# SampleCheck5000 > Tipo: **malware** · S1168 · [MITRE ATT&CK](https://attack.mitre.org/software/S1168) ## Descrição [[s1168-samplecheck5000|SampleCheck5000]] (SC5k) é um downloader com múltiplas variantes utilizado pelo [[g0049-oilrig|OilRig]] - grupo de espionagem iraniano (APT34) - incluindo durante a campanha [[outer-space|Outer Space]], para baixar e executar payloads adicionais em sistemas comprometidos. O [[g0049-oilrig|OilRig]] é conhecido por operar contra alvos no Oriente Médio, telecomúnicações, saúde e organizações governamentais ao redor do mundo. O [[s1168-samplecheck5000|SampleCheck5000]] utiliza comunicação bidirecional via serviços web ([[t1102-002-bidirectional-communication|T1102.002]]) e exfiltração por serviços web ([[t1567-exfiltration-over-web-service|T1567]]) para transferir dados e receber instruções, misturando o tráfego malicioso com comúnicações legítimas. Os dados coletados são compactados localmente ([[t1560-001-archive-via-utility|T1560.001]]) e encenados antes da exfiltração ([[t1074-001-local-data-staging|T1074.001]]), seguindo um padrão cuidadoso de staging antes da exfiltração que minimiza o volume de tráfego suspeito. O downloader é projetado para ser modular: após executar seu papel inicial de estabelecer persistência e baixar o payload principal, pode ser substituído ou atualizado remotamente. O uso de técnicas de deobfuscação em runtime ([[t1140-deobfuscatedecode-files-or-information|T1140]]) protege o payload de análise estática, enquanto a variedade de variantes do SC5k demonstra o ciclo de desenvolvimento contínuo mantido pelo [[g0049-oilrig|OilRig]] para dificultar a criação de assinaturas de detecção. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1102-002-bidirectional-communication|T1102.002 - Bidirectional Commúnication]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]] ## Grupos que Usam - [[g0049-oilrig|OilRig]] ## Detecção - Monitorar criação de arquivos compactados (.zip, .rar, .7z) em diretórios temporários seguida de upload HTTP/HTTPS - Detectar comúnicações regulares (beaconing) com intervalos fixos para domínios de baixa reputação - Alertar sobre processos que realizam discovery seguido imediatamente de staging de dados - Implementar inspeção de conteúdo de uploads HTTP para detectar dados compactados ou criptografados - Correlacionar eventos de download de binários com execução subsequente de processos filhos ## Relevância LATAM/Brasil O [[g0049-oilrig|OilRig]] tem histórico de operações contra alvos de telecomúnicações e energia, setores críticos no Brasil. A técnica de exfiltração via serviços web legítimos é particularmente eficaz em ambientes corporativos brasileiros que não implementam inspeção de tráfego SSL/TLS de saída. Empresas brasileiras com operações no Oriente Médio ou com parcerias estratégicas na região devem incluir o [[g0049-oilrig|OilRig]] em seus modelos de ameaça. ## Referências - [MITRE ATT&CK - S1168](https://attack.mitre.org/software/S1168)