# Kerrdown > Tipo: **malware** · S0585 · [MITRE ATT&CK](https://attack.mitre.org/software/S0585) ## Descrição [[s0585-kerrdown|Kerrdown]] é um downloader personalizado utilizado pelo grupo vietnamita [[g0050-apt32|APT32]] (também conhecido como OceanLotus) desde pelo menos 2018 para instalar spyware a partir de servidores de comando e controle controlados pelos atacantes. O [[s0585-kerrdown|Kerrdown]] atua como um implante de primeiro estágio, responsável por baixar e executar payloads adicionais - incluindo os backdoors Cobalt Strike e Denis - nos sistemas comprometidos, funcionando como o elo entre a infecção inicial e o estabelecimento de acesso persistente. A distribuição do [[s0585-kerrdown|Kerrdown]] ocorre principalmente via campanhas de spearphishing com links maliciosos ([[t1566-002-spearphishing-link|T1566.002]]) ou anexos contendo macros VBScript ([[t1059-005-visual-basic|T1059.005]]) e arquivos de isca. O malware emprega múltiplas camadas de ofuscação e criptografia ([[t1027-013-encryptedencoded-file|T1027.013]]) para ocultar seus componentes, além de compressão de dados ([[t1027-015-compression|T1027.015]]). A técnica de DLL sideloading ([[t1574-001-dll|T1574.001]]) é utilizada para carregar o payload em contexto de processos legítimos, enquanto a decodificação em memória ([[t1140-deobfuscatedecode-files-or-information|T1140]]) evita gravação de artefatos no disco. O [[g0050-apt32|APT32]] é um dos grupos de espionagem cibernética mais ativos do Sudeste Asiático, com histórico documentado de campanhas contra organizações governamentais, empresas privadas e dissidentes políticos no Vietnã, Cambojá, Laos e países ocidentais. O [[s0585-kerrdown|Kerrdown]] foi identificado em campanhas direcionadas a setores de manufatura e tecnologia, e sua arquitetura modular permite ao [[g0050-apt32|APT32]] adaptar os payloads entregues conforme o perfil e valor da vítima. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-015-compression|T1027.015 - Compression]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] ## Grupos que Usam - [[g0050-apt32|APT32]] ## Detecção A detecção do [[s0585-kerrdown|Kerrdown]] concentra-se na análise de vetores de entrega e comportamentos de download suspeitos. Emails de spearphishing com links para páginas web que servem documentos com macros VBScript ([[t1059-005-visual-basic|T1059.005]]) ou com anexos diretamente maliciosos ([[t1566-001-spearphishing-attachment|T1566.001]]) são os principais vetores. Soluções de gateway de email devem inspecionar macros em documentos Office. Comportamentos pós-execução incluem: DLL sideloading a partir de diretórios temporários ([[t1574-001-dll|T1574.001]]); downloads de HTTP para diretórios de usuário ([[t1105-ingress-tool-transfer|T1105]]); e extração de arquivos comprimidos/criptografados ([[t1027-015-compression|T1027.015]]) em memória. Análise de sandbox de documentos Office recebidos por email é recomendada para organizações com alto risco de spearphishing. Regras de detecção no endpoint devem monitorar: processos filhos inesperados de aplicações Office (Word, Excel) especialmente wscript.exe ou cscript.exe; decodificação de dados em memória ([[t1140-deobfuscatedecode-files-or-information|T1140]]) seguida de execução; e conexões de rede iniciadas por processos de script Windows. YARA rules para identificar o loader do [[s0585-kerrdown|Kerrdown]] com base em strings características e padrões de ofuscação estão disponíveis na comunidade de threat intelligence. ## Relevância LATAM/Brasil O [[g0050-apt32|APT32]] (OceanLotus) é um grupo de espionagem vietnamita com foco primário em países do Sudeste Asiático. No entanto, campanhas do [[g0050-apt32|APT32]] contra empresas multinacionais com operações no Vietnã - incluindo empresas brasileiras dos setores automotivo, manufatura e alimentos - foram documentadas. Organizações brasileiras com presença comercial no Sudeste Asiático, especialmente aquelas com parceiros vietnamitas, devem incluir o [[s0585-kerrdown|Kerrdown]] e o [[g0050-apt32|APT32]] em seus modelos de ameaça. A espionagem corporativa voltada para extração de propriedade intelectual e segredos comerciais é a motivação mais provável para comprometimento de empresas latino-americanas. ## Referências - [MITRE ATT&CK - S0585](https://attack.mitre.org/software/S0585)