s0464-syscon - RunkIntel

# SYSCON > [!medium] Backdoor norte-coreano com C2 via FTP - entregue em campanhas com temáticas geopolíticas da Coreia do Norte > SYSCON é um RAT simples mas eficaz utilizado pelo grupo Konni (nexo norte-coreano) em campanhas de spear-phishing com iscas temáticas sobre relações EUA-Coreia do Norte. Unique feature: usa protocolo FTP como canal C2, tornando o tráfego malicioso mais difícil de distinguir de transferências de arquivo legítimas. ## Visão Geral SYSCON é um backdoor ativo desde pelo menos 2017, associado ao grupo Konni e a campanhas com temáticas relacionadas à Coreia do Norte. O malware é entregue pelos droppers [[s0462-carrotbat|CARROTBAT]] e [[s0465-carrotball|CARROTBALL]], que foram usados em campanhas direcionadas a uma agência governamental dos EUA (2019), uma agência governamental britânica (2017) e analistas de política de segurança nacional com foco em geopolítica coreana. A característica técnica mais distintiva do SYSCON é o uso de FTP ([[t1071-002-file-transfer-protocols|T1071.002]]) como protocolo de comando e controle - uma escolha incomum que torna o tráfego C2 visualmente similar a operações legítimas de transferência de arquivos corporativos. Pesquisas da Unit 42 (Palo Alto Networks) documentaram que o SYSCON se conecta a servidores FTP gratuitos (byethost, 000webhost) para receber comandos e exfiltrar dados, com credenciais de acesso FTP hardcoded no binário. O grupo Konni tem sobreposição com o [[g0067-apt37|APT37]] (Reaper/ScarCruft) e partilha infraestrutura com [[g0094-kimsuky|Kimsuky]], todos grupos norte-coreanos com foco em espionagem e coleta de inteligência. O SYSCON foi observado na [[operation-honeybee|Operation Honeybee]], campanha documentada em 2018 contra organizações envolvidas em engajamento diplomático com a Coreia do Norte. ## Como Funciona ```mermaid graph TB A["📧 Spearphishing Tema geopolítico Coreia do Norte"] --> B["📄 Documento Word malicioso Macro ou DDE exploit"] B --> C["📥 CARROTBAT/CARROTBALL Downloader de primeiro estágio"] C --> D["🔌 Conexão FTP Servidor C2 gratuito"] D --> E["📦 Download SYSCON Backdoor de segundo estágio"] E --> F["🔍 Reconhecimento Systeminfo + Tasklist"] F --> G["🖥️ Execução de comandos cmd.exe por operador remoto"] G --> H["📤 Exfiltração via FTP Upload de dados coletados"] ``` ## Capacidades do SYSCON O SYSCON é descrito como "simples mas eficaz" - suas capacidades são diretas: | Funcionalidade | Detalhe | |---------------|---------| | **C2** | FTP para receber comandos e exfiltrar dados ([[t1071-002-file-transfer-protocols\|T1071.002]]) | | **Execução** | Executa comandos arbitrários via `cmd.exe` ([[t1059-003-windows-command-shell\|T1059.003]]) | | **Discovery** | `Systeminfo` para informações do sistema ([[t1082-system-information-discovery\|T1082]]) | | **Discovery** | `Tasklist` para processos em execução ([[t1057-process-discovery\|T1057]]) | | **Entrega** | Aberto via anexo malicioso em e-mail ([[t1204-002-malicious-file\|T1204.002]]) | | **Persistência** | Via arquivos batch (`alive.bat`) instalando serviço Windows | ## Campanha Fractured Statue (2019) A Unit 42 documentou a campanha "Fractured Statue" onde o SYSCON foi usado contra agência governamental dos EUA: - **Período:** Julho a outubro de 2019 - **Iscas:** Artigos em russo sobre relações EUA-Coreia do Norte - **Cadeia:** Documento malicioso Word com macro → CARROTBAT dropper → SYSCON backdoor - **Infraestrutura C2:** Servidores FTP gratuitos byethost e 000webhost - **Alvo:** Agência governamental dos EUA e analistas de política norte-coreana ## Detecção e Defesa **Detecção de C2 via FTP:** - **Proxy/Firewall:** Conexões FTP (porta 21 ou portas alternativas) originadas de aplicações que não sejam clientes FTP legítimos como FileZilla ou WinSCP - **NDR:** Tráfego FTP com padrões de autenticação programáticos (credenciais hardcoded repetidas em intervalos regulares) - **Sysmon Event ID 3:** Processo Word, Excel ou cmd.exe iniciando conexão FTP externa **Análise de documentos suspeitos:** - Documentos Office com macros solicitando execução de comandos PowerShell ou cmd - Arquivos Word com conteúdo em russo sobre tópicos de política norte-coreana enviados por e-mail não solicitado ## Relevância LATAM/Brasil O SYSCON e o grupo Konni têm foco geográfico em alvos norte-americanos, sul-coreanos e europeus envolvidos em política norte-coreana - perfil com baixa relevância direta para o Brasil. No entanto, o modelo técnico do SYSCON - C2 via protocolo legítimo (FTP) para evasão + droppers em etapas - é amplamente replicado por grupos que operam no Brasil. [[g0099-blind-eagle-apt-c-36|Blind Eagle]] e grupos de espionagem financeira LATAM usam técnicas similares de evasão de C2 via protocolos legítimos. O estudo do SYSCON oferece base técnica para defenders brasileiros reconhecerem o padrão. ## Referências - [MITRE ATT&CK - S0464](https://attack.mitre.org/software/S0464) - [Unit 42 - The Fractured Statue Campaign](https://unit42.paloaltonetworks.com/the-fractured-statue-campaign-u-s-government-targeted-in-spear-phishing-attacks/) - Janeiro 2020 - [Unit 42 - The Fractured Block Campaign: CARROTBAT](https://unit42.paloaltonetworks.com/unit42-the-fractured-block-campaign-carrotbat-malware-used-to-deliver-malware-targeting-southeast-asia/) - Novembro 2018