# T1114 - Email Collection ## Descrição E-mails corporativos são um dos ativos de inteligência mais valiosos para adversários. Caixas de entrada concentram comúnicações estratégicas, negociações comerciais, credenciais transmitidas em texto, detalhes de contratos, informações financeiras e - criticamente - dados sobre operações em andamento de resposta a incidentes, o que permite ao atacante ajustar suas táticas em tempo real para manter persistência ou evadir defesas. No Brasil e na América Latina, a coleta de e-mails é um vetor central em campanhas de espionagem corporativa e governo. O grupo iraniano [[g0059-magic-hound|Magic Hound]] (APT35/Charming Kitten) conduziu campanhas extensas de phishing visando universidades brasileiras e instituições de pesquisa para coletar credenciais de webmail e subsequentemente arquivar caixas postais completas via protocolos IMAP/EWS. O [[g0122-silent-librarian|Silent Librarian]] - também de origem iraniana - comprometeu contas de pesquisadores brasileiros em universidades como USP e UNICAMP, extraindo correspondência acadêmica e propriedade intelectual. O [[g1015-scattered-spider|Scattered Spider]] (também conhecido como UNC3944) demonstrou sofisticação ao combinar engenharia social por telefone com acesso a ambientes Microsoft 365 e Google Workspace para configurar regras de encaminhamento automático ([[t1114-003-email-forwarding-rule|T1114.003]]) - redirecionando e-mails silenciosamente para contas externas sob controle do atacante por semanas ou meses sem que a vítima perceba. O [[g1003-ember-bear|Ember Bear]] (UAC-0056, GhostWriter), grupo vinculado à Ucrânia/Rússia, utilizou coleta de e-mails como parte de operações de hack-and-leak, vazando correspondências de figuras políticas. Esse padrão é relevante no contexto da América Latina, onde instabilidade política em vários países cria motivação para operações similares. A técnica divide-se em três sub-técnicas: [[t1114-001-local-email-collection|T1114.001 - Local Email Collection]] (acesso direto a arquivos PST/OST no disco), [[t1114-002-remote-email-collection|T1114.002 - Remote Email Collection]] (acesso via IMAP, EWS, Graph API) e [[t1114-003-email-forwarding-rule|T1114.003 - Email Forwarding Rule]] (persistência silenciosa via regras de encaminhamento). ## Attack Flow ```mermaid graph TB A[Phishing / Credential Theft] --> B[Acesso à Conta de E-mail] B --> C["T1114 - Email Collection<br/>(local / remoto / forwarding)"]:::highlight C --> D[Arquivamento T1560] D --> E[Exfiltração de Dados] E --> F[Espionagem / Hack-and-Leak] classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona **Passo 1 - Obtenção de acesso à caixa postal** O adversário consegue acesso ao e-mail corporativo de uma vítima via credenciais roubadas (phishing, credential stuffing, compra em mercados de acesso inicial), tokens OAuth comprometidos (o [[g1015-scattered-spider|Scattered Spider]] é especialista em manipular MFA via engenharia social por telefone para gerar tokens válidos) ou implantação de malware como o [[s0367-emotet|Emotet]] - que historicamente incluía módulo de coleta de e-mails do Outlook. Em organizações que utilizam o Microsoft 365 ou Google Workspace, o atacante frequentemente utiliza APIs nativas para acesso programático em massa. **Passo 2 - Coleta ou encaminhamento sistemático** Com acesso válido, o adversário escolhe uma das três abordagens: (a) **coleta local** - copia arquivos `.pst`/`.ost` do disco ou exporta via Outlook; (b) **coleta remota** - usa ferramentas como `MailSniper`, conexão IMAP/POP3 direta ou Microsoft Graph API para baixar e-mails em lote com filtragem por palavras-chave