# TA0042 — Resource Development ## Descrição O Desenvolvimento de Recursos representa a fase em que o adversário **constrói, adquire ou compromete ativos** que serão utilizados durante o ataque. Isso inclui a aquisição de infraestrutura (servidores, domínios, certificados TLS), o desenvolvimento ou compra de malware, a criação de identidades falsas e o comprometimento de recursos de terceiros para uso como proxies. Esta fase é frequentemente invisível para as vítimas e dificulta a atribuição, pois os adversários preferem usar infraestrutura comprometida de terceiros legítimos em vez de infraestrutura própria. Grupos como [[g0016-apt29|APT29]] e [[g0032-lazarus-group|Lazarus Group]] investem significativamente em infraestrutura resiliente — usando VPS bulletproof, redes de bots como proxies e domínios com histórico limpo para evitar bloqueios em listas de reputação. No ecossistema de crime cibernético brasileiro, o desenvolvimento de recursos inclui a criação e venda de painéis de phishing, kits de fraude de PIX, e acesso a redes de dispositivos comprometidos (bots) utilizados para ataques de credential stuffing contra instituições financeiras. Grupos como [[tofsee-botnet|Tofsee]] e outros atores locais comercializam esses recursos em fóruns underground nacionais. ## Posição no Kill Chain ```mermaid graph TB R["Reconhecimento"]:::inactive --> RD["🔧 Desenvolvimento<br/>de Recursos"]:::active RD --> IA["Acesso Inicial"]:::inactive IA --> EX["Execução"]:::inactive EX --> PE["Persistência"]:::inactive PE --> PR["Esc. Privilégios"]:::inactive PR --> DE["Evasão de Defesas"]:::inactive DE --> CA["Acesso a<br/>Credenciais"]:::inactive CA --> DI["Descoberta"]:::inactive DI --> LM["Mov. Lateral"]:::inactive LM --> CO["Coleta"]:::inactive CO --> C2["Comando e<br/>Controle"]:::inactive C2 --> EXF["Exfiltração"]:::inactive EXF --> IM["Impacto"]:::inactive classDef active fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:3px classDef inactive fill:#2c3e50,color:#95a5a6,stroke:#1a252f ``` ## Técnicas desta Tática no Vault %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", mitre-id AS "ID", title AS "Técnica", platforms AS "Plataformas" FROM "ttp/techniques" WHERE mitre-tactic = "Resource Development" SORT mitre-id ASC ``` %% <!-- QueryToSerialize: TABLE WITHOUT ID link(file.link, title) AS "Nota", mitre-id AS "ID", title AS "Técnica", platforms AS "Plataformas" FROM "ttp/techniques" WHERE mitre-tactic = "Resource Development" SORT mitre-id ASC --> <!-- SerializedQuery: TABLE WITHOUT ID link(file.link, title) AS "Nota", mitre-id AS "ID", title AS "Técnica", platforms AS "Plataformas" FROM "ttp/techniques" WHERE mitre-tactic = "Resource Development" SORT mitre-id ASC --> | Nota | ID | Técnica | Plataformas | | ------------------------------------------------------------------------------------------------------------------------- | --------- | --------------------------------------------- | ----------------------------------------------------- | | [[t1583-acquire-infrastructure\|T1583 - Acquire Infrastructure]] | T1583 | T1583 - Acquire Infrastructure | <ul><li>PRE</li></ul> | | [[t1583-001-domains\|T1583.001 - Domains]] | T1583.001 | T1583.001 - Domains | <ul><li>PRE</li></ul> | | [[t1583-002-dns-server\|T1583.002 - DNS Server]] | T1583.002 | T1583.002 - DNS Server | <ul><li>PRE</li></ul> | | [[t1583-003-virtual-private-server\|T1583.003 - Virtual Private Server]] | T1583.003 | T1583.003 - Virtual Private Server | <ul><li>PRE</li></ul> | | [[t1583-004-server\|T1583.004 - Server]] | T1583.004 | T1583.004 - Server | <ul><li>PRE</li></ul> | | [[t1583-005-botnet\|T1583.005 - Botnet]] | T1583.005 | T1583.005 - Botnet | <ul><li>PRE</li></ul> | | [[t1583-006-web-services\|T1583.006 - Web Services]] | T1583.006 | T1583.006 - Web Services | <ul><li>PRE</li></ul> | | [[t1583-007-serverless\|T1583.007 - Serverless]] | T1583.007 | T1583.007 - Serverless | <ul><li>PRE</li></ul> | | [[t1583-008-malvertising\|T1583.008 - Malvertising]] | T1583.008 | T1583.008 - Malvertising | <ul><li>PRE</li></ul> | | [[t1584-compromise-infrastructure\|T1584 - Compromise Infrastructure]] | T1584 | T1584 - Compromise Infrastructure | <ul><li>PRE</li></ul> | | [[t1584-001-domains\|T1584.001 - Domains]] | T1584.001 | T1584.001 - Domains | <ul><li>PRE</li></ul> | | [[t1584-002-dns-server\|T1584.002 - DNS Server]] | T1584.002 | T1584.002 - DNS Server | <ul><li>PRE</li></ul> | | [[t1584-003-virtual-private-server\|T1584.003 - Virtual Private Server]] | T1584.003 | T1584.003 - Virtual Private Server | <ul><li>PRE</li></ul> | | [[t1584-004-server\|T1584.004 - Server]] | T1584.004 | T1584.004 - Server | <ul><li>PRE</li></ul> | | [[t1584-005-botnet\|T1584.005 - Botnet]] | T1584.005 | T1584.005 - Botnet | <ul><li>PRE</li></ul> | | [[t1584-006-web-services\|T1584.006 - Web Services]] | T1584.006 | T1584.006 - Web Services | <ul><li>PRE</li></ul> | | [[t1584-007-serverless\|T1584.007 - Serverless]] | T1584.007 | T1584.007 - Serverless | <ul><li>PRE</li></ul> | | [[t1584-008-network-devices\|T1584.008 - Network Devices]] | T1584.008 | T1584.008 - Network Devices | <ul><li>PRE</li></ul> | | [[t1585-establish-accounts\|T1585 - Establish Accounts]] | T1585 | T1585 - Establish Accounts | <ul><li>PRE</li></ul> | | [[t1585-001-social-media-accounts\|T1585.001 - Social Media Accounts]] | T1585.001 | T1585.001 - Social Media Accounts | <ul><li>PRE</li></ul> | | [[t1585-002-email-accounts\|T1585.002 - Email Accounts]] | T1585.002 | T1585.002 - Email Accounts | <ul><li>PRE</li></ul> | | [[t1585-003-cloud-accounts\|T1585.003 - Cloud Accounts]] | T1585.003 | T1585.003 - Cloud Accounts | <ul><li>PRE</li></ul> | | [[t1586-compromise-accounts\|T1586 - Compromise Accounts]] | T1586 | T1586 - Compromise Accounts | <ul><li>PRE</li></ul> | | [[t1586-001-social-media-accounts\|T1586.001 - Social Media Accounts]] | T1586.001 | T1586.001 - Social Media Accounts | <ul><li>PRE</li></ul> | | [[t1586-002-email-accounts\|T1586.002 - Email Accounts]] | T1586.002 | T1586.002 - Email Accounts | <ul><li>PRE</li></ul> | | [[t1586-003-cloud-accounts\|T1586.003 - Cloud Accounts]] | T1586.003 | T1586.003 - Cloud Accounts | <ul><li>PRE</li></ul> | | [[t1587-develop-capabilities\|T1587 - Develop Capabilities]] | T1587 | T1587 - Develop Capabilities | <ul><li>PRE</li></ul> | | [[t1587-001-malware\|T1587.001 - Malware]] | T1587.001 | T1587.001 - Malware | <ul><li>PRE</li></ul> | | [[t1587-002-code-signing-certificates\|T1587.002 - Code Signing Certificates]] | T1587.002 | T1587.002 - Code Signing Certificates | <ul><li>PRE</li></ul> | | [[t1587-003-digital-certificates\|T1587.003 - Digital Certificates]] | T1587.003 | T1587.003 - Digital Certificates | <ul><li>PRE</li></ul> | | [[t1587-004-exploits\|T1587.004 - Exploits]] | T1587.004 | T1587.004 - Exploits | <ul><li>PRE</li></ul> | | [[t1588-obtain-capabilities\|T1588 - Obtain Capabilities]] | T1588 | T1588 - Obtain Capabilities | <ul><li>PRE</li></ul> | | [[t1588-001-malware\|T1588.001 - Malware]] | T1588.001 | T1588.001 - Malware | <ul><li>PRE</li></ul> | | [[t1588-002-tool\|T1588.002 - Tool]] | T1588.002 | T1588.002 - Tool | <ul><li>PRE</li></ul> | | [[t1588-003-code-signing-certificates\|T1588.003 - Code Signing Certificates]] | T1588.003 | T1588.003 - Code Signing Certificates | <ul><li>PRE</li></ul> | | [[t1588-004-digital-certificates\|T1588.004 - Digital Certificates]] | T1588.004 | T1588.004 - Digital Certificates | <ul><li>PRE</li></ul> | | [[t1588-005-exploits\|T1588.005 - Exploits]] | T1588.005 | T1588.005 - Exploits | <ul><li>PRE</li></ul> | | [[t1588-006-vulnerabilities\|T1588.006 - Vulnerabilities]] | T1588.006 | T1588.006 - Vulnerabilities | <ul><li>PRE</li></ul> | | [[t1588-007-artificial-intelligence\|T1588.007 - Artificial Intelligence]] | T1588.007 | T1588.007 - Artificial Intelligence | <ul><li>PRE</li></ul> | | [[t1608-stage-capabilities\|T1608 - Stage Capabilities]] | T1608 | T1608 - Stage Capabilities | <ul><li>PRE</li></ul> | | [[t1608-001-upload-malware\|T1608.001 - Upload Malware]] | T1608.001 | T1608.001 - Upload Malware | <ul><li>PRE</li></ul> | | [[t1608-002-upload-tool\|T1608.002 - Upload Tool]] | T1608.002 | T1608.002 - Upload Tool | <ul><li>PRE</li></ul> | | [[t1608-003-install-digital-certificate\|T1608.003 - Install Digital Certificaté]] | T1608.003 | T1608.003 - Install Digital Certificaté | <ul><li>PRE</li></ul> | | [[t1608-004-drive-by-target\|T1608.004 - Drive-by Target]] | T1608.004 | T1608.004 - Drive-by Target | <ul><li>PRE</li></ul> | | [[t1608-005-link-target\|T1608.005 - Link Target]] | T1608.005 | T1608.005 - Link Target | <ul><li>PRE</li></ul> | | [[t1608-006-seo-poisoning\|T1608.006 - Stage Capabilities: SEO Poisoning]] | T1608.006 | T1608.006 - Stage Capabilities: SEO Poisoning | <ul><li>Windows</li><li>Linux</li><li>macOS</li></ul> | | [[t1650-acquire-access\|T1650 - Acquire Access]] | T1650 | T1650 - Acquire Access | <ul><li>PRE</li></ul> | <!-- SerializedQuery END --> ## Mindmap — Técnicas de Desenvolvimento de Recursos ```mermaid mindmap root((TA0042<br/>Resource Development)) Infraestrutura T1583 Acquire Infrastructure Servidores VPS Domínios Expirados Bulletproof Hosting Capacidades T1587 Develop Capabilities T1588 Obtain Capabilities Malware Customizado Exploit Kits Staging T1608 Stage Capabilities Upload de Payloads Waterholing Identidades T1585 Establish Accounts Contas Falsas Personas Sociais Comprometimento T1584 Compromise Infrastructure T1586 Compromise Accounts Hijacking de Sites Legítimos ``` ## Atores que Utilizam esta Tática | Ator | Especialidade de Resource Development | |------|---------------------------------------| | [[Cozy Bear]] | Infraestrutura resiliente multi-camada, domínios de alta reputação | | [[g0032-lazarus-group\|Lazarus Group]] | Infraestrutura global para roubo financeiro, mistura com tráfego legítimo | | [[g0096-apt41\|APT41]] | Dupla capacidade — espionagem estatal + crime financeiro independente | | [[g1017-volt-typhoon\|Volt Typhoon]] | Comprometimento de roteadores SOHO como proxies, LOTL | | [[g0034-sandworm\|Sandworm]] | Desenvolvimento de wiper malware personalizado (Industroyer, NotPetya) | ## Detecção e Mitigação ### Detecção - **Monitoramento de typosquatting:** Registros de domínios parecidos com a organização - **Certificaté Transparency Logs:** Novos certificados para domínios suspeitos (crt.sh) - **VirusTotal Intelligence:** Monitorar hashes relacionados a campanhas conhecidas - **Passive DNS:** Identificar domínios recém-registrados apontando para IPs suspeitos - **Threat Intel Feeds:** [[abuse-ch|Abuse.ch]], [[otx-alienvault|OTX AlienVault]] para infraestrutura conhecida ### Mitigação - Registrar variações do domínio corporativo (typosquatting defensivo) - Monitorar menções da marca em fóruns underground (dark web monitoring) - Implementar DMARC/DKIM/SPF para dificultar spoofing de domínio corporativo - Auditar periodicamente a superfície de ataque externa (Shodan, Censys) ## Relevância LATAM/Brasil O ecossistema de crime cibernético brasileiro possui um mercado underground vibrante de recursos: painéis de phishing para bancos brasileiros (Bradesco, Itaú, Nubank) são comercializados por preços acessíveis. Kits de fraud de boletos, geradores de QR Code PIX falsos e loaders de malware bancário (como o [[s0531-grandoreiro|Grandoreiro]]) são desenvolvidos localmente e exportados para outros países da América Latina e Europa. A infraestrutura de C2 para malware bancário brasileiro frequentemente usa provedores de hosting nacionais ou serviços de cloud legítimos, tornando o bloqueio baseado em IP ineficaz sem análise comportamental. - [[ta0043-reconnaissance|TA0043 - Reconnaissance]] — fase anterior - [[ta0001-initial-access|TA0001 - Initial Access]] — fase seguinte - [[t1583-acquire-infrastructure|T1583 - Acquire Infrastructure]] — técnica documentada - [[t1608-stage-capabilities|T1608 - Stage Capabilities]] — preparação de payloads - [[ Cozy Bear]] — modelo de infraestrutura resiliente - [[g0032-lazarus-group|Lazarus Group]] — desenvolvimento de recursos para crime financeiro - [[_techniques|Índice de Técnicas]] — visão geral de todas as técnicas documentadas ## Referências - [[ta0042-*|MITRE ATT&CK - TA0042 Resource Development]] - [Kaspersky LATAM — Malware Banking Brasil](https://latam.kaspersky.com/blog/)