# POORAIM > Tipo: **backdoor** · S0216 · [MITRE ATT&CK](https://attack.mitre.org/software/S0216) ## Descrição [[s0216-pooraim|POORAIM]] é um backdoor utilizado pelo [[g0067-apt37|APT37]] em campanhas desde pelo menos 2014. Uma das características mais notáveis do POORAIM é o uso do protocolo AOL Instant Messenger (AIM) como canal de comunicação bidirecional com o servidor C2 ([[t1102-002-bidirectional-communication|T1102.002]]) - uma técnica incomum que explora plataformas de mensagens legítimas para mascarar o tráfego malicioso como comunicação de rede social normal. O POORAIM realiza reconhecimento do sistema (descoberta de arquivos, diretórios e processos), além de capturas de tela periódicas ([[t1113-screen-capture|T1113]]) para monitorar a atividade do usuário infectado. A entrega inicial em algumas campanhas documentadas foi via comprometimento drive-by ([[t1189-drive-by-compromise|T1189]]), explorando vulnerabilidades de navegador em sites comprometidos visitados pelos alvos - padrão típico do [[g0067-apt37|APT37]] em operações contra dissidentes norte-coreanos e organizações de direitos humanos. O [[g0067-apt37|APT37]] (também conhecido como Reaper, ScarCruft, Group123 ou Ricochet Chollima) é um grupo APT alinhado à Coreia do Norte com foco em espionagem contra alvos sul-coreanos, jáponeses e organizações relacionadas à península coreana. O arsenal do grupo é diversificado e inclui ferramentas como [[s0240-rokrat|RokRAT]], [[s0657-bluelight|BlueLight]] e múltiplos malwares de mobile, complementados por backdoors Windows como o POORAIM. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1102-002-bidirectional-communication|T1102.002 - Bidirectional Commúnication]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] ## Grupos que Usam - [[g0067-apt37|APT37]] ## Detecção **Fontes de dados recomendadas:** - **Proxy/Firewall:** Conexões de saída para servidores AIM (OSCAR protocol na porta 5190) ou APIs de mensageria instantânea de processos não relacionados a clientes de IM - indicativo de C2 via plataforma de mensagens - **Sysmon Event ID 1 (ProcessCreaté):** Criação de processo suspeito sem jánela visível (`-windowstyle hidden`) realizando capturas de tela - **EDR:** Acesso a DirectX/GDI para captura de tela por processo em background sem interface gráfica **Regras de detecção:** - Sigma: Conexão de processo não-navegador a endereços IP/domínios de plataformas de mensageria instantânea - YARA: Strings de autenticação e protocolo AIM/OSCAR em amostras do POORAIM identificadas por pesquisadores de ameaças coreanos ## Relevância LATAM/Brasil O [[g0067-apt37|APT37]] tem foco geográfico restrito à península coreana e sua diáspora, tornando a relevância direta para o Brasil limitada. No entanto, o uso do POORAIM como caso de estudo é valioso para analistas brasileiros por ilustrar a técnica de C2 via plataformas de comunicação legítimas ([[t1102-002-bidirectional-communication|T1102.002]]) - abordagem amplamente adotada por grupos que operam na América Latina usando Telegram, Discord e WhatsApp como canais C2 em versões modernas de RATs como [[s1087-asyncrat|AsyncRAT]] e [[s1038-dcrat|DCRat]]. ## Referências - [MITRE ATT&CK - S0216](https://attack.mitre.org/software/S0216) - [FireEye - APT37 (Reaper): The Overlooked North Korean Actor](https://www.mandiant.com/resources/reports/apt37-reaper-overlooked-north-korean-actor) - 2018