det0865-detection-of-spearphishing-attachment

# DET0865 — Detection of Spearphishing Attachment ## Descrição A estratégia DET0865 trata da detecção de spearphishing com anexo — uma das técnicas de acesso inicial mais utilizadas por grupos APT e operadores de ransomware. O ataque consiste no envio de e-mails altamente personalizados com anexos maliciosos (documentos Office com macros, PDFs com exploits, arquivos compactados com executáveis ou LNK) direcionados a indivíduos específicos dentro de uma organização. A personalização dos e-mails de spearphishing é elaborada com base em informações colhidas durante a fase de reconhecimento — nome do destinatário, cargo, relacionamentos profissionais, projetos em andamento e contexto corporativo. Isso aumenta significativamente a taxa de sucesso comparado a phishing em massa. Grupos como APT29, Lazarus Group e APT41 empregam extensivamente essa técnica como vetor de entrada inicial. A detecção eficaz combina análise de gateway de e-mail (sandbox de anexos, YARA sobre arquivos maliciosos, reputação de remetente), monitoramento de endpoint (criação de processo filho de aplicativo de e-mail, scripts PowerShell/VBScript acionados por documentos Office), e correlação com inteligência sobre campanhas de spearphishing ativas direcionadas ao setor. ## Indicadores de Detecção - Processo filho de cliente de e-mail (Outlook, Thunderbird) executando cmd.exe, PowerShell ou wscript - Documento Office abrindo conexão de rede ou criando arquivo executável em diretório temporário - Anexo com extensão dupla ou disfarçada (ex: `relatorio.pdf.exe`, `contrato.docx.js`) - Arquivo PDF ou Office contendo shellcode ou exploit identificado por sandbox de e-mail - E-mail com anexo chegando de remetente externo impersonando domínio corporativo (lookalike) - Hash de anexo correspondente a amostra conhecida em feeds de inteligência de ameaças - Macro VBA ou XLM em documento enviado de endereço externo para funcionário de alto valor ## Técnicas Relacionadas - [[T1566.001-spearphishing-attachment|T1566.001 — Phishing: Spearphishing Attachment]] - [[T1598.002-spearphishing-attachment|T1598.002 — Phishing for Information: Spearphishing Attachment]] - [[T1204.002-malicious-file|T1204.002 — User Execution: Malicious File]] - [[t1059-001-powershell|T1059.001 — Command and Scripting Interpreter: PowerShell]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1027-obfuscated-files|T1027 — Obfuscated Files or Information]] ## Analytics Relacionadas - [[an1997-analytic-1997|AN1997 — Analytic 1997]] --- *Fonte: [MITRE ATT&CK — DET0865](https://attack.mitre.org/detectionstrategies/DET0865)*