s0189-isminjector - RunkIntel

# ISMInjector > Tipo: **malware** · S0189 · [MITRE ATT&CK](https://attack.mitre.org/software/S0189) ## Descrição [[s0189-isminjector|ISMInjector]] é um Trojan dropper utilizado pelo grupo iraniano [[g0049-oilrig|OilRig]] (também conhecido como APT34) para instalar o backdoor ISMAgent em sistemas comprometidos. O ISMInjector funciona como um veículo de entrega de primeira fase, responsável por desobfuscar e implantar o payload principal sem deixar rastros evidentes no sistema-alvo. Sua utilização reflete a abordagem modular do [[g0049-oilrig|OilRig]], que separa os estágios de entrega e execução para dificultar a análise e atribuição. Técnicamente, o [[s0189-isminjector|ISMInjector]] aplica técnicas de ofuscação de código ([[t1027-obfuscated-files-or-information|T1027]]) e decodificação em tempo de execução ([[t1140-deobfuscatedecode-files-or-information|T1140]]) para ocultar o payload do ISMAgent de soluções antivírus e EDR. A técnica de process hollowing ([[t1055-012-process-hollowing|T1055.012]]) é empregada para injetar o backdoor dentro de um processo legítimo do Windows, tornando a detecção mais difícil. A persistência é garantida através da criação de tarefas agendadas ([[t1053-005-scheduled-task|T1053.005]]), garantindo que o ISMAgent reinicie mesmo após reinicializações do sistema. O [[g0049-oilrig|OilRig]] é um grupo de ameaças persistentes avançadas (APT) patrocinado pelo governo iraniano, conhecido por campanhas de espionagem contra governos, empresas de energia, telecomúnicações e instituições financeiras no Oriente Médio e globalmente. O [[s0189-isminjector|ISMInjector]] foi identificado em campanhas direcionadas a organizações no Oriente Médio, posicionando-se como uma ferramenta de entrega especializada dentro do arsenal diversificado do [[g0049-oilrig|OilRig]], que inclui também ferramentas como [[juicyworm|JuicyWorm]] e outros backdoors customizados. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1055-012-process-hollowing|T1055.012 - Process Hollowing]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] ## Grupos que Usam - [[g0049-oilrig|OilRig]] ## Detecção A detecção do [[s0189-isminjector|ISMInjector]] foca nos comportamentos de entrega e injeção de payload. Monitoramento de process hollowing ([[t1055-012-process-hollowing|T1055.012]]) - especialmente processos legítimos do Windows com imagem de memória divergente do binário em disco - é o principal indicador técnico. Ferramentas EDR devem alertar para criação de processos com VirtualAllocEx + WriteProcessMemory + CreateRemoteThread em sequência, padrão característico desta técnica. Verificações de assinatura digital em DLLs e executáveis carregados por processos legítimos ajudam a identificar payloads injetados. A criação de tarefas agendadas ([[t1053-005-scheduled-task|T1053.005]]) por processos não-administrativos, especialmente com caminhos ou nomes que imitam tarefas legítimas do sistema, deve ser monitorada via logs de auditoria do Windows (Event ID 4698). Detecção de código ofuscado ([[t1027-obfuscated-files-or-information|T1027]]) via análise estática de scripts e execução de decodificação em memória ([[t1140-deobfuscatedecode-files-or-information|T1140]]) completa os indicadores de comprometimento. ## Relevância LATAM/Brasil O [[g0049-oilrig|OilRig]] (APT34) tem histórico de campanhas focadas principalmente no Oriente Médio, com alvos em setores de energia, governo e telecomúnicações. A relevância para o Brasil e América Latina está crescendo: o Brasil é um dos maiores produtores de petróleo e gás do mundo (com a Petrobras como alvo potencial de alto valor para atores interessados em energia), e a expansão de empresas brasileiras de energia para o Oriente Médio cria vínculos que podem ser explorados pelo [[g0049-oilrig|OilRig]]. Organizações do setor de petróleo e gás, governo e infraestrutura crítica no Brasil devem monitorar indicadores associados ao [[g0049-oilrig|OilRig]] e suas ferramentas, incluindo o [[s0189-isminjector|ISMInjector]]. ## Referências - [MITRE ATT&CK - S0189](https://attack.mitre.org/software/S0189)