s1170-odagent - RunkIntel

# ODAgent > Tipo: **malware** · S1170 · [MITRE ATT&CK](https://attack.mitre.org/software/S1170) ## Descrição [[s1170-odagent|ODAgent]] é um downloader em C#/.NET utilizado pelo [[g0049-oilrig|OilRig]] (APT34) desde pelo menos 2022, inclusive contra organizações-alvo em Israel, para baixar e executar payloads adicionais e exfiltrar arquivos preparados para envio. O nome "OD" refere-se ao OneDrive, serviço da Microsoft que o malware usa como canal C2 bidirecional - uma técnica que aproveita a confiabilidade e prevalência do serviço de nuvem para misturar tráfego malicioso com comúnicações legítimas corporativas. O ODAgent faz parte de um conjunto de downloaders do [[g0049-oilrig|OilRig]] que abusam de serviços de nuvem populares, junto com o [[s1171-oilcheck|OilCheck]] (que usa e-mail) e o [[s1172-oilbooster|OilBooster]] (que usa outra plataforma de nuvem). Esta estratégia de diversificação de canais C2 via serviços legítimos é uma característica marcante das operações do grupo, tornando o bloqueio extremamente difícil sem impactar operações normais de negócio. O malware utiliza APIs nativas do Windows para execução e implementa deofuscação de payload antes da execução, demonstrando aténção à evasão de análise estática. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - [[t1102-002-bidirectional-communication|T1102.002 - Bidirectional Commúnication]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1106-native-api|T1106 - Native API]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] ## Grupos que Usam - [[g0049-oilrig|OilRig]] ## Detecção - Monitorar acesso à API do OneDrive por processos que não sejam o cliente OneDrive oficial ([[t1567-002-exfiltration-to-cloud-storage|T1567.002]]) - Detectar autenticação OAuth em serviços Microsoft por processos suspeitos ([[t1102-002-bidirectional-communication|T1102.002]]) - Alertar para downloads de arquivos executáveis via APIs de nuvem seguidos de execução imediata ([[t1105-ingress-tool-transfer|T1105]]) - Correlacionar com IoCs do OilCheck e OilBooster para detecção de campanha OilRig ## Relevância LATAM/Brasil O [[g0049-oilrig|OilRig]] (APT34) tem histórico de expandir alvos além do Oriente Médio. O abuso de serviços Microsoft 365 e OneDrive como C2 é uma técnica crescente que afeta organizações brasileiras que dependem do ecossistema Microsoft. Empresas do setor de petróleo e gás, telecomúnicações e governo no Brasil devem monitorar acesso não-autorizado às suas contas e APIs Microsoft como indicador potencial de comprometimento. ## Referências - [MITRE ATT&CK - S1170](https://attack.mitre.org/software/S1170)