t1114-002-remote-email-collection

# T1114.002 - Remote Email Collection ## Descrição Coleta remota de e-mail é uma subtécnica de [[t1114-email-collection|T1114 - Email Collection]] na qual adversários acessam diretamente servidores de e-mail corporativos - como Microsoft Exchange, Office 365 ou Google Workspace - para extrair mensagens e anexos sem interação com o cliente de e-mail local da vítima. O ataque geralmente ocorre após a obtenção de credenciais válidas por meio de [[t1566-phishing|phishing]], [[t1110-brute-force|força bruta]] ou roubo de tokens OAuth. Com acesso autenticado, o adversário consulta a caixa de entrada remotamente via protocolos como EWS (Exchange Web Services), MAPI ou Graph API do Microsoft 365, extraindo e-mails em massa de forma silenciosa. > **Contexto Brasil/LATAM:** Grupos de espionagem que operam contra o setor [[_sectors|governo]] e [[_sectors|financeiro]] no Brasil utilizam esta técnica como etapa central de campanhas de coleta de inteligência. O comprometimento de contas Microsoft 365 em órgãos federais brasileiros já foi documentado em campanhas atribuídas ao [[g0007-apt28|APT28]] e grupos patrocinados pelo Estado. A adoção acelerada de nuvem corporativa por empresas brasileiras amplia a superfície de ataque - credenciais comprometidas em ataques de [[t1566-phishing|spear-phishing]] frequentemente levam diretamente ao acesso remoto ao servidor de e-mail. > **Técnica pai:** [[t1114-email-collection|T1114 - Email Collection]] --- ## Attack Flow ```mermaid graph TB A([Reconhecimento]) --> B([Acesso Inicial]) B --> C([Coleta de Credenciais]) C --> D([Acesso ao Servidor de E-mail]) D --> E{T1114.002}:::highlight E --> F([Extração em Massa]) F --> G([Exfiltração]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,font-weight:bold ``` --- ## Como Funciona **Passo 1 - Obtenção de Credenciais ou Tokens de Acesso** O adversário adquire credenciais válidas de um usuário com acesso ao servidor de e-mail por meio de [[t1566-spearphishing-link|spear-phishing]], [[t1110-003-password-spraying|password spraying]] ou roubo de token OAuth via aplicativo malicioso autorizado pelo usuário. Em ambientes Microsoft 365, tokens de acesso de longa duração (refresh tokens) são particularmente valiosos por dispensarem MFA após a autenticação inicial. **Passo 2 - Acesso Remoto ao Servidor de E-mail** Com credenciais em mãos, o adversário acessa diretamente o servidor via EWS, MAPI over HTTP, Microsoft Graph API ou Autodiscover. Ferramentas como [[s0413-mailsniper|MailSniper]] automatizam buscas por palavras-chave (ex.: "senha", "contrato", "NDA") em toda a caixa de entrada. Em casos de acesso via OAuth, o acesso persiste mesmo após redefinição de senha, pois o token continua válido. **Passo 3 - Extração Seletiva e Preparação para Exfiltração** Os e-mails selecionados - geralmente de executivos, jurídico, financeiro ou RH - são coletados e compactados via [[t1560-archive-collected-data|Archive Collected Data]] antes da exfiltração. O adversário pode manter acesso persistente configurando regras de encaminhamento automático ([[t1114-003-email-forwarding-rule|T1114.003]]) para uma conta externa, garantindo cópia contínua de novos e-mails sem necessidade de reconexão. --- ## Detecção ### Event IDs Relevantes (Windows / Microsoft 365) | Fonte | Event ID | Descrição | |-------|----------|-----------| | Microsoft 365 Audit Log | `MailItemsAccessed` | Acesso a itens de e-mail via EWS/Graph - habilitado em E3/E5 | | Microsoft 365 Audit Log | `New-InboxRule` | Criação de regra de encaminhamento suspeita | | Microsoft 365 Unified Audit | `UserLoggedIn` | Login de localização geográfica anômala | | Exchange (local) | `4624` | Logon de rede no servidor Exchange | | Exchange (local) | `4648` | Logon com credenciais explícitas (EWS autenticado) | | Azure AD / Entra ID | `Sign-in logs` | Autenticação via aplicativo com escopo `Mail.Read` | ### Sigma Rule - Acesso Anômalo via EWS/Graph API ```yaml title: Suspicious Remote Email Collection via EWS or Graph API id: b2e3f1a4-8c7d-4e2b-9f0a-3d5c6e7b8f9a status: experimental description: Detecta acesso programático em massa a caixas de e-mail via Exchange Web Services ou Microsoft Graph, indicativo de coleta remota por adversários. references: - https://attack.mitre.org/techniques/T1114/002/ author: RunkIntel daté: 