s0439-okrum - RunkIntel

# Okrum > Tipo: **malware** · S0439 · [MITRE ATT&CK](https://attack.mitre.org/software/S0439) ## Descrição [[s0439-okrum|Okrum]] é um backdoor para Windows observado em uso desde dezembro de 2016, com fortes vínculos ao grupo [[g0004-apt15|Ke3chang]] (APT15), grupo de espionagem chinês com histórico de ataques a entidades diplomáticas e governamentais europeias. O Okrum se distingue pelo uso de steganografia para ocultar seu payload dentro de imagens PNG, tornando a detecção baseada em inspeção de tráfego particularmente difícil. O malware implementa múltiplas verificações anti-sandbox: verifica a atividade do usuário, o tempo de execução do sistema e realiza checks de ambiente para determinar se está sendo analisado. Persiste via modificação de atalhos e serviços Windows com nomes mascarados, e utiliza credenciais de domínio cached para movimento lateral. A comunicação C2 emprega ofuscação de dados para dificultar detecção por IDS/IPS. O [[g0004-apt15|Ke3chang]] utilizou o Okrum em campanhas contra missões diplomáticas na Europa e na América Latina, incluindo embaixadas e consulados de múltiplos países. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1003-005-cached-domain-credentials|T1003.005 - Cached Domain Credentials]] - [[t1547-009-shortcut-modification|T1547.009 - Shortcut Modification]] - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1497-002-user-activity-based-checks|T1497.002 - User Activity Based Checks]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1001-data-obfuscation|T1001 - Data Obfuscation]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1027-003-steganography|T1027.003 - Steganography]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] ## Grupos que Usam - [[g0004-apt15|Ke3chang]] ## Detecção - Analisar imagens PNG em e-mails e downloads em busca de dados ocultos via steganografia ([[t1027-003-steganography|T1027.003]]) - Monitorar modificação de atalhos do Windows por processos suspeitos ([[t1547-009-shortcut-modification|T1547.009]]) - Detectar extração de credenciais de domain cache ([[t1003-005-cached-domain-credentials|T1003.005]]) - Alertar para novos serviços criados com nomes que imitam componentes do sistema ([[t1543-003-windows-service|T1543.003]]) ## Relevância LATAM/Brasil O [[g0004-apt15|Ke3chang]] tem histórico documentado de ataques a embaixadas e missões diplomáticas na América Latina, tornando o Okrum uma ameaça direta a entidades diplomáticas no Brasil. O Itamaraty e embaixadas estrangeiras sediadas em Brasília devem considerar o perfil de TTPs do Ke3chang em seus programas de threat intelligence e hardening de sistemas. ## Referências - [MITRE ATT&CK - S0439](https://attack.mitre.org/software/S0439)