s0353-nokki - RunkIntel

# NOKKI > Tipo: **malware** · S0353 · [MITRE ATT&CK](https://attack.mitre.org/software/S0353) ## Descrição [[s0353-nokki|NOKKI]] é uma ferramenta de acesso remoto modular com registro de uso desde janeiro de 2018. O NOKKI apresenta sobreposição significativa de código com a família de malware [[konni|KONNI]], e há evidências fortes que vinculam o NOKKI ao [[g0067-apt37|APT37]] (Reaper), grupo norte-coreano, embora sejá primariamente atribuído ao [[g0094-kimsuky|Kimsuky]]. Esta relação sugere possível compartilhamento de código ou infraestrutura entre grupos de ameaça da Coreia do Norte. O NOKKI se disfarça de software legítimo, utiliza o Rundll32 para execução e hooks de API de credenciais para roubo de senhas. A exfiltração de dados é realizada via protocolos de transferência de arquivos (FTP) e HTTP, com staging local dos dados antes do envio. Sua arquitetura modular permite aos operadores adaptar as capacidades conforme o alvo específico. O grupo [[g0094-kimsuky|Kimsuky]] utiliza o NOKKI principalmente em campanhas de espionagem contra alvos sul-coreanos, jáponeses e de países ocidentais, com foco em governo, pesquisa e organizações relacionadas à política da península coreana. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1056-004-credential-api-hooking|T1056.004 - Credential API Hooking]] - [[t1071-002-file-transfer-protocols|T1071.002 - File Transfer Protocols]] ## Grupos que Usam - [[g0094-kimsuky|Kimsuky]] ## Detecção - Monitorar execuções de `rundll32.exe` com parâmetros incomuns ou DLLs sem assinatura ([[t1218-011-rundll32|T1218.011]]) - Detectar modificações em chaves de Run do registro por processos não-administrativos ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) - Alertar para conexões FTP de saída originadas de processos suspeitos ([[t1071-002-file-transfer-protocols|T1071.002]]) - Correlacionar com IoCs do [[konni|KONNI]] por sobreposição de código ## Relevância LATAM/Brasil O [[g0094-kimsuky|Kimsuky]] tem expandido seus alvos além da península coreana para incluir instituições de pesquisa, think tanks e entidades governamentais globalmente. No Brasil, organizações que trabalham com política da Ásia-Pacífico, semicondutores ou tecnologia nuclear são potencialmente relevantes para o escopo de coleta de inteligência norte-coreana. ## Referências - [MITRE ATT&CK - S0353](https://attack.mitre.org/software/S0353)