# Jerboa > Tipo: **backdoor** · S1017 · [MITRE ATT&CK](https://attack.mitre.org/software/S1017) ## Descrição [[s1017-jerboa|Jerboa]] é um backdoor modular atribuído ao [[g0032-lazarus-group|Lazarus Group]] da Coreia do Norte, identificado em campanhas de espionagem e roubo financeiro a partir de 2021. O [[s1017-jerboa|Jerboa]] é projetado para operar como um implante de acesso persistente em sistemas comprometidos, fornecendo ao [[g0032-lazarus-group|Lazarus Group]] capacidades de controle remoto, exfiltração de dados e implantação de payloads adicionais. Sua arquitetura modular permite que os operadores carreguem funcionalidades específicas conforme o objetivo da operação. As funcionalidades documentadas do [[s1017-jerboa|Jerboa]] incluem descoberta de informações do sistema ([[t1082-system-information-discovery|T1082]]) e de arquivos/diretórios ([[t1083-file-and-directory-discovery|T1083]]), execução de comandos via Windows Command Shell ([[t1059-003-windows-command-shell|T1059.003]]), transferência de ferramentas adicionais ([[t1105-ingress-tool-transfer|T1105]]) e exfiltração de dados pelo canal C2 ([[t1041-exfiltration-over-c2-channel|T1041]]). As comúnicações C2 utilizam protocolos web ([[t1071-001-web-protocols|T1071.001]]) com ofuscação ([[t1027-obfuscated-files-or-information|T1027]]) para evadir soluções de inspeção de tráfego. O [[s1017-jerboa|Jerboa]] compartilha infraestrutura e padrões de código com outras ferramentas do ecossistema do [[g0032-lazarus-group|Lazarus Group]]. O [[g0032-lazarus-group|Lazarus Group]] frequentemente utiliza múltiplos implantes em diferentes fases de suas operações - o [[s1017-jerboa|Jerboa]] representa um implante de segunda fase, instalado após o comprometimento inicial via outros vetores. A combinação de espionagem e objetivos financeiros do [[g0032-lazarus-group|Lazarus Group]] significa que o [[s1017-jerboa|Jerboa]] pode ser utilizado tanto para coleta de inteligência quanto para preparação de operações de roubo de fundos, especialmente em ambientes de instituições financeiras e exchanges de criptomoedas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] ## Grupos que Usam - [[g0032-lazarus-group|Lazarus Group]] ## Detecção Detecção do [[s1017-jerboa|Jerboa]] requer monitoramento de comúnicações HTTP/HTTPS anômalas e execução de comandos incomuns. Indicadores-chave: processos não-administrativos iniciando cmd.exe para descoberta de sistema; comúnicações de rede periódicas (beacon) para domínios de baixa reputação com intervalos regulares; e implantação de DLLs ou executáveis em diretórios temporários ou de sistema. IoCs públicados pelo Threat Intelligence da CrowdStrike e outros fornecedores incluem hashes e domínios C2 associados ao [[s1017-jerboa|Jerboa]] e ao [[g0032-lazarus-group|Lazarus Group]]. ## Relevância LATAM/Brasil O [[g0032-lazarus-group|Lazarus Group]] representa uma das ameaças financeiras mais sérias para o Brasil. O grupo tem histórico de ataques ao sistema SWIFT de bancos em múltiplos países, roubos de exchanges de criptomoedas globalmente e campanhas de espionagem industrial. O sistema financeiro brasileiro - com um dos maiores mercados de PIX, Open Finance e criptoativos do mundo - é um alvo de alto valor. O [[s1017-jerboa|Jerboa]] como implante de acesso persistente poderia ser utilizado em fases de reconhecimento e persistência antes de ataques financeiros de alto impacto contra bancos e fintechs brasileiras. ## Referências - [MITRE ATT&CK - S1017](https://attack.mitre.org/software/S1017)