# T1213.001 - Confluence ## Descrição Adversários exploram repositórios **Confluence** - a plataforma wiki colaborativa da Atlassian - para extrair informações estratégicas de alto valor. O Confluence é amplamente adotado por equipes de desenvolvimento, TI e segurança para documentar arquiteturas de sistemas, processos internos, credenciais de teste e diagramas de rede. Por essa razão, um único acesso legítimo comprometido pode expor o mapa completo da infraestrutura de uma organização. No contexto **Brasil e América Latina**, o uso do Confluence cresceu significativamente entre fintechs, bancos digitais, operadoras de telecomúnicações e grandes empresas de tecnologia. Organizações que adotam o Confluence Cloud (SaaS) frequentemente centralizam documentação crítica sem os controles de acesso adequados, tornando-se alvos atrativos para grupos como o [[g1004-lapsus|LAPSUS$]], que em 2022 comprometeu dezenas de empresas utilizando credenciais roubadas para acessar instâncias Confluence internas. O ataque tipicamente ocorre **após o acesso inicial** - sejá via [[t1566-phishing|Phishing]], [[t1078-valid-accounts|Valid Accounts]] ou [[t1190-exploit-public-facing-application|Exploit Public-Facing Application]] - quando o adversário busca mapear o ambiente, encontrar credenciais adicionais e identificar sistemas de alta relevância para [[t1074-data-staged|Data Staged]] ou exfiltração. > **Técnica pai:** [[t1213-data-from-information-repositories|T1213 - Data from Information Repositories]] --- ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B[Credencial Comprometida<br/>ou Session Token] B --> C[Login no Confluence<br/>Cloud / Data Center] C --> D{Busca por conteúdo\nsensível} D --> E[Documentação de<br/>Arquitetura / Redes] D --> F[Credenciais de<br/>Ambientes de Teste] D --> G[Diagramas de<br/>Infraestrutura] E --> H(["T1213.001 - Confluence<br/>(COLETAR)"]):::highlight F --> H G --> H H --> I[Exfiltração via<br/>Download em Massa] H --> J[Pivô para Outros<br/>Sistemas Internos] style H fill:#e74c3c,color:#fff ``` --- ## Como Funciona **Passo 1 - Obtenção de Acesso** O adversário obtém credenciais válidas de um usuário Confluence via [[t1566-phishing|Phishing]], compra em fóruns criminosos, ou reutilização de senhas vazadas. Em ambientes SaaS, tokens de API e cookies de sessão roubados também são vetores frequentes. O grupo [[g1004-lapsus|LAPSUS$]] usou sistematicamente credenciais de funcionários para acessar instâncias Confluence corporativas no Brasil e na Europa. **Passo 2 - Reconhecimento e Coleta no Repositório** Com acesso autenticado, o adversário realiza buscas por termos sensíveis como `password`, `secret`, `vpn`, `admin`, `credentials`, `token` e `prod`. Ferramentas de automação e scrapers permitem download em massa de páginas inteiras. O Confluence armazena em um único espaço: diagramas de rede, credenciais de ambientes de desenvolvimento, chaves de API, configurações de sistemas legados e documentação de processos de resposta a incidentes - informações que agilizam ataques subsequentes. **Passo 3 - Uso Operacional das Informações** As informações coletadas alimentam outras técnicas: credenciais encontradas viabilizam [[t1552-unsecured-credentials|Unsecured Credentials]] e [[t1078-valid-accounts|Valid Accounts]]; diagramas de rede permitem [[t1018-remote-system-discovery|Remote System Discovery]] preciso; documentação de processos pode revelar lacunas de segurança exploráveis. O conteúdo também é usado para operações de extorsão, como práticado pelo [[g1004-lapsus|LAPSUS$]]. --- ## Detecção ### Event IDs Relevantes (Confluence Audit Log) | Event ID / Evento | Plataforma | Indicador de Comprometimento | |---|---|---| | `page.viewed` em massa | Confluence Cloud/DC | Acesso a dezenas de páginas em intervalo curto | | `space.export` | Confluence Data Center | Exportação completa de espaço - raro em uso legítimo | | `user.login` de IP inesperado | Confluence Cloud | Geolocalização incompatível com histórico do usuário | | `content.search` com termos sensíveis | Confluence Cloud | Busca por `password`, `secret`, `vpn`, `token` | | `attachment.download` em volume | Confluence DC | Downloads em massa de anexos (ex.: diagramas, planilhas) | ### Regra Sigma ```yaml title: Confluence - Acesso Programático ou Excessivo a Documentação id: a3f7c182-9e1b-4d2a-bfc4-8e3a9d2c5f61 status: experimental description: > Detecta padrão de acesso excessivo a páginas Confluence que pode indicar coleta automatizada de documentação interna (T1213.001). author: RunkIntel daté: 2026-03-24 logsource: product: confluence service: audit detection: selection: eventType: - "page.viewed" - "content.search" - "attachment.download" timeframe: 5m condition: selection | count() by user > 50 falsepositives: - Exportações legítimas de documentação por equipe de engenharia - Integrações de CI/CD acessando Confluence via API level: medium tags: - attack.collection - attack.t1213.001 ``` --- ## Mitigação | Controle | Mitigação MITRE | Aplicação para Organizações Brasileiras | |---|---|---| | Treinamento de usuários | [[m1017-user-training\|M1017 - User Training]] | Conscientizar equipes sobre risco de compartilhar credenciais e clicar em links de phishing. Essencial para empresas que usam Confluence Cloud no Brasil, onde a adoção SaaS cresce rapidamente sem maturidade de segurança equivalente. | | Auditoria periódica | [[m1047-audit\|M1047 - Audit]] | Revisar permissões de espaços Confluence trimestralmente. Remover acesso de ex-funcionários imediatamente (LGPD, Art. 46 - medidas de segurança). Ativar logs de auditoria na instância e integrá-los ao SIEM. | | Gestão de contas | [[m1018-user-account-management\|M1018 - User Account Management]] | Aplicar princípio do menor privilégio: restringir acesso de leitura por espaço. Exigir MFA para todos os usuários do Confluence Cloud. Monitorar e revogar tokens de API não utilizados. | | Monitoramento comportamental | - | Implementar UEBA (User and Entity Behavior Analytics) para detectar picos de acesso. Alertar sobre acessos fora do horário comercial ou de IPs não reconhecidos. | | Classificação de conteúdo | - | Proibir armazenamento de credenciais reais no Confluence. Usar cofres de senhas (ex.: HashiCorp Vault, AWS Secrets Manager) para segredos. Publicar política interna com exemplos de conteúdo proibido. | --- ## Threat Actors que Usam ### [[g1004-lapsus|LAPSUS$]] O grupo [[g1004-lapsus|LAPSUS$]] é o ator mais documentado no uso de T1213.001. Operando principalmente com objetivos de extorsão e notoriedade, o grupo comprometeu instâncias Confluence de grandes corporações entre 2021 e 2022 - incluindo Nvidia, Samsung, Microsoft e empresas brasileiras de telecomúnicações. O método padrão envolvia compra de credenciais em fóruns de crime cibernético ou recrutamento de insiders com acesso às plataformas Atlassian. O [[g1004-lapsus|LAPSUS$]] usava os dados coletados do Confluence para mapear sistemas internos e escalar privilégios antes da exfiltração final. **Relevância LATAM:** O [[g1004-lapsus|LAPSUS$]] tem membros identificados no Brasil e no Reino Unido, com histórico de ataques a empresas da região. Casos confirmados incluem vazamentos de dados de operadoras e fornecedores de tecnologia brasileiros. --- ## Software Associado Não há ferramentas específicas catalogadas no MITRE para T1213.001. O acesso ao Confluence ocorre majoritariamente via: - Browsers autenticados com sessões roubadas ([[t1539-steal-web-session-cookie|Steal Web Session Cookie]]) - Scripts Python/curl com tokens de API roubados - Ferramentas de export nativas do Confluence (Space Export, PDF Export) - Integrações de terceiros comprometidas com acesso OAuth ao Confluence --- *Fonte: [MITRE ATT&CK - T1213.001](https://attack.mitre.org/techniques/T1213/001)*