobrem questões relacionadas à Coreia do Norte, utilizando como vetor de distribuição um arquivo de instalação de aplicativo de notícias legítimo sobre a Península Coreana que foi comprometido (supply chain attack de software legítimo). O GoldBackdoor foi implantado como substituto do GOLDMINE (outra ferramenta do APT37). O [[goldbackdoor|GoldBackdoor]] utiliza a API do Microsoft OneDrive como canal de comunicação C2, aproveitando a confiança de soluções de segurança em serviços cloud legítimos da Microsoft. O malware faz upload de dados coletados para uma conta OneDrive controlada pelo atacante e verifica a mesma conta regularmente para receber comandos. Esta técnica de "living on trusted infrastructure" é crescentemente adotada por múltiplos grupos APT para contornar controles baseados em listas negras de IP/domínio. O backdoor coleta arquivos específicos, executa comandos shell, e pode baixar e executar payloads adicionais. O [[g0067-apt37|APT37]] é especializado em espionagem contra alvos relacionados à política da Coreia do Norte - dissidentes, jornalistas, pesquisadores, membros de ONGs de direitos humanos, e organizações de ajuda humanitária. O grupo utiliza uma variedade de vetores de entrada incluindo exploração de vulnerabilidades em documentos HWP (Hangul Word Processor), Adobe Flash (histórico), e técnicas de engenharia social sofisticadas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] ## Grupos que Usam - [[g0067-apt37|APT37]] ## Detecção > [!tip] Indicadores de Detecção > - Monitorar comúnicações com APIs do OneDrive/SharePoint por processos não-corporativos autorizados > - Detectar criação de arquivos temporários em caminhos de usuário por processos de background incomuns > - Alertar sobre execução de instaladores de software obtidos de fontes não-verificadas > - Implementar controles de DLP para detectar upload de documentos sensíveis para serviços cloud pessoais > - Verificar chaves de registro Run para processos com nomes genéricos executando de caminhos de dados de usuário ## Relevância LATAM/Brasil O [[g0067-apt37|APT37]] tem foco principalmente em alvos relacionados à política coreana, mas a técnica do GoldBackdoor de utilizar serviços cloud legítimos (OneDrive) como canal C2 é amplamente relevante - outros grupos APT e operadores de ransomware adotam táticas similares. No Brasil, organizações governamentais, ONGs e jornalistas investigativos que cobrem questões geopolíticas sensíveis devem estar cientes desta classe de ameaça. A técnica de comprometer software legítimo de distribuição (supply chain attack) é especialmente relevante para a cadeia de suprimentos de software no Brasil, onde verificação de integridade de instaladores não é prática comum. ## Referências - [Stairwell - GoldBackdoor Analysis](https://stairwell.com/news/threat-research-report-goldbackdoor/)