# Volgmer > Tipo: **malware** · S0180 · [MITRE ATT&CK](https://attack.mitre.org/software/S0180) ## Descrição [[s0180-volgmer|Volgmer]] é um backdoor Trojan projetado para fornecer acesso encoberto e persistente a sistemas comprometidos, utilizado pelo [[g0032-lazarus-group|Lazarus Group]] desde pelo menos 2013 para atacar os setores governamental, financeiro, automotivo e de mídia. O mecanismo de entrega primário é suspeito ser spearphishing com documentos ou links maliciosos, característico das operações do Lazarus Group contra alvos estratégicos. O Volgmer implementa uma série de técnicas de furtividade: mascaramento de seus serviços com nomes similares a componentes legítimos do Windows (masquerade task or service), armazenamento fileless para evitar detecção por análise de disco, e uso de criptografia tanto simétrica quanto assimétrica para proteger suas comúnicações C2. O malware realiza reconhecimento extenso do sistema comprometido - descoberta de serviços, processos, configuração de rede, arquivos e chaves do registro - antes de transmitir informações ao operador. O US-CERT (agora CISA) públicou alertas sobre o Volgmer em 2017, identificando-o como parte do arsenal Hidden Cobra do [[g0032-lazarus-group|Lazarus Group]]. A longevidade desta ferramenta (em uso desde 2013) demonstra sua eficácia e o investimento contínuo do grupo em manter e atualizar suas capacidades ofensivas para operações de espionagem e perturbação. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1106-native-api|T1106 - Native API]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1007-system-service-discovery|T1007 - System Service Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1027-011-fileless-storage|T1027.011 - Fileless Storage]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] ## Grupos que Usam - [[g0032-lazarus-group|Lazarus Group]] ## Detecção A detecção do Volgmer deve incluir verificação de serviços Windows com nomes que imitam componentes legítimos do sistema, análise de memória para código injetado de forma fileless, e monitoramento de chamadas à API do Windows por processos suspeitos (uso extenso de Native API). Comparar os serviços instalados com uma baseline aprovada e investigar serviços recentemente criados sem correspondência a instalações de software documentadas são práticas eficazes de hunting. ## Relevância LATAM/Brasil O [[g0032-lazarus-group|Lazarus Group]] tem histórico de operações financeiras e de criptomoedas globalmente, com incidentes registrados em instituições financeiras na América Latina. O Volgmer, por sua longevidade e associação com ataques a setores governamental e financeiro desde 2013, representa uma ameaça de referência para organizações brasileiras nesses setores. Conhecer as TTPs do Lazarus Group é essencial para equipes de threat intelligence e SOC que protegem instituições financeiras e governamentais no Brasil. ## Referências - [MITRE ATT&CK - S0180](https://attack.mitre.org/software/S0180)