# KEYMARBLE > Tipo: **malware** · S0271 · [MITRE ATT&CK](https://attack.mitre.org/software/S0271) ## Descrição [[s0271-keymarble|KEYMARBLE]] é um backdoor Trojan supostamente utilizado pelo governo norte-coreano, atribuído ao [[g0032-lazarus-group|Lazarus Group]] e identificado pelo US-CERT em 2018 como parte do alerta técnico TA18-149A. O malware fornece capacidades de acesso remoto e coleta de inteligência, operando de forma silenciosa em sistemas Windows comprometidos para exfiltrar dados sensíveis e manter controle persistente sobre as vítimas, em linha com os objetivos de espionagem e potencialmente de sabotagem financeira característicos das operações norte-coreanas. As funcionalidades do [[s0271-keymarble|KEYMARBLE]] abrangem descoberta abrangente do sistema: configuração de rede ([[t1016-system-network-configuration-discovery|T1016]]), lista de processos ([[t1057-process-discovery|T1057]]), inventário de arquivos e diretórios ([[t1083-file-and-directory-discovery|T1083]]), informações do sistema operacional ([[t1082-system-information-discovery|T1082]]) e captura de tela ([[t1113-screen-capture|T1113]]). A comunicação C2 utiliza criptografia simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]) e executa comandos via Windows Command Shell ([[t1059-003-windows-command-shell|T1059.003]]). A descoberta de armazenamento local ([[t1680-local-storage-discovery|T1680]]) indica interesse em identificar e exfiltrar dados armazenados em dispositivos removíveis. O [[g0032-lazarus-group|Lazarus Group]] é o principal grupo de ameaças cibernéticas da Coreia do Norte, responsável por ataques a bancos, exchanges de criptomoedas, infraestrutura crítica e governos globalmente. O [[s0271-keymarble|KEYMARBLE]] foi identificado em infraestrutura de C2 compartilhada com outras ferramentas do [[g0032-lazarus-group|Lazarus Group]], sugerindo integração em campanhas mais amplas de espionagem e potencialmente de preparação para operações financeiras fraudulentas, como as que resultaram em roubos de centenas de milhões de dólares de instituições financeiras ao redor do mundo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] ## Grupos que Usam - [[g0032-lazarus-group|Lazarus Group]] ## Detecção A detecção do [[s0271-keymarble|KEYMARBLE]] baseia-se em identificar comúnicações C2 criptografadas e comportamentos de reconhecimento característicos. Indicadores técnicos incluem: comúnicações de rede com criptografia simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]) para IPs externos sem certificado TLS válido; execução de Windows Command Shell ([[t1059-003-windows-command-shell|T1059.003]]) iniciada por processos de serviço; captura de tela ([[t1113-screen-capture|T1113]]) por processos não-autorizados (verificar chamadas a BitBlt, GDI); e modificação do registro ([[t1112-modify-registry|T1112]]) em chaves de configuração do sistema. O US-CERT públicou indicadores de comprometimento (IOCs) específicos para o [[s0271-keymarble|KEYMARBLE]] no alerta TA18-149A, incluindo hashes SHA256 e domínios C2. O monitoramento de acesso a armazenamentos locais e dispositivos removíveis ([[t1680-local-storage-discovery|T1680]]) por processos desconhecidos, combinado com deleção de arquivos após coleta ([[t1070-004-file-deletion|T1070.004]]) e transferência de ferramentas pelo canal C2 ([[t1105-ingress-tool-transfer|T1105]]), constitui um conjunto de comportamentos que devem acionar alertas de alto nível em plataformas SIEM/EDR. ## Relevância LATAM/Brasil O [[g0032-lazarus-group|Lazarus Group]] é um dos grupos de ameaças mais prolíficos do mundo, com campanhas documentadas em todos os continentes. No Brasil e América Latina, o [[g0032-lazarus-group|Lazarus Group]] tem demonstrado interesse crescente no setor financeiro e de criptomoedas: exchanges de criptomoedas brasileiras, bancos e plataformas de pagamento digital são alvos potenciais de alto valor, dado o histórico do grupo de roubar centenas de milhões de dólares de instituições financeiras globalmente. O [[s0271-keymarble|KEYMARBLE]], como ferramenta de reconhecimento e espionagem do [[g0032-lazarus-group|Lazarus Group]], pode ser utilizado em fases preparatórias de campanhas financeiras contra o setor financeiro brasileiro, tornando-o relevante para organizações do setor financeiro, fintechs e exchanges de criptoativos no Brasil. ## Referências - [MITRE ATT&CK - S0271](https://attack.mitre.org/software/S0271)