# RDAT > Tipo: **malware** · S0495 · [MITRE ATT&CK](https://attack.mitre.org/software/S0495) ## Descrição [[s0495-rdat|RDAT]] é um backdoor sofisticado utilizado pelo grupo de ameaças iraniano [[g0049-oilrig|OilRig]] (APT34). Identificado originalmente em 2017, o RDAT teve como alvos primários empresas do setor de telecomúnicações no Oriente Médio, refletindo o interesse estratégico do [[g0049-oilrig|OilRig]] em infraestrutura de comúnicações como ponto de acesso a alvos de maior valor. Uma das características mais notáveis do RDAT é o uso extensivo de esteganografia para comunicação C2: o malware oculta dados em imagens JPEG enviadas e recebidas via Exchange Web Services (EWS) - usando e-mail corporativo como canal C2 oculto ([[t1071-003-mail-protocols|T1071.003]]). Esta técnica torna a detecção baseada em análise de tráfego de rede excepcionalmente difícil, pois o tráfego de e-mail corporativo é geralmente permitido e raramente inspecionado em profundidade por ferramentas de segurança convencionais. O RDAT suporta múltiplos canais de comunicação C2, incluindo HTTP/HTTPS ([[t1071-001-web-protocols|T1071.001]]) e DNS ([[t1071-004-dns|T1071.004]]), com capacidade de usar encoding padrão ([[t1132-001-standard-encoding|T1132.001]]) e não-padrão ([[t1132-002-non-standard-encoding|T1132.002]]) para proteger dados exfiltrados. O malware também usa criptografia simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]) para proteger comúnicações e implementa limites no tamanho de transferência de dados ([[t1030-data-transfer-size-limits|T1030]]) para evitar detecção por volume. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1027-003-steganography|T1027.003 - Steganography]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1071-004-dns|T1071.004 - DNS]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1132-002-non-standard-encoding|T1132.002 - Non-Standard Encoding]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1071-003-mail-protocols|T1071.003 - Mail Protocols]] - [[t1001-002-steganography|T1001.002 - Steganography]] - [[t1030-data-transfer-size-limits|T1030 - Data Transfer Size Limits]] ## Grupos que Usam - [[g0049-oilrig|OilRig]] ## Detecção A detecção do RDAT é particularmente desafiante devido ao canal C2 via e-mail com esteganografia. Inspeção de metadados de imagens JPEG em e-mails (análise de DLP e sandboxing de anexos) pode revelar dados ocultos. Monitorar uso anômalo de Exchange Web Services por processos não-Outlook ([[t1071-003-mail-protocols|T1071.003]]), combinado com tráfego DNS com padrões de tunelamento, são os principais vetores de detecção. Ferramentas de análise de tráfego de rede com capacidade de inspeção profunda (DPI) são necessárias para identificar C2 via DNS. ## Relevância LATAM/Brasil O [[g0049-oilrig|OilRig]] é um dos grupos APT mais ativos do Irã, com histórico de espionagem contra governos e empresas em múltiplas regiões. No Brasil, o setor de telecomúnicações - alvo primário do RDAT - é estratégico para a economia nacional, com operadoras como Claro, Vivo e TIM gerenciando infraestrutura crítica de comúnicações. A técnica de C2 via e-mail corporativo com esteganografia é especialmente preocupante, pois pode permanecer não detectada por anos em ambientes com monitoramento de segurança insuficiente. ## Referências - [MITRE ATT&CK - S0495](https://attack.mitre.org/software/S0495)