badcall - RunkIntel

# BADCALL > Tipo: **malware** · S0245 · [MITRE ATT&CK](https://attack.mitre.org/software/S0245) ## Descrição [[badcall|BADCALL]] é uma variante de malware Trojan backdoor utilizada pelo [[g0032-lazarus-group|Lazarus Group]], grupo APT norte-coreano vinculado ao RGB (Reconnaissance General Bureau). O BADCALL funciona como implante de acesso remoto persistente que estabelece canal C2 em redes já comprometidas, possibilitando controle contínuo pelo operador. Foi identificado pelo US-CERT e DHS em relatórios de alerta sobre atividade norte-coreana contra infraestrutura crítica. O BADCALL opera impersonando protocolos legítimos ([[t1001-003-protocol-or-service-impersonation|T1001.003]]) para mascarar o tráfego C2, e usa [[t1573-001-symmetric-cryptography|criptografia simétrica]] para proteger comúnicações. Para persistência e evasão, modifica o registro ([[t1112-modify-registry|T1112]]) e configura o sistema como proxy ([[t1090-proxy|T1090]]). Desabilita o firewall do sistema ([[t1562-004-disable-or-modify-system-firewall|T1562.004]]) para garantir conectividade C2 sem bloqueios. Realiza descoberta de rede ([[t1016-system-network-configuration-discovery|T1016]]) e de sistema ([[t1082-system-information-discovery|T1082]]) para mapear o ambiente comprometido, e pode operar em portas não padrão ([[t1571-non-standard-port|T1571]]) para evasão de monitoramento de rede. O [[g0032-lazarus-group|Lazarus Group]] utilizou o BADCALL em campanhas contra entidades financeiras e de defesa, consistente com os objetivos de espionagem e monetização do regime norte-coreano. O malware foi incluído nos alertas US-CERT sobre operações de cibercrime norte-coreanas denominadas "Hidden Cobra", juntamente com outras ferramentas como [[s0239-bankshot|Bankshot]] e HARDRAIN. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1562-004-disable-or-modify-system-firewall|T1562.004 - Disable or Modify System Firewall]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1001-003-protocol-or-service-impersonation|T1001.003 - Protocol or Service Impersonation]] - [[t1090-proxy|T1090 - Proxy]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1571-non-standard-port|T1571 - Non-Standard Port]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] ## Grupos que Usam - [[g0032-lazarus-group|Lazarus Group]] ## Detecção - **Análise de tráfego de rede**: monitorar conexões em portas não padrão (acima de 1024) de processos do sistema que normalmente não fazem conexões de saída; o BADCALL frequentemente usa portas altas incomuns. - **Sysmon Event ID 13** (Registry Value Set): alertar sobre modificações em configurações de firewall do Windows Registry (`HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy`). - **EDR telemetria**: detectar processos que desativam o serviço de firewall (`netsh advfirewall set allprofiles state off`) ou modificam regras de firewall via linha de comando. - **Referência Sigma**: `proc_creation_win_firewall_disable.yml` - desativação do firewall Windows; e `net_connection_win_non_standard_port.yml` para conexões em portas não padrão. ## Relevância LATAM/Brasil O [[g0032-lazarus-group|Lazarus Group]] é considerado uma das maiores ameaças cibernéticas financeiras globais, com histórico de ataques contra bancos via SWIFT em múltiplos países, incluindo o famoso ataque ao Bangladesh Bank em 2016. O Brasil possui um sistema financeiro robusto e conectado ao SWIFT, tornando-o potencial alvo de operações similares às que o Lazarus conduziu na Ásia e na Europa. O BADCALL, como backdoor do Lazarus, representa uma ameaça direta a instituições financeiras brasileiras de grande porte e ao sistema de pagamentos interbancários. ## Referências - [MITRE ATT&CK - S0245](https://attack.mitre.org/software/S0245)