# KRAMGON > Tipo: **backdoor** · [MITRE ATT&CK](https://attack.mitre.org/software/S0276) ## Descrição [[s0276-kramgon|KRAMGON]] é um backdoor atribuído ao [[g0032-lazarus-group|Lazarus Group]] da Coreia do Norte, identificado em campanhas de espionagem e atividades financeiras maliciosas a partir de 2018. O [[s0276-kramgon|KRAMGON]] representa mais uma ferramenta no extenso arsenal do [[g0032-lazarus-group|Lazarus Group]], que combina objetivos de espionagem patrocinada pelo Estado com operações de roubo financeiro para geração de receita para o regime norte-coreano. O malware fornece acesso persistente a sistemas comprometidos, permitindo controle remoto de longo prazo. As funcionalidades do [[s0276-kramgon|KRAMGON]] incluem execução de comandos via Windows Command Shell ([[t1059-003-windows-command-shell|T1059.003]]), descoberta de sistema ([[t1082-system-information-discovery|T1082]]) e arquivos ([[t1083-file-and-directory-discovery|T1083]]), transferência de ferramentas adicionais ([[t1105-ingress-tool-transfer|T1105]]), comunicação C2 via HTTP ([[t1071-001-web-protocols|T1071.001]]) com dados ofuscados ([[t1027-obfuscated-files-or-information|T1027]]) e exfiltração pelo canal C2 ([[t1041-exfiltration-over-c2-channel|T1041]]). Persistência é mantida via entradas de registro de autorun ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]). O [[g0032-lazarus-group|Lazarus Group]] mantém um dos maiores arsenais de malware customizado de qualquer grupo APT, com novas ferramentas sendo desenvolvidas e antigas sendo reativadas ou atualizadas regularmente. O [[s0276-kramgon|KRAMGON]] faz parte dessa estratégia de diversificação de ferramentas para dificultar detecção e atribuição, com cada ferramenta sendo potencialmente utilizada em campanhas específicas contra alvos selecionados de acordo com os objetivos operacionais do momento. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Grupos que Usam - [[g0032-lazarus-group|Lazarus Group]] ## Detecção Detecção do [[s0276-kramgon|KRAMGON]] segue padrões gerais de detecção de backdoors do [[g0032-lazarus-group|Lazarus Group]]. IOCs públicados pelo CISA, FBI e parceiros internacionais sobre atividades do [[g0032-lazarus-group|Lazarus Group]] incluem hashes, domínios C2 e assinaturas de rede que devem ser integrados às plataformas de TIP e SIEM. Monitorar comportamentos de beacon HTTP regulares de processos desconhecidos e execução de cmd.exe por serviços não-interativos são os principais indicadores técnicos. ## Relevância LATAM/Brasil O [[g0032-lazarus-group|Lazarus Group]] representa uma ameaça financeira crescente para o Brasil dado o histórico do grupo de comprometer instituições financeiras e exchanges de criptomoedas globalmente. O [[s0276-kramgon|KRAMGON]], como backdoor de acesso persistente, poderia ser utilizado em campanhas de reconhecimento de longo prazo preparatórias para ataques financeiros de alto valor contra bancos, fintechs e exchanges de criptoativos brasileiros. A adoção crescente de Pix, Open Finance e criptoativos no Brasil cria uma superfície de ataque crescente para atores como o [[g0032-lazarus-group|Lazarus Group]]. ## Referências - [MITRE ATT&CK](https://attack.mitre.org)