# Mango > Tipo: **malware** · S1169 · [MITRE ATT&CK](https://attack.mitre.org/software/S1169) ## Descrição [[s1169-mango|Mango]] é um backdoor de primeiro estágio escrito em C#/.NET utilizado pelo [[g0049-oilrig|OilRig]] (APT34, HELIX KITTEN - nexo Irã) durante a campanha [[juicy-mix|Juicy Mix]] documentada em 2023. O Mango é o sucessor direto do backdoor [[s1166-solar|Solar]] e introduz capacidades aprimoradas de exfiltração, uso mais extensivo de APIs nativas do Windows e técnicas de evasão de detecção refinadas, refletindo a evolução contínua do arsenal do OilRig. O Mango usa criptografia assimétrica ([[t1573-002-asymmetric-cryptography|T1573.002]]) e simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]) para comúnicações C2 via HTTP ([[t1071-001-web-protocols|T1071.001]]), com exfiltração de dados via canal C2 ([[t1041-exfiltration-over-c2-channel|T1041]]). O backdoor desabilita ferramentas de segurança ([[t1562-001-disable-or-modify-tools|T1562.001]]) e usa APIs nativas do Windows ([[t1106-native-api|T1106]]) para evitar hooking de API por soluções de segurança. Arquivos cifrados ([[t1027-013-encryptedencoded-file|T1027.013]]) e codificação padrão ([[t1132-001-standard-encoding|T1132.001]]) protegem o payload e as comúnicações. Persistência via Scheduled Task ([[t1053-005-scheduled-task|T1053.005]]) e descoberta abrangente do ambiente ([[t1082-system-information-discovery|T1082]], [[t1083-file-and-directory-discovery|T1083]], [[t1033-system-owneruser-discovery|T1033]]) preparam o terreno para operações de longo prazo. O [[g0049-oilrig|OilRig]] é um grupo de espionagem cibernética iraniano com histórico de ataques contra governos, infraestrutura crítica e organizações financeiras no Oriente Médio, mas com operações documentadas contra alvos globais. A campanha Juicy Mix visou organizações em Israel e países do Oriente Médio com acesso a infraestrutura crítica. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1106-native-api|T1106 - Native API]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] ## Grupos que Usam - [[g0049-oilrig|OilRig]] ## Detecção - **[[ds-0009-process|Process Creation]]** - Detectar execução de assemblies .NET sem assinatura por processos não esperados - o Mango é escrito em C#/.NET e pode ser identificado por carregamento de CLR em processos incomuns. - **[[ds-0029-network-traffic|Network Traffic Content]]** - Monitorar POSTs HTTP com conteúdo codificado de tamanho regular e frequência consistente - padrão de exfiltração via canal C2 do Mango com comunicação criptografada. - **[[ds-0012-script|Script Execution]]** - Alertar para desabilitação de ferramentas de segurança por processos .NET não reconhecidos - o Mango desabilita defesas antes de prosseguir com exfiltração. ```sigma title: Mango OilRig Backdoor Security Tool Disabling status: experimental logsource: category: registry_event product: windows detection: selection: TargetObject|contains: - '\SOFTWARE\Policies\Microsoft\Windows Defender' - 'DisableAntiSpyware' - 'DisableRealtimeMonitoring' Image|endswith: - '.exe' filter: Image|contains: - '\Windows\System32\msiexec' - '\Program Files' condition: selection and not filter falsepositives: - Security software management tools level: high tags: - attack.defense-evasion - attack.t1562.001 - code/distill ``` ## Relevância LATAM/Brasil O [[g0049-oilrig|OilRig]] (APT34) é um ator de espionagem iraniano que conduz operações globais com foco no Oriente Médio, mas com capacidade e interesse em alvos de setores estratégicos como petróleo e gás, governo e financeiro. O Brasil, como grande produtor de petróleo via Petrobras e com relações diplomáticas ativas com países do Oriente Médio, pode estar no radar de coleta de inteligência de grupos como o OilRig. ## Referências - [MITRE ATT&CK - S1169](https://attack.mitre.org/software/S1169) - [ESET - OilRig: Juicy Mix Campaign Analysis](https://www.welivesecurity.com/en/eset-research/oilrig-juicymix-and-oilcheck/)