# AN0029 — Analytic 0029 ## Descrição Detecta macros ou gatilhos VBA configurados para executar ao abrir ou fechar documentos, frequentemente correlacionados com payloads embarcados ou tráfego de C2 logo após a execução, indicando documentos maliciosos usados como vetor de acesso inicial. A telemetria inclui eventos de criação de processos filhos de aplicações Office (Word, Excel), logs de execução de macros e conexões de rede de saída correlacionadas temporalmente à abertura de documentos. Esse analítico é fundamental para detectar o vetor de phishing documental mais comum usado por grupos como Lazarus, APT28 e operadores de ransomware em campanhas direcionadas. **Plataformas:** Office Suite --- ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] --- *Fonte: [MITRE ATT&CK — AN0029](https://attack.mitre.org/detectionstrategies/DET0010#AN0029)*