# T1114.003 - Email Forwarding Rule ## Descrição Adversários configuram regras de encaminhamento automático na caixa de entrada de uma vítima para monitorar continuamente suas comúnicações, roubar informações sensíveis e manter acesso persistente ao fluxo de e-mails - mesmo após a senha da conta ser redefinida pelo administrador. Esta técnica é amplamente empregada em campanhas de espionagem corporativa e fraude financeira no Brasil e na América Latina. Uma vez com acesso à conta de e-mail de um executivo, contador ou gerente de TI, o adversário configura silenciosamente uma regra que encaminha cópias de todos os e-mails para uma conta externa sob seu controle. A vítima continua recebendo os e-mails normalmente, sem perceber que cada mensagem também é entregue ao atacante. No contexto [[government|governamental]] brasileiro, grupos como [[g1004-lapsus|LAPSUS$]] e [[g1033-star-blizzard|Star Blizzard]] exploraram ambientes Microsoft 365 de órgãos públicos e empresas de tecnologia. O impacto é amplificado quando a vítima tem acesso a informações estratégicas: contratos, comúnicações com BACEN, processos licitatórios, dados de clientes protegidos pela [[lgpd|LGPD]] ou comúnicações com boards executivos. A técnica pode ser criada via interface web (OWA, Gmail), aplicativo local (Outlook), linha de comando (PowerShell, EWS), ou através da MAPI (Microsoft Messaging API) - permitindo criar regras ocultas não visíveis na interface do Outlook ou no Exchange Admin Center. > **Técnica pai:** T1114 - Email Collection | **Tática:** Collection ## Attack Flow ```mermaid graph TB A([Credential Access]) --> B([Acesso à Conta<br/>de E-mail]) B --> C(["T1114.003 - Email<br/>Forwarding Rule"]):::highlight C --> D{Método de\nCriação da Regra} D -- OWA/WebUI --> E([Regra via<br/>Interface Web]) D -- PowerShell --> F([New-InboxRule<br/>Exchange Online]) D -- MAPI --> G([Regra Oculta<br/>não visível no Outlook]) E --> H([Encaminhamento<br/>Silencioso de E-mails]) F --> H G --> H H --> I([Coleta Contínua<br/>de Inteligência]) I --> J([Persistência Pós<br/>Reset de Senha]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona **Passo 1 - Acesso Inicial à Conta de E-mail** O adversário obtém credenciais válidas da vítima via [[t1566-phishing|phishing]], [[t1556-credential-stuffing|credential stuffing]], compra em fóruns underground ou através de acesso inicial mais amplo ao ambiente corporativo. Com as credenciais em mãos, autentica-se no webmail (OWA, Outlook Online, Gmail) ou diretamente via APIs Exchange/Graph. O [[g1004-lapsus|LAPSUS$]] é notório por comprar credenciais de funcionários diretamente em grupos do Telegram. **Passo 2 - Criação da Regra de Encaminhamento** O adversário cria uma regra de encaminhamento para uma conta externa sob seu controle. Para evasão, a regra pode ser configurada para: - Encaminhar apenas e-mails de remetentes específicos (ex: CFO, jurídico, CISO) - Encaminhar e-mails com palavras-chave sensíveis no assunto (ex: "contrato", "fatura", "credencial", "acesso") - Mover os e-mails encaminhados para a pasta de itens excluídos imediatamente, ocultando a atividade da vítima - Usar a MAPI para criar regras invisíveis às ferramentas de administração padrão **Passo 3 - Coleta Persistente e Manutenção do Acesso** A partir da criação da regra, cada novo e-mail recebido pela vítima é automaticamente copiado ao atacante - sem necessidade de novo acesso à conta. A persistência é mantida mesmo após um reset de senha, enquanto a regra não for removida. O adversário agora monitora em tempo real negociações, aprovações de transferências, comúnicações internas e qualquer dado estratégico que passe pelo e-mail corporativo. ## Detecção ### Event IDs e Logs Relevantes | Fonte | Log / Event | Descrição | |-------|-------------|-----------| | **Microsoft 365 Audit** | `New-InboxRule` | Criação de nova regra de caixa de entrada via PowerShell/EAC | | **Microsoft 365 Audit** | `Set-InboxRule` | Modificação de regra existente | | **Microsoft 365 Audit** | `UpdateInboxRules` | Atualização via OWA ou cliente Outlook | | **Microsoft 365 Audit** | `MailboxLogin` | Login em caixa de entrada - monitorar IPs anômalos | | **Azure AD / Entra ID** | Sign-in logs | Autenticação de localização incomum ou novo dispositivo | | **Exchange Online** | Transport rules log | Criação de regras de transporte no nível organizacional | ### Sigma Rule - Criação Suspeita de Regra de Encaminhamento ```yaml title: Suspicious Email Forwarding Rule Creation - M365 id: d7b3e9f2-4a18-4c7d-b06e-9f1a3c8d5e2b status: experimental description: > Detecta criação ou modificação de regras de inbox com encaminhamento para endereços externos, indicativo de comprometimento de