sensíveis; (c) **regra de encaminhamento** - configura uma inbox rule silenciosa que redireciona automaticamente todos os e-mails futuros (ou por palavras-chave como "fatura", "contrato", "senha") para uma conta externa, garantindo acesso contínuo sem necessidade de reconexão. O [[g0059-magic-hound|Magic Hound]] combina as abordagens (b) e (c) para máxima cobertura. **Passo 3 - Compressão, arquivamento e exfiltração** O material coletado é empacotado via [[t1560-archive-collected-data|T1560 - Archive Collected Data]] (arquivos `.pst` podem ter dezenas de gigabytes) e exfiltrado para infraestrutura de C2 ou serviços de nuvem legítimos (OneDrive, Dropbox, Google Drive) para dificultar a detecção por ferramentas de inspeção de rede. O [[s1201-translatext|TRANSLATEXT]] - extensão maliciosa de Chrome associada a atores norte-coreanos - captura e-mails diretamente do Gmail via browser sem necessidade de credenciais explícitas. ## Detecção ### Event IDs Relevantes (Windows / Microsoft 365) | Event ID / Log | Fonte | Descrição | |----------------|-------|-----------| | 4663 | Security (Windows) | Acesso a objeto - abertura de arquivos `.pst`/`.ost` por processos não-Outlook | | 4688 | Security (Windows) | Criação de processo - execução de ferramentas de coleta de e-mail (MailSniper, MFASWEEP) | | MailItemsAccessed | Unified Audit Log (M365) | Acesso em massa a itens de e-mail via Graph API ou EWS - requer licença E5 ou Microsoft Purview | | New-InboxRule | Unified Audit Log (M365) | Criação de regra de inbox - especialmente com ação `ForwardTo` ou `RedirectTo` para domínios externos | | Set-MailboxAutoReplyConfiguration | Unified Audit Log (M365) | Configuração de auto-reply suspeita para exfiltração via e-mail | | 11 | Sysmon | FileCreaté - cópia de arquivos `.pst`/`.ost` para diretório temporário | ### Sigma Rule ```yaml title: Suspicious Email Forwarding Rule to External Domain id: 9b3c5d1e-7f2a-4b8c-9e1d-2a3b4c5d6e7f status: experimental description: > Detecta criação de regra de inbox de e-mail com encaminhamento para domínio externo, padrão consistente com T1114.003 - Email Forwarding Rule para exfiltração silenciosa. references: - https://attack.mitre.org/techniques/T1114/003/ author: RunkIntel daté: 2026-03-24 logsource: product: microsoft365 service: exchange detection: selection: eventName: - 'New-InboxRule' - 'Set-InboxRule' Parameters|contains: - 'ForwardTo' - 'RedirectTo' - 'ForwardAsAttachmentTo' filter_internal: Parameters|contains: - '@empresa.com.br' - '@dominiointerno.com' condition: selection and not filter_internal falsepositives: - Usuários configurando encaminhamento legítimo para e-mail pessoal (deve ser política) - Automações de RH/Financeiro com encaminhamento documentado level: high tags: - attack.collection - attack.t1114 - attack.t1114.003 ``` ## Mitigação | ID | Mitigação | Aplicação em Organizações Brasileiras | |----|-----------|---------------------------------------| | [[m1032-multi-factor-authentication\|M1032 - Multi-factor Authentication]] | MFA obrigatório | Implementar MFA resistente a phishing (FIDO2/passkeys) para todos os acessos a e-mail corporativo. O [[g1015-scattered-spider\|Scattered Spider]] demonstra que MFA via SMS/TOTP pode ser bypassado via engenharia social - priorizar chaves de segurança físicas para executivos e áreas críticas. Regulação BACEN 4.658/2018 recomenda MFA para acesso a sistemas críticos. | | [[m1047-audit\|M1047 - Audit]] | Auditoria de e-mail | Habilitar Unified Audit Log no Microsoft 365 (ou equivalente no Google Workspace) com retenção mínima de 180 dias. Monitorar `MailItemsAccessed` para detecção de acesso em massa e `New-InboxRule` para forwarding externo. Licença Microsoft E5 ou Purview Audit (Premium) é necessária para `MailItemsAccessed`. | | [[m1041-encrypt-sensitive-information\|M1041 - Encrypt Sensitive Information]] | Criptografia de e-mail | Implementar S/MIME ou Microsoft Purview Information Protection para e-mails com dados sensíveis (contratos, informações financeiras, dados pessoais LGPD). Criptografia ponta-a-ponta impede leitura mesmo com acesso à caixa postal. | | [[m1060-out-of-band-communications-channel\|M1060 - Out-of-Band Commúnications Channel]] | Canal alternativo | Comúnicações sobre incidentes em andamento, credenciais e dados altamente sensíveis não devem ocorrer por e-mail. Usar canais cifrados fora-de-banda (Signal, plataformas de IR como Slack Enterprise com DLP). Crítico para equipes de SOC e resposta a incidentes. | | Política de encaminhamento | Configuração de tenant | Bloquear encaminhamento automático de e-mails para domínios externos via Exchange Transport Rules (Microsoft 365) ou Google Workspace DLP. Essa configuração é gratuita e elimina [[t1114-003-email-forwarding-rule\|T1114.003]] como vetor de exfiltração persistente. | | Revisão periódica de regras | Governança | Auditar regras de inbox de todos os usuários trimestralmente, especialmente em contas de executivos, jurídico, finanças e RH - alvos primários de campanhas de espionagem corporativa. | ## Threat Actors que Usam - [[g0059-magic-hound|Magic Hound]] (APT35/Charming Kitten) - grupo iraniano com extensa campanha contra universidades e institutos de pesquisa brasileiros; coleta caixas postais completas via IMAP/EWS após phishing de credenciais. Foco em propriedade intelectual acadêmica e comúnicações de pesquisadores em energias alternativas e defesa. - [[g0122-silent-librarian|Silent Librarian]] - também iraniano; operações direcionadas a bibliotecas universitárias e plataformas de pesquisa acadêmica no Brasil; coleta artigos científicos e comúnicações de pesquisadores via acesso a contas comprometidas de portais como IEEE, Elsevier e bases de dados da CAPES. - [[g1015-scattered-spider|Scattered Spider]] (UNC3944) - grupo anglófono de jovens atacantes com sofisticação em engenharia social por telefone; comprometeu grandes corporações acessando Microsoft 365 e Google Workspace para configurar forwarding rules persistentes. Embora com foco inicial nos EUA/Reino Unido, expandiu operações para empresas multinacionais com presença no Brasil. - [[g1003-ember-bear|Ember Bear]] (UAC-0056/GhostWriter) - operador de influência e hack-and-leak vinculado à Bielorrússia e Rússia; coleta e-mails de figuras políticas e jornalistas para operações de desinformação - vetor relevante no ambiente político da América Latina. ## Software Associado - [[s0367-emotet|Emotet]] (malware) - trojan bancário/loader com módulo de coleta de e-mails do Outlook e carnificação de contatos para envio de spam; historicamente o malware mais disseminado no Brasil antes do takedown em 2021 e ressurgência posterior. Usado para coleta de e-mails em fase de reconhecimento e como ponto de partida para ransomware. - [[s1201-translatext|TRANSLATEXT]] (malware) - extensão maliciosa de Chrome atribuída a atores norte-coreanos; captura conteúdo do Gmail e de outros webmails diretamente via DOM injection, sem necessidade de credenciais explícitas - técnica difícil de detectar por soluções tradicionais de endpoint. ## Sub-técnicas - [[t1114-001-local-email-collection|T1114.001 - Local Email Collection]] - [[t1114-002-remote-email-collection|T1114.002 - Remote Email Collection]] - [[t1114-003-email-forwarding-rule|T1114.003 - Email Forwarding Rule]]