s0657-bluelight - RunkIntel

# BLUELIGHT > Tipo: **malware** · S0657 · [MITRE ATT&CK](https://attack.mitre.org/software/S0657) ## Descrição [[s0657-bluelight|BLUELIGHT]] é um Trojan de acesso remoto (RAT) utilizado pelo [[g0067-apt37|APT37]] (também conhecido como Reaper, Group123, ScarCruft) que foi observado pela primeira vez no início de 2021. O malware é tipicamente implantado como segundo estágio após comprometimento inicial via exploits de navegador ou aplicativos, visando principalmente defetores norte-coreanos, jornalistas e organizações de direitos humanos. O [[s0657-bluelight|BLUELIGHT]] comúnica-se com servidores C2 via serviços web legítimos (T1102.002 - comunicação bidirecional), o que dificulta a detecção por soluções de segurança de rede que confiam em domínios conhecidos. O malware realiza verificações de sandbox (T1497.001) antes de executar e criptografa arquivos coletados usando método customizado (T1560.003) antes de exfiltração via canal C2 (T1041). Capacidades incluem roubo de cookies de sessão web (T1539), captura de credenciais de navegadores (T1555.003) e coleta de informações detalhadas do sistema. A atribuição ao [[g0067-apt37|APT37]] é consistente com o padrão de operações do grupo norte-coreano, que frequentemente alvejá dissidentes e jornalistas através de exploits de dia zero em navegadores e aplicativos de mensagens. O [[s0657-bluelight|BLUELIGHT]] foi identificado pela Volexity em 2021 em ataques que exploravam vulnerabilidades no Internet Explorer, sendo implantado junto com outro RAT do grupo chamado ROKRAT como ferramenta de acesso persistente de longa duração. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1560-003-archive-via-custom-method|T1560.003 - Archive via Custom Method]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1102-002-bidirectional-communication|T1102.002 - Bidirectional Commúnication]] - [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - [[t1497-001-system-checks|T1497.001 - System Checks]] ## Grupos que Usam - [[g0067-apt37|APT37]] ## Detecção - **Sysmon Event ID 3** (Network Connection): monitorar conexões de processos para APIs de serviços web legítimos (Google Drive, OneDrive, Dropbox) como potencial canal C2 bidirecional (T1102.002) - **Sysmon Event ID 11** (File Creaté): detectar arquivos criados com extensões incomuns ou em diretórios temporários logo após navegação web como indicativo de download de segundo estágio - **EDR**: alertar em acesso ao banco de dados de cookies e credenciais de navegadores (T1539, T1555.003) por processos que não sejam o próprio navegador; monitorar criação de arquivos comprimidos em diretórios temporários (T1560.003) - **Referência Sigma**: `file_event_win_browser_credential_access.yml` (Sigma HQ) para detecção de acesso a arquivos de credenciais de navegadores ## Relevância LATAM/Brasil O [[g0067-apt37|APT37]] opera principalmente contra alvos relacionados à Coreia do Norte, mas suas técnicas de roubo de cookies (T1539) e credenciais de navegadores são amplamente aplicáveis ao contexto brasileiro. Jornalistas, ONGs de direitos humanos e pesquisadores que trabalham com temas sensíveis no Brasil devem estar cientes dos vetores de ataque do [[s0657-bluelight|BLUELIGHT]]. As capacidades do malware de exfiltrar sessões autenticadas de serviços web são particularmente relevantes dado o alto uso de serviços de e-commerce e bancários digitais no Brasil. ## Referências - [MITRE ATT&CK - S0657](https://attack.mitre.org/software/S0657)