s0610-sidetwist - RunkIntel

# SideTwist > Tipo: **malware** · S0610 · [MITRE ATT&CK](https://attack.mitre.org/software/S0610) ## Descrição [[s0610-sidetwist|SideTwist]] é um backdoor escrito em C utilizado pelo [[g0049-oilrig|OilRig]] (APT34) - grupo de espionagem iraniano - desde pelo menos 2021. O [[g0049-oilrig|OilRig]] é um dos grupos APT iranianos mais ativos e sofisticados, com histórico extenso de operações contra governos, telecomúnicações e empresas do setor de energia e finanças no Oriente Médio, mas com operações documentadas se expandindo para alvos na Europa, Ásia e América do Norte. O [[s0610-sidetwist|SideTwist]] representa uma evolução das ferramentas customizadas do grupo, com foco em eficiência e baixa pegada. O [[s0610-sidetwist|SideTwist]] implementa um conjunto focado de capacidades de backdoor: execução de comandos shell, transferência de arquivos (upload e download), e coleta abrangente de informações do sistema comprometido. A comunicação C2 utiliza criptografia simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]) combinada com codificação de dados ([[t1132-001-standard-encoding|T1132.001]]) e obfuscação adicional ([[t1001-data-obfuscation|T1001]]) - múltiplas camadas de proteção do tráfego que tornam a análise de captura de rede muito difícil sem a chave correta. O suporte a canais de fallback ([[t1008-fallback-channels|T1008]]) garante que os operadores mantenham acesso mesmo se o canal primário for bloqueado, demonstrando planejamento operacional maduro. O [[g0049-oilrig|OilRig]] frequentemente implanta o [[s0610-sidetwist|SideTwist]] como backdoor secundário em ambientes onde outros malwares do grupo ([[s0185-seasharpee|SEASHARPEE]], [[s1168-samplecheck5000|SampleCheck5000]]) já estabeleceram acesso, criando redundância operacional que dificulta a erradicação completa de um comprometimento. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1106-native-api|T1106 - Native API]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1008-fallback-channels|T1008 - Fallback Channels]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1001-data-obfuscation|T1001 - Data Obfuscation]] ## Grupos que Usam - [[g0049-oilrig|OilRig]] ## Detecção - Monitorar comúnicações HTTP/HTTPS com padrões de dados criptografados ou codificados em Base64 para domínios suspeitos - Detectar binários C nativos com múltiplas camadas de obfuscação de dados de configuração - Alertar sobre múltiplos backdoors ativos do mesmo grupo (correlacionar IoCs de OilRig de diversas famílias) - Implementar análise de comportamento para sequências de discovery seguidas de exfiltração periódica - Monitorar canais de fallback C2 via threat intelligence feeds com IoCs do OilRig ## Relevância LATAM/Brasil O [[g0049-oilrig|OilRig]] expandiu suas operações para além do Oriente Médio, e o Brasil - como maior economia da América Latina com relações com países do Golfo Pérsico em energia e comércio - é um alvo potencial de interesse. O arsenal múltiplo do grupo (SideTwist + SEASHARPEE + SampleCheck5000) demonstra capacidade de manter comprometimentos resilientes que sobrevivem a respostas a incidentes parciais, tornando essencial que organizações brasileiras alvo realizem buscas abrangentes por todos os indicadores do [[g0049-oilrig|OilRig]] ao responder a um comprometimento identificado. ## Referências - [MITRE ATT&CK - S0610](https://attack.mitre.org/software/S0610)