2026-03-24 tags: - attack.collection - attack.t1114.002 logsource: product: microsoft365 service: audit detection: selection: Operation: - MailItemsAccessed - SearchQueryInitiatedExchange ResultStatus: Success filter_normal: ClientAppId: - '00000002-0000-0ff1-ce00-000000000000' # Exchange Online - 'd3590ed6-52b3-4102-aeff-aad2292ab01c' # Microsoft Office condition: selection and not filter_normal timeframe: 1h threshold: field: UserId count: '>50' falsepositives: - Ferramentas legítimas de backup de e-mail - Migrações de caixa de correio level: high ``` --- ## Mitigação | Controle | Mitigação | Aplicação para Organizações Brasileiras | |----------|-----------|------------------------------------------| | [[m1032-multi-factor-authentication\|M1032 - MFA]] | Habilitar MFA para todos os usuários Microsoft 365 / Google Workspace | Obrigatório por IN SGD/ME nº 01/2020 para órgãos federais; LGPD exige proteção adequada de dados pessoais processados por e-mail | | [[m1041-encrypt-sensitive-information\|M1041 - Criptografia]] | Criptografar e-mails sensíveis com S/MIME ou Microsoft Purview Information Protection | Especialmente crítico para comúnicações jurídicas, M&A e dados regulados pelo BACEN | | [[m1060-out-of-band-communications-channel\|M1060 - Canal Alternativo]] | Usar plataformas separadas (Signal, Teams com DLP) para comúnicações ultra-sensíveis | Reduz o impacto de compromisso total da caixa Exchange | | Conditional Access | Bloquear acesso legado (Basic Auth, IMAP, POP3) e restringir EWS a IPs corporativos | Basic Auth foi vetor principal em campanhas contra gov.br em 2023–2024 | | Auditoria de Aplicativos OAuth | Revisar e revogar aplicativos OAuth com escopo `Mail.Read` ou `Mail.ReadWrite` | Aplicativos maliciosos de terceiros são vetor crescente no Brasil | | Microsoft Defender for Cloud Apps | Habilitar políticas de detecção de "Impossible Travel" e acesso em massa | Gratuito no tenant E3+ do gov.br | --- ## Threat Actors e Software ### Grupos que Utilizam Esta Técnica - [[g0016-apt29|APT29]] - Conhecido por comprometer servidores Exchange de governos e organizações de defesa; responsável pelo acesso às caixas de e-mail do MSRC (Microsoft) em 2023 e de membros do Congresso americano. - [[g0007-apt28|APT28]] - Grupo russo que utilizou acesso remoto a Exchange para coletar e-mails de funcionários de campanha política e órgãos governamentais; historicamente foca alvos na Europa do Leste e membros da NATO, com interesse crescente em parceiros diplomáticos na América Latina. - [[g0125-silk-typhoon|HAFNIUM]] - Grupo chinês responsável pela exploração massiva do ProxyLogon ([[cve-2021-26855|CVE-2021-26855]]) em servidores Exchange on-premises; alvejou centros de pesquisa e órgãos governamentais, incluindo organizações com interesses no Brasil. - [[g1033-star-blizzard|Star Blizzard]] - Grupo russo (ex-SEABORGIUM) especializado em coleta de e-mails de jornalistas, pesquisadores de política e ONGs; campanha documentada de 2023 usou aplicativos OAuth maliciosos para acesso persistente. - [[g0085-fin4|FIN4]] - Grupo financeiramente motivado que comprometeu contas de executivos para coletar e-mails sobre fusões e aquisições, influenciando negociações de mercado; altamente relevante para o setor financeiro brasileiro. - [[g0004-apt15|Ke3chang]], [[g0059-magic-hound|Magic Hound]], [[g0114-chimera|Chimera]], [[g0035-dragonfly|Dragonfly]], [[g0006-apt1|APT1]] - Grupos adicionais documentados pelo MITRE com uso confirmado desta técnica. ### Ferramentas e Malware Associados - [[s0413-mailsniper|MailSniper]] - Ferramenta PowerShell de pentest amplamente abusada por adversários para busca automatizada em caixas Exchange e Office 365 por palavras-chave. - [[s0395-lightneuron|LightNeuron]] - Malware do [[g0016-apt29|APT29]] que se instala como agente de transporte no Exchange, interceptando e-mails diretamente no servidor sem necessidade de credenciais de usuário. - [[s0053-seaduke|SeaDuke]] - Backdoor do [[g0016-apt29|APT29]] com capacidade de acessar o Exchange e extrair e-mails; usado em campanhas contra organizações governamentais. - [[s0476-valak|Valak]] - Malware modular com plugin específico para coleta de credenciais Exchange e extração de e-mails em ambientes corporativos. --- *Fonte: [MITRE ATT&CK - T1114.002](https://attack.mitre.org/techniques/T1114/002)*