t1213-004-customer-relationship-management-software

# T1213.004 - Customer Relationship Management Software ## Descrição Adversários comprometidos dentro de uma organização podem explorar plataformas de **Customer Relationship Management (CRM)** como fonte primária de coleta de dados sensíveis. Sistemas de CRM armazenam uma concentração excepcionalmente alta de informações de alto valor: dados pessoais de clientes (CPF, e-mail, telefone, endereço), histórico de compras, interações de suporte técnico e, em alguns casos, informações financeiras e contratuais. No contexto **Brasil e LATAM**, essa técnica é particularmente relevante dado o crescimento exponencial de empresas que adotaram CRMs em nuvem - especialmente Salesforce, HubSpot, Microsoft Dynamics 365 e Zoho CRM - sem implementar controles de acesso adequados. Grupos de ameaça com motivação financeira frequentemente buscam bases de CRM para viabilizar campanhas de [[t1566-phishing|Phishing]] altamente personalizadas contra clientes de bancos, fintechs, operadoras de telecomúnicações e varejistas brasileiros. O dado extraído de um CRM tem valor duplo: permite **ataques diretos aos clientes finais** (SIM swapping, fraude de cartão, engenharia social) e serve como base para **comprometer outras organizações** na cadeia de suprimentos. Em ambientes SaaS, o acesso malicioso pode ser difícil de distinguir do comportamento legítimo, tornando a detecção desafiadora sem controles de DLP e auditoria de acessos em camada de aplicação. > **Técnica pai:** [[t1213-data-from-information-repositories|T1213 - Data from Information Repositories]] > **Tática:** [[collection|Collection]] --- ## Attack Flow ```mermaid graph TB A([Acesso Inicial Credencial Comprometida]) --> B([Reconhecimento Mapeamento do CRM]) B --> C{T1213.004\nAcesso ao CRM}:::highlight C --> D([Exportação de Dados Clientes / Contratos]) C --> E([Extração de PII CPF / E-mail / Tel]) D --> F([Exfiltração T1048]) E --> F F --> G([Phishing Direcionado T1566 / SIM Swap]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:2px ``` --- ## Como Funciona ### Passo 1 - Acesso à Plataforma CRM O adversário obtém credenciais válidas de um usuário com acesso ao CRM via [[t1566-phishing|Phishing]], [[t1078-valid-accounts|reutilização de credenciais]] ou comprometimento direto do dispositivo do funcionário. Em ambientes sem MFA, uma credencial válida é suficiente para acesso total à plataforma SaaS. ### Passo 2 - Enumeração e Extração de Registros Com acesso autenticado, o adversário navega pelo CRM buscando registros de alto valor: clientes corporativos, contratos ativos, tickets de suporte com informações técnicas sensíveis. Plataformas como Salesforce permitem exportação massiva de dados via relatórios nativos - funcionalidade legítima que pode ser abusada para extrair dezenas de milhares de registros em minutos. ### Passo 3 - Preparação para Uso Ofensivo Os dados extraídos são estruturados para uso em campanhas subsequentes: listas de e-mails para [[t1566-phishing|Spear Phishing]], números de telefone para SIM swapping, histórico de compras para personalizar fraudes de engenharia social. Em organizações financeiras brasileiras, esses dados frequentemente têm valor direto para grupos de fraude que operam no Brasil. --- ## Detecção ### Event IDs Relevantes | Plataforma | Evento | Descrição | |------------|--------|-----------| | Salesforce | `LoginHistory` | Login de IP incomum ou fora do horário comercial | | Salesforce | `ReportExport` | Exportação de relatório com grande volume de registros | | Microsoft Dynamics 365 | `Audit Log - ExportToExcel` | Exportação massiva de registros para Excel | | Microsoft Entra ID | Event ID `4648` | Logon com credenciais explícitas para serviço SaaS | | Microsoft Entra ID | Event