# GhostSecret > Tipo: **backdoor** · S0342 · [MITRE ATT&CK](https://attack.mitre.org/software/S0342) ## Descrição [[s0342-ghostsecret|GhostSecret]] é um backdoor desenvolvido e utilizado pelo [[g0032-lazarus-group|Lazarus Group]] (APT38, Hidden Cobra), o grupo de ameaça persistente avançada vinculado à Coreia do Norte, responsável por alguns dos maiores crimes cibernéticos financeiros da história. O GhostSecret foi identificado pela McAfee em 2018 em uma campanha global chamada "Operation GhostSecret" que comprometeu infraestrutura crítica, sistemas financeiros e hospitais em 17 países simultaneamente. O malware incorpora código de implantes anteriores do Lazarus Group, incluindo elementos do DESTOVER e outros backdoors da família. O [[s0342-ghostsecret|GhostSecret]] fornece capacidades completas de acesso remoto: execução de comandos, transferência de arquivos, descoberta de processos e sistemas, e estabelece comunicação C2 via HTTP. O malware se distingue pela sua capacidade de coletar informações do sistema comprometido de forma extensiva logo após instalação, enviando um pacote de reconhecimento inicial que inclui nome do host, usuário, versão do OS, lista de processos ativos e configurações de rede. A persistência é mantida via chaves de registro Run, e o malware utiliza nomes de processo e serviço que imitam componentes legítimos do Windows para se misturar ao ambiente. O [[g0032-lazarus-group|Lazarus Group]] é responsável por uma variedade impressionante de operações: desde ataques ao sistema SWIFT de bancos em Bangladesh, Bangladesh e Taiwan (roubando centenas de milhões de dólares), passando pelo ataque ao Sony Pictures, distribuição do ransomware WannaCry, e roubos massivos a exchanges de criptomoedas. O GhostSecret representa a camada de backdoor de persistência que permite ao grupo manter acesso enquanto conduz operações financeiras complexas. **Plataformas:** Windows, Linux ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Grupos que Usam - [[g0032-lazarus-group|Lazarus Group]] ## Detecção > [!tip] Indicadores de Detecção > - Correlacionar IoCs do Lazarus Group (hashes, IPs, domínios) com telemetria de rede e endpoint > - Monitorar processos com nomes similares a componentes Windows mas localizados em caminhos incomuns > - Detectar tráfego HTTP para IPs/domínios não-categorizados a partir de servidores financeiros críticos > - Alertar sobre coleta massiva de informações do sistema logo após instalação de novo software > - Implementar regras YARA baseadas em código compartilhado com DESTOVER e outros implantes Lazarus ## Relevância LATAM/Brasil O [[g0032-lazarus-group|Lazarus Group]] tem histórico confirmado de ataques a bancos latino-americanos usando o sistema SWIFT, incluindo bancos no México e Chile. O Brasil, com seu sistema financeiro desenvolvido e integração ao SWIFT, é um alvo de alto valor para operações financeiras do grupo norte-coreano. A FEBRABAN e o Banco Central do Brasil emitem alertas regulares sobre ameaças ao sistema financeiro, e o Lazarus Group é consistentemente mencionado como um dos principais atores de ameaça. Bancos brasileiros que operam transferências internacionais via SWIFT devem tratar o GhostSecret e o arsenal do Lazarus como ameaças de alta prioridade em seus modelos de risco. ## Referências - [MITRE ATT&CK - S0342](https://attack.mitre.org/software/S0342) - [McAfee - Operation GhostSecret](https://www.mcafee.com/blogs/other-blogs/mcafee-labs/analyzing-operation-ghostsecret-infection-worldwide-infrastructure/)