s0219-winerack - RunkIntel

# WINERACK > Tipo: **malware** · S0219 · [MITRE ATT&CK](https://attack.mitre.org/software/S0219) ## Descrição [[s0219-winerack|WINERACK]] é um backdoor utilizado pelo [[g0067-apt37|APT37]] (Reaper/ScarCruft), grupo APT norte-coreano com foco em operações de espionagem contra alvos sul-coreanos, jáponeses e de outros países com interesse estratégico para a Coreia do Norte. O malware é parte do arsenal diversificado do APT37, que inclui múltiplas ferramentas customizadas para operações de coleta de inteligência. O WINERACK possui extenso foco em reconhecimento do sistema comprometido: descoberta de processos em execução, jánelas abertas, serviços instalados, arquivos e diretórios, além de coleta de informações gerais do sistema. Esta capacidade abrangente de reconhecimento permite ao operador mapear detalhadamente o ambiente alvo antes de realizar operações de coleta mais invasivas. O backdoor suporta execução de comandos via interpretadores de script nativos do Windows, permitindo flexibilidade operacional sem necessidade de ferramentas adicionais. O [[g0067-apt37|APT37]] é conhecido por utilizar múltiplas ferramentas diferentes em suas campanhas, rotacionando entre elas para dificultar o rastreamento de suas atividades. O WINERACK é uma dessas ferramentas de reconhecimento e acesso inicial, parte de uma cadeia de comprometimento que frequentemente inclui exploração de documentos maliciosos em formatos populares coreanos (HWP) como vetor de entrega. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1010-application-window-discovery|T1010 - Application Window Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - [[t1007-system-service-discovery|T1007 - System Service Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] ## Grupos que Usam - [[g0067-apt37|APT37]] ## Detecção A detecção do WINERACK deve focar em sequências de descoberta extensiva do sistema - múltiplas consultas a processos, serviços, arquivos e jánelas em curto período - realizadas por um processo não reconhecido. Monitorar execução de interpretadores de script por processos suspeitos e comportamentos de enumeração sistemática do ambiente são indicadores relevantes. Regras SIEM correlacionando múltiplos eventos de descoberta em sequência (process discovery + service discovery + file discovery) são eficazes para detectar este padrão. ## Relevância LATAM/Brasil O [[g0067-apt37|APT37]] foca principalmente em alvos relacionados à península coreana, mas a Coreia do Norte - via [[g0032-lazarus-group|Lazarus Group]] e grupos correlatos - tem histórico de operações financeiras contra instituições em todo o mundo, incluindo a América Latina. As técnicas de reconhecimento extensivo utilizadas pelo WINERACK são um padrão comum em múltiplos grupos APT, tornando as regras de detecção baseadas em comportamento de discovery aplicáveis a uma ampla gama de ameaças que organizações brasileiras podem enfrentar. ## Referências - [MITRE ATT&CK - S0219](https://attack.mitre.org/software/S0219)