s1172-oilbooster - RunkIntel

# OilBooster > Tipo: **malware** · S1172 · [MITRE ATT&CK](https://attack.mitre.org/software/S1172) ## Descrição [[s1172-oilbooster|OilBooster]] é um downloader escrito em Microsoft Visual C/C++ utilizado pelo [[g0049-oilrig|OilRig]] desde pelo menos 2022, inclusive contra organizações-alvo em Israel, para baixar e executar arquivos adicionais e realizar exfiltração de dados. Parte do conjunto de downloaders baseados em serviços de nuvem do [[g0049-oilrig|OilRig]], o OilBooster se diferencia pelo uso de criptografia assimétrica nas comúnicações e pelo suporte a canais de fallback para garantir resiliência operacional mesmo quando um canal C2 é bloqueado. O malware opera com jánelas ocultas para evitar visibilidade ao usuário, utiliza comunicação bidirecional via serviços web e realiza staging local de dados antes da exfiltração. O suporte a IPC (Inter-Process Commúnication) sugere coordenação com outros implantes presentes no mesmo host comprometido. A combinação de OilBooster, [[s1170-odagent|ODAgent]] e [[s1171-oilcheck|OilCheck]] representa uma estratégia de redundância de C2 sofisticada, onde múltiplos canais independentes garantem controle persistente sobre os alvos comprometidos pelo [[g0049-oilrig|OilRig]]. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - [[t1564-003-hidden-window|T1564.003 - Hidden Window]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1102-002-bidirectional-communication|T1102.002 - Bidirectional Commúnication]] - [[t1559-inter-process-communication|T1559 - Inter-Process Commúnication]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1008-fallback-channels|T1008 - Fallback Channels]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1106-native-api|T1106 - Native API]] ## Grupos que Usam - [[g0049-oilrig|OilRig]] ## Detecção - Monitorar processos Windows com jánelas ocultas realizando comúnicações de rede ([[t1564-003-hidden-window|T1564.003]]) - Detectar staging de arquivos em diretórios temporários seguido de upload para serviços de nuvem ([[t1074-001-local-data-staging|T1074.001]]) - Alertar para IPC entre processos onde um deles não é um processo legítimo do sistema ([[t1559-inter-process-communication|T1559]]) - Correlacionar com IoCs do OilRig (APT34) para detecção do conjunto de ferramentas completo ## Relevância LATAM/Brasil O [[g0049-oilrig|OilRig]] demonstra capacidade operacional de longa duração e diversificação de alvos. O setor de petróleo e gás brasileiro - incluindo a Petrobras e empresas do ecossistema do pré-sal - é um alvo estratégico de interesse para grupos de espionagem estatal focados em energia. O uso de serviços de nuvem como C2 torna o OilBooster particularmente difícil de detectar sem inspeção profunda de tráfego. ## Referências - [MITRE ATT&CK - S1172](https://attack.mitre.org/software/S1172)