conta (T1114.003). author: RunkIntel daté: 2026-03-24 tags: - attack.collection - attack.t1114.003 logsource: product: m365 service: exchange detection: selection_new: Operation: - 'New-InboxRule' - 'Set-InboxRule' - 'UpdateInboxRules' filter_forward: Parameters|contains: - 'ForwardTo' - 'ForwardAsAttachmentTo' - 'RedirectTo' filter_external: Parameters|not|contains: - '@empresa.com.br' - '@dominiocorporativo.com' condition: selection_new and filter_forward and filter_external falsepositives: - Encaminhamento legítimo para contas pessoais autorizadas - Configurações de auto-resposta corporativa level: high --- title: Suspicious MAPI Hidden Inbox Rule Creation id: e8c4f1b7-3d52-4a9c-8e07-6b2f4d9a1c83 status: experimental description: > Detecta criação de regras ocultas via MAPI que não aparecem nas ferramentas de administração padrão (T1114.003 - evasão). author: RunkIntel daté: 2026-03-24 tags: - attack.collection - attack.defense_evasion - attack.t1114.003 logsource: product: windows category: process_creation detection: selection: EventID: 4688 NewProcessName|endswith: '\OUTLOOK.EXE' CommandLine|contains: - 'PR_RULE_MSG_PROVIDER' - 'ExtendedProperties' condition: selection falsepositives: - Ferramentas de administração legítimas de Exchange level: medium ``` ## Mitigação | Controle | Mitigação | Aplicação em Organizações Brasileiras | |----------|-----------|---------------------------------------| | [[m1047-audit\|M1047 - Audit]] | Auditar regularmente regras de inbox de contas privilegiadas e executivos; usar `Get-InboxRule` no Exchange Online ou relatórios do Microsoft 365 Defender | Fundamental para compliance com LGPD - detecta vazamento silencioso de dados pessoais e confidenciais | | [[m1042-disable-or-remove-feature-or-program\|M1042 - Desabilitar Funcionalidade]] | Restringir ou desabilitar encaminhamento automático de e-mails para domínios externos via política de transporte no Exchange Online / Google Workspace | Recomendado pelo CIS Benchmark para Microsoft 365; bloqueia o vetor mais comum da técnica | | Autenticação Multifator | Exigir MFA em todas as contas de e-mail corporativas, especialmente contas executivas e privilegiadas | Obrigatório pela resolução BACEN 4.893/2021 para IF; recomendado pela ANPD para controladores de dados sob LGPD | | [[m1041-encrypt-sensitive-information\|M1041 - Criptografia]] | Criptografar e-mails sensíveis com S/MIME ou Microsoft Purview Message Encryption - e-mails encaminhados chegam criptografados e ilegíveis ao atacante | Relevante para comúnicações jurídicas, financeiras e de M&A de empresas brasileiras | | [[m1060-out-of-band-communications-channel\|M1060 - Canal Fora de Banda]] | Mover comúnicações altamente sensíveis para plataformas dedicadas (ex: Signal corporativo, Teams com DLP ativado) - reduz o valor do acesso ao e-mail | Especialmente relevante para comúnicações entre conselho e board em empresas listadas na B3 | | Alertas de Comportamento Anômalo | Configurar alertas no Microsoft 365 Defender ou equivalente para criação de regras de encaminhamento externo fora do horário comercial ou por contas novas | Detecta ataques rapidamente - tempo de resposta é crítico para limitar o volume de dados coletados | ## Threat Actors que Usam - **[[g1015-scattered-spider|Scattered Spider]]** - grupo de crime cibernético anglófono com histórico de ataques a grandes corporações via engenharia social e SIM swapping. Cria regras de encaminhamento após comprometer contas de help desk e executivos para monitorar comúnicações internas sobre o próprio incidente. - **[[g0122-silent-librarian|Silent Librarian]]** - APT iraniano focado em espionagem acadêmica. Compromete contas de professores e pesquisadores universitários brasileiros e latino-americanos para roubar propriedade intelectual via encaminhamento silencioso. - **[[g1004-lapsus|LAPSUS$]]** - grupo de extorsão com membros identificados no Brasil. Amplamente documentado comprometendo ambientes M365 e configurando regras de encaminhamento para monitorar resposta a incidentes de empresas como Samsung, Nvidia e Okta. - **[[g1033-star-blizzard|Star Blizzard]]** - APT russo (FSB) especializado em espionagem contra governo, think tanks e organizações da sociedade civil. Usa encaminhamento de e-mail para monitorar alvos de alto valor na OTAN e parceiros na América Latina. - **[[g0094-kimsuky|Kimsuky]]** - APT norte-coreano focado em coleta de inteligência. Documenta extensivamente uso de regras de encaminhamento em contas de pesquisadores, diplomatas e funcionários governamentais, incluindo alvos sul-americanos ligados a programas nucleares e defesa. --- *Fonte: [MITRE ATT&CK - T1114.003](https://attack.mitre.org/techniques/T1114/003)*