ID `4624` / `4625` | Autenticação bem-sucedida / falha em conta de serviço | | HubSpot / Zoho | Activity Log - Bulk Export | Download de contatos acima de limiar definido | ### Sigma Rule - Exportação Massiva de CRM ```yaml title: Exportação Massiva de Dados em CRM SaaS id: a3f2e1d4-9b8c-4a7e-b1f3-2c9d8e4a5b6c status: experimental description: > Detecta exportação de grande volume de registros de CRM (Salesforce, Dynamics 365, HubSpot) por um único usuário em curto intervalo de tempo. Pode indicar coleta de dados por adversário autenticado (T1213.004). logsource: category: application product: salesforce detection: selection: EventType: "ReportExport" RecordsExported|gt: 5000 timeframe: 1h condition: selection | count() by UserId > 3 fields: - UserId - SourceIp - RecordsExported - Timestamp falsepositives: - Migração legítima de dados pelo time de CRM - Relatórios agendados de BI level: high tags: - attack.collection - attack.t1213.004 ``` --- ## Mitigação | Controle | Ação Recomendada para Organizações Brasileiras | Prioridade | |----------|------------------------------------------------|------------| | **Gerenciamento de Contas (M1018)** | Aplicar princípio de menor privilégio: restringir acesso a exportação de dados para perfis específicos. Revisar permissões trimestralmente conforme LGPD | Alta | | **Treinamento de Usuários (M1017)** | Treinar equipes de vendas e suporte sobre riscos de phishing de credenciais. Simular ataques de engenharia social semestralmente | Alta | | **Configuração de Software (M1054)** | Habilitar MFA obrigatório em todos os acessos ao CRM. Configurar alertas nativos de exportação massiva. Restringir acesso por IP (allowlist de IPs corporativos) | Crítica | | **Auditoria (M1047)** | Ativar e reter logs de auditoria por mínimo 1 ano (requisito LGPD/ANPD). Integrar logs ao SIEM para correlação com outros eventos de segurança | Alta | | **DLP em Camada de Aplicação** | Implementar Data Loss Prevention nativo do CRM ou via CASB (Cloud Access Security Broker). Bloquear downloads de listas acima de threshold definido | Média | | **Monitoramento de Sessão** | Registrar e alertar sobre sessões fora do horário padrão ou de localizações geográficas incomuns (Brasil: focar em IPs de outros países) | Alta | --- ## Threat Actors e Software Associado Embora não hajá grupo documentado publicamente como especializado exclusivamente em CRM, a técnica é observada no arsenal de grupos com motivação financeira que operam contra o setor financeiro e varejo no Brasil: - **Grupos de fraude financeira brasileiros** - utilizam dados de CRM de bancos e fintechs para campanhas de [[t1566-phishing|Phishing]] e SIM swapping contra correntistas. O Brasil é um dos maiores mercados de fraude bancária digital do mundo, com prejuízos estimados em bilhões de reais anuais. - **Operadores de ransomware** (ex: [[lockbit|LockBit]], [[blackcat|ALPHV]]) - frequentemente exfiltram dados de CRM antes de cifrar sistemas, usando-os como alavanca de dupla extorsão e para comprometer clientes das vítimas. - [[g1039-redcurl|RedCurl]] - grupo de espionagem corporativa com histórico documentado de coleta de dados de repositórios internos, incluindo sistemas de CRM e documentos de RH, em campanhas que visaram empresas na América Latina. O acesso abusivo a plataformas SaaS está diretamente relacionado a outras técnicas de coleta: [[t1213-003-code-repositories|T1213.003 - Code Repositories]], [[t1530-data-from-cloud-storage|T1530 - Data from Cloud Storage]] e [[t1114-email-collection|T1114 - Email Collection]]. A exfiltração geralmente ocorre via [[t1048-exfiltration-over-alternative-protocol|T1048]] ou por canais legítimos da própria plataforma SaaS. --- *Fonte: [MITRE ATT&CK - T1213.004](https://attack.mitre.org/techniques/T1213/004)*