Mestranda em Cyber Inteligência pela Univ. Múrcia, Espanha. Gossip Girl da Malwarelândia aka pesquisadora de cyber threat intelligence.

Diretora da Casa Hacker, (hack)ativista e charming michi. Palestra por aí falando sobre desgraças cibernéticas.

Hacker. Palestrante na DEF CON (x10), EC-Council Hacker Halted (x2), DevFest Siberia e outros 50 eventos.

Founder Birmingham Cyber Arms & DC5411.

Operador do Chococat Ransomware, o único que criptografa consoles de videogame!

(Porque alguém tinha que ocupar o lugar do BlackCat!)

AGENDA

• CONTEXTO HISTÓRICO
• PROPAGANDA
• A VIDA COMO ELA É
• RELAÇÕES INTERNACIONAIS
• ESTRUTURA CIBERNÉTICA
• ATAQUES
• MAIS ATAQUES

​

POR QUE A CORÉIA DO NORTE É COMO ELA É?

​

• 1910, o Império japonês anexa a Coreia
• Depois da 1ª GM, Japão se alia aos alemães.
• O Eixo perde a 2ª GM.
• União Soviética entra em guerra com o Japão e avança para a região da Coréia para lutar ao lado de chineses e coreanos.
• Guerra fria
• Paralelo 38º
• Guerra das Coréias
• 1953 criação da DMZ

PROPAGANDA

Foto de uma modelo conhecida e promessas de recompensas para quem chegasse do Norte — esta mensagem foi enviada pela Coreia do Sul aos norte-coreanos na década de 1980

Folheto direcionado aos soldados negros americanos das forças da ONU, lideradas pelos EUA, para não morrerem em vão, pois estavam sendo discriminados por soldados brancos

A VIDA COMO ELA É

PROPAGANDA

Em maio, ativistas sul-coreanos Fighters for Free North Korea enviaram balões com com folhetos criticando o regime do norte e USB com músicas K-Pop e a novelas e séries.

​

O norte retaliou e enviou ao sul balões contendo lixo, fraldas sujas e estrume

GEOPOLÍTICA & RELAÇÕES INTERNACIONAIS

(SUPOSTA) ESTRUTURA CIBERNÉTICA

• Difícil ter alguma visibilidade do que acontece no país.

​

• Divisões e subdivisões da DPRK não se pode ter completa confiança.

​

• Cada vendor atribui nomes ao grupos de ameaças de acordo com seus padrões.

​

• As definições têm sobreposições de grupos, clusters e subgrupos.

​

• Muitas vezes contradizendo a atribuição dada por outros pesquisadores.

Principais organizações governamentais envolvidas em operações cibernéticas

LABYRINTH CHOLLIMA

SILENT CHOLLIMA

STARDUST CHOLLIMA

VELVET CHOLLIMA

RICOCHET CHOLLIMA

THREAT GROUPS

THREAT GROUPS

As operações de cada cluster e subgrupo têm um foco específico: espionagem, motivação financeira, destruição e ações que causem perturbação.

​

Em suma, coletam informações que possam ajudá-los a desenvolver tecnologia nuclear e de mísseis balísticos e em roubar dinheiro para financiar seu regime.

​

ATAQUES

ATAQUES

EternalBlue é o nome de exploração de vulnerabilidade para a implementação do protocolo Service Message Block (SMB) (CVE-2017-0144) no Windows. A fraqueza originou-se de um bug que possibilitou que um invasor remoto executasse código arbitrário em uma máquina alvo e transmitisse pacotes de dados especialmente projetados.

ATAQUES

TTPS CARACTERÍSTICAS

Uma das TTPs (Técnicas, Táticas e Procedimentos) únicas dos atores de ameaças da Coreia do Norte é a utilização de falsas ofertas de trabalho.

TTPS CARACTERÍSTICAS

Lazarus visa engenheiros, profissionais de segurança ou desenvolvedores das empresas, enganando-os para que assistam a uma call, que surpreendentemente vai muito bem.

​

Mas tem um último passo que consiste em executar um desafio que na realidade contém código malicioso.

​

Foi assim que descobri meu primeiro malware norte-coreano…

​

Mauro

Primeiro relatório sobre a amostra ‘QRLog’ - 2023

QRLOG, UM CASO DE ESTUDO REAL

Este é um RAT básico - aparentemente caseiro - que tenta abrir um shell reverso […]

​

No momento da escrita, não há menção pública deste malware ou de seus componentes.

​

Eu o chamei de QRLog.

​

QRLOG, UM CASO DE ESTUDO REAL

QRLog é um malware muito simples, que apenas tenta esconder um payload malicioso codificado em Base64.

​

Ao decodificá-lo, pode-se ver que o payload simplesmente abre um shell reverso que será explorado MANUALMENTE.

QRLOG, UM CASO DE ESTUDO REAL

QRLog é distribuído como um ‘desafio técnico’, em falsas entrevistas de trabalho de plataformas de pagamentos, fintech e exchanges de criptomoedas.

�Nenhum antivírus do mercado o detectava.

​

Apenas uma firma de inteligência vietnamita o considerou “suspeito”.

ATRIBUIÇÃO

Com a colaboração da Crowdstrike e de um pesquisador independente, conseguimos reunir inteligência suficiente para atribuir a amostra ao Labyrinth Chollima, divisão do Grupo Lazarus.

VINGANÇA

Tentamos nos comunicar com o Lazarus enviando solicitações ao seu C2 convidando-os para uma entrevista… mas eles não gostaram muito.

​

Recebemos quase 1500 tentativas de SSH Bruteforce no servidor que enviou a mensagem…

​

…mas era uma honeypot e nos ajudou a coletar mais inteligência, descobrindo muitos de seus recursos na América Latina, especialmente na Argentina e no Brasil.

OPSEC FAIL

Mas este não foi o único erro de OPSEC…

​

O autor do malware esqueceu um arquivo chamado inputFiles.lst, com informações de build e debug.

​

Lendo-o, consegui descobrir que ele se chama ‘Edward’ e usa a plataforma Windows.

CHOLLIMA DE PELÚCIA

Pensávamos que nosso encontro com os Chollimas havia terminado (com um final feliz).

​

Mas era apenas o começo e, 366 dias depois, os encontramos novamente…

​

Mauro

Primeiro relatório sobre a amostra ‘Docks’ - 2024

DOCKS, OUTRO CASO DE ESTUDO REAL

O malware comprime a home da vítima e outros arquivos interessantes, movendo-os para uma folder oculta chamada ‘.docks’ para exfiltração.

​

Esse comportamento me levou a chamá-lo de Docks, e podemos estabelecer a atribuição a [REDACTED]…

CYBELLE OLIVEIRA

in/cybelleoliveira/

x.com/cyb3113

​

MAURO ELDRITCH

in/mauroeldritch/

x.com/MauroEldritch

bca.ltd/Mauro