# Helminth > Tipo: **malware** · S0170 · [MITRE ATT&CK](https://attack.mitre.org/software/S0170) ## Descrição [[s0170-helminth|Helminth]] é um backdoor customizado utilizado pelo grupo de espionagem iraniano [[g0049-oilrig|OilRig]] (também conhecido como APT34 ou Helix Kitten), ativo desde pelo menos 2014. O malware existe em pelo menos duas variantes distintas: uma implementada em VBScript e PowerShell, entregue via macros em planilhas Excel maliciosas, e outra como um executável Windows standalone (PE32). Ambas as variantes proveem ao operador capacidades de acesso remoto persistente ao sistema comprometido, com suporte a download de arquivos, execução de comandos, captura de teclas e comunicação C2 via DNS e HTTP. O mecanismo de distribuição primário do Helminth utiliza documentos Excel com macros maliciosas entregues por e-mail de phishing direcionado (spear-phishing). Após a execução da macro, o script VBScript ou PowerShell é extraído e executado, estabelecendo persistência via chaves de registro de inicialização ou via agendamento de tarefas. A variante VBScript se comúnica com o C2 usando o protocolo DNS, codificando dados em consultas DNS para exfiltração discreta - uma técnica que evita regras de proxy web que inspecionam apenas HTTP/HTTPS. O Helminth foi associado a campanhas do [[g0049-oilrig|OilRig]] contra governos, instituições financeiras e empresas de energia no Oriente Médio, mas também contra alvos nos EUA e na Europa. O uso de certificados de assinatura de código legítimos em algumas amostras demonstra a sofisticação operacional do grupo. A sobreposição com o toolkit do OilRig inclui outros implantes como ISMAgent, ISMInjector e QUADAGENT. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1547-009-shortcut-modification|T1547.009 - Shortcut Modification]] - [[t1071-004-dns|T1071.004 - DNS]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1115-clipboard-data|T1115 - Clipboard Data]] ## Grupos que Usam - [[g0049-oilrig|OilRig]] ## Detecção Para detectar o Helminth, monitore execução de macros VBScript/PowerShell iniciadas por aplicações Office (`WINWORD.EXE`, `EXCEL.EXE`). Regras de detecção para criação de arquivos de script em diretórios temporários do usuário são eficazes. Na camada de rede, anomalias em consultas DNS com subdomínios longos ou com padrões de codificação base64/hex indicam possível tunelamento DNS. Monitoramento de Event ID 4698 (agendamento de tarefas) e modificações em `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` completam a cobertura de detecção. O framework Sigma tem regras específicas para os TTPs do OilRig que cobrem o Helminth. ## Relevância LATAM/Brasil O [[g0049-oilrig|OilRig]] (APT34) historicamente não tem foco em alvos brasileiros, mas as técnicas do Helminth - especialmente o tunelamento DNS para C2 - são amplamente utilizadas por grupos que atacam o Brasil. Organizações do setor de energia e petróleo no Brasil (Petrobras, distribuidoras de gás) são alvos de interesse para grupos de espionagem que usam técnicas similares às do [[g0049-oilrig|OilRig]]. O [[s0189-isminjector|ISMInjector]], parte do mesmo toolkit, serve como referência para padrões de detecção aplicáveis ao contexto brasileiro. ## Referências - [MITRE ATT&CK - S0170](https://attack.mitre.org/software/S0170) - [Palo Alto Unit 42 - OilRig Targets Technology Service Provider and Government Agency](https://unit42.paloaltonetworks.com/unit42-oilrig-targets-technology-service-provider-and-government-agency-with-alma-commúnicator-and-dns-messenger/)