s0644-obliquerat - RunkIntel

# ObliqueRAT > Tipo: **malware** · S0644 · [MITRE ATT&CK](https://attack.mitre.org/software/S0644) ## Descrição [[s0644-obliquerat|ObliqueRAT]] é um trojan de acesso remoto, semelhante ao [[crimson|Crimson]], que tem sido utilizado pelo [[g0134-transparent-tribe|Transparent Tribe]] (APT36) desde pelo menos 2020. Distribuído via documentos maliciosos enviados em campanhas de spear-phishing, o ObliqueRAT utiliza steganografia para ocultar o payload dentro de imagens aparentemente legítimas, uma técnica de evasão sofisticada que dificulta a detecção por soluções de segurança baseadas em análise de tráfego. Após a infecção, o malware realiza verificações anti-sandbox, coleta informações extensas do sistema e exfiltra dados de discos removíveis - comportamento consistente com o perfil de coleta de inteligência do [[g0134-transparent-tribe|Transparent Tribe]], que historicamente foca em organizações governamentais e militares indianas. O RAT implementa limites de tamanho de transferência de dados para evitar alertas de volume anômalo de tráfego. O ObliqueRAT compartilha infraestrutura e TTP com o [[crimson|Crimson]] RAT, sugerindo que ambos são desenvolvidos e mantidos pela mesma equipe técnica dentro do [[g0134-transparent-tribe|Transparent Tribe]]. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1120-peripheral-device-discovery|T1120 - Peripheral Device Discovery]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1030-data-transfer-size-limits|T1030 - Data Transfer Size Limits]] - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1027-003-steganography|T1027.003 - Steganography]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1025-data-from-removable-media|T1025 - Data from Removable Media]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1125-video-capture|T1125 - Video Capture]] ## Grupos que Usam - [[g0134-transparent-tribe|Transparent Tribe]] ## Detecção - Inspecionar imagens anexadas em e-mails em busca de payloads ocultos via steganografia ([[t1027-003-steganography|T1027.003]]) - Monitorar acesso incomum a unidades removíveis por processos desconhecidos ([[t1025-data-from-removable-media|T1025]]) - Detectar modificações em Run Keys do registro por processos de documento ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) - Alertar para capturas de tela e webcam iniciadas por processos não-autorizados ([[t1113-screen-capture|T1113]]) ## Relevância LATAM/Brasil O [[g0134-transparent-tribe|Transparent Tribe]] foca principalmente em alvos sul-asiáticos, mas o uso de steganografia e técnicas de evasão avançadas documentadas no ObliqueRAT são amplamente replicadas por grupos de ameaça que atacam o Brasil. A técnica de ocultar payloads em imagens é comum em campanhas de phishing direcionadas ao setor público e financeiro brasileiro. ## Referências - [MITRE ATT&CK - S0644](https://attack.mitre.org/software/S0644)