det0567-detecting-unauthorized-collection-from-messaging-applications-in-saas-an

# DET0567 — Detecting Unauthorized Collection from Messaging Applications in SaaS and Office Environments ## Descrição A coleta não autorizada de dados de aplicativos de mensagens corporativas ([[T1213.005 - Data from Information Repositories Messaging Applications|T1213.005]]) é uma técnica cada vez mais utilizada em ataques a ambientes SaaS e Office 365. Adversários com acesso a tokens OAuth ou credenciais comprometidas exploram APIs do Microsoft Teams, Slack, Google Chat e similares para extrair mensagens, arquivos compartilhados, credenciais em texto claro e informações estratégicas trocadas nos canais. Operações de espionagem corporativa e ataques BEC (Business Email Compromise) frequentemente incluem essa etapa de coleta. O acesso pode ocorrer via tokens roubados de SSO, aplicativos OAuth maliciosos autorizados pelo usuário, ou comprometimento de conta de administrador do tenant. Em ataques sofisticados como os conduzidos pelo [[g1004-lapsus]] e [[g1015-scattered-spider]], o acesso a canais de suporte interno do Slack e Teams foi utilizado para coletar credenciais e dados de clientes antes de movimentação lateral. A detecção deve monitorar logs de auditoria do tenant (Microsoft 365 Unified Audit Log, Slack Audit Logs) para acesso em massa a mensagens, exportações de histórico de canais, e uso de APIs de mensagens a partir de IPs ou aplicativos não reconhecidos. Alertas para acesso fora do horário comercial ou de localização incomum são prioritários. ## Indicadores de Detecção - Acesso à API do Microsoft Teams ou Slack com volume de mensagens lidas > 1000/hora - Exportação de histórico de canal privado por usuário sem permissão de administrador - OAuth app com escopo `channels:history` ou `files:read` autorizado por usuário recentemente comprometido - Acesso ao Microsoft Graph API `GET /chats/{chatId}/messages` em horário atípico - IP de acesso ao tenant Microsoft 365 inconsistente com localização habitual do usuário - Criação de bot ou webhook em canal sensível por usuário não-administrador ## Técnicas Relacionadas - [[t1213-data-from-information-repositories|T1213 — Data from Information Repositories]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1528-steal-application-access-token|T1528 — Steal Application Access Token]] - [[T1566.002-phishing-spearphishing-link|T1566.002 — Spearphishing Link]] ## Analytics Relacionadas - [[an1565-analytic-1565|AN1565 — Analytic 1565]] - [[an1566-analytic-1566|AN1566 — Analytic 1566]] --- *Fonte: [MITRE ATT&CK — DET0567](https://attack.mitre.org/detectionstrategies/DET0567)*