# T1213.005 - Messaging Applications ## Técnica Pai Esta é uma sub-técnica de [[t1213-data-from-information-repositories|T1213 - T1213 - Data from Information Repositories]]. ## Descrição **Messaging Applications** é uma sub-técnica de [[t1213-data-from-information-repositories|T1213 - Data from Information Repositories]] que descreve a mineração de dados sensíveis diretamente de plataformas de comunicação corporativa - Microsoft Teams, Slack, Google Chat, Discord e equivalentes - após um adversário obter acesso autenticado ao ambiente SaaS da vítima. O diferencial dessa técnica em relação ao spear-phishing tradicional está na riqueza dos dados disponíveis: conversas corporativas contêm credenciais de teste, snippets de código-fonte, links para compartilhamentos de rede, discussões sobre resposta a incidentes em andamento e até decisões estratégicas de negócio. Para um adversário com acesso a um único token OAuth comprometido, uma busca estruturada no histórico do Teams ou Slack pode substituir semanas de reconhecimento manual. No Brasil e na América Latina, a adoção acelerada de Microsoft 365 e Google Workspace no setor corporativo - incluindo bancos, fintechs e empresas de infraestrutura crítica - ampliou dramaticamente a superfície de ataque. O grupo [[g1004-lapsus|LAPSUS$]], de origem predominantemente sul-americana, tornou-se mundialmente conhecido por explorar exatamente esse vetor: após comprometer contas corporativas via [[t1566-phishing|phishing]] ou compra de credenciais em fóruns, os operadores vasculhavam canais internos do Teams e Slack em busca de senhas, tokens e acesso a repositórios de código. > [!danger] LAPSUS$ e o Vetor LATAM > O [[g1004-lapsus|LAPSUS$]] demonstrou em 2021–2022 que empresas globais de tecnologia - incluindo Microsoft, NVIDIA, Samsung e Uber - eram vulneráveis a ataques simples baseados em engenharia social + mineração de mensagens corporativas. A origem do grupo na América do Sul evidência que a ameaça é endógena à região. --- ## Attack Flow ```mermaid graph TB A([Acesso Inicial<br/>Conta SaaS Comprometida]) --> B([Reconhecimento<br/>Mapeamento de Canais e Grupos]) B --> C([T1213.005<br/>MESSAGING APPLICATIONS], style C fill:#e74c3c,color:#fff) C --> D([Coleta de Credenciais<br/>Tokens / Senhas em Chat]) C --> E([Coleta de Código<br/>Snippets / Repositórios]) C --> F([Inteligência Operacional<br/>IR em Andamento / Decisões]) D & E & F --> G([Movimentação Lateral<br/>T1550 / T1078]) G --> H([Exfiltração<br/>T1567 Exfiltration to Cloud]) ``` --- ## Como Funciona ### Passo 1 - Obtenção de Acesso Autenticado à Plataforma O adversário obtém acesso ao ambiente de mensagens corporativo por meio de credenciais comprometidas ([[t1078-valid-accounts|T1078 - Valid Accounts]]), tokens OAuth roubados via [[t1566-phishing|phishing]] de consentimento, ou sessões sequestradas após comprometer o dispositivo de um funcionário. Em alguns casos, como observado no modus operandi do [[g1015-scattered-spider|Scattered Spider]], o acesso é obtido via reset de MFA através de engenharia social com o helpdesk corporativo. ### Passo 2 - Mineração Sistemática de Conversas Com acesso autenticado, o adversário utiliza as APIs nativas da plataforma (Microsoft Graph API para Teams, Slack API, Google Chat API) ou a interface web para realizar buscas por termos de alto valor: `password`, `secret`, `token`, `vpn`, `admin`, `prod`, `aws`, `azure`. Canais de DevOps, TI e segurança são alvos prioritários por concentrarem discussões técnicas com dados sensíveis. O [[g0117-fox-kitten|Fox Kitten]] foi documentado usando esse método para mapear infraestrutura-alvo antes de implantar ransomware. ### Passo 3 - Extração e Uso dos Dados Coletados As informações coletadas alimentam etapas subsequentes do ataque: credenciais encontradas são testadas em outros sistemas ([[t1550-use-alternate-authentication-material|T1550]]), links de compartilhamento levam a repositórios de código e drives corporativos ([[t1213-data-from-information-repositories|T1213]]), e discussões sobre resposta a incidentes permitem que o adversário adapte seu comportamento para evitar detecção. O [[g1004-lapsus|LAPSUS$]] documentou públicamente dados roubados dessa forma em seu canal do Telegram. --- ## Detecção ### Event IDs e Logs Relevantes | Fonte | Log / Sinal | Descrição | |-------|-------------|-----------| | Microsoft 365 Audit | `SearchQueryInitiatedSharePoint` / `SearchQueryInitiatedExchange` | Buscas em massa por termos sensíveis em Teams/SharePoint | | Microsoft 365 Audit | `MemberAdded` em canais privados | Adversário adicionando conta a canais restritos | | Azure AD | Sign-in com IP de proxy / país incomum | Acesso autenticado de localização anômala | | Slack Audit API | `files.list`, `conversations.history` em alto volume | Extração automatizada de histórico via API | | Google Workspace | `DRIVE_DOWNLOAD` em lote + `CHAT_MESSAGE_DELETED` | Download de arquivos + cobertura de rastros | | UEBA (Qualquer) | Anomalia de volume de mensagens lidas em curto período | Padrão de leitura inconsistente com comportamento histórico | ### Regra Sigma - Extração em Massa via Microsoft Graph API ```yaml title: Suspicious Microsoft Graph API Mass Message Collection id: b7e2a1f3-c4d5-6789-bcde-fa2345678901 status: experimental description: > Detecta uso anômalo da Microsoft Graph API para coletar histórico de mensagens do Teams em alto volume - padrão de mineração de dados por adversário com token OAuth comprometido. author: RunkIntel daté: 2026/03/24 references: - https://attack.mitre.org/techniques/T1213/005 logsource: product: azure service: signinlogs detection: selection_api: AppDisplayName: 'Microsoft Graph' ResourceDisplayName: 'Microsoft Teams' UserAgent|contains: - 'python-requests' - 'curl/' - 'Go-http-client' selection_volume: ResultType: '0' filter_legit_apps: AppId|contains: - '1fec8e78-bce4-4aaf-ab1b-5451cc387264' # Teams official condition: selection_api and selection_volume and not filter_legit_apps falsepositives: - Integrações legítimas de terceiros com Microsoft Teams - Ferramentas de compliance e eDiscovery autorizadas level: high tags: - attack.collection - attack.t1213.005 - attack.t1078 ``` --- ## Mitigação | Controle | Ação Recomendada | Prioridade para Org. Brasileiras | |---------|-----------------|----------------------------------| | [[m1017-user-training\|M1017 - Treinamento de Usuários]] | Treinar funcionários para nunca compartilhar credenciais, tokens ou senhas em canais de chat - mesmo em DMs "privadas" | Alta - maioria dos incidentes começa com dado sensível em chat | | [[m1047-audit\|M1047 - Auditoria]] | Habilitar logs de auditoria detalhados no Microsoft 365 / Google Workspace e configurar retenção mínima de 90 dias | Alta - fundamental para investigação pós-incidente | | [[m1060-out-of-band-communications-channel\|M1060 - Canal Fora de Banda]] | Usar canal seguro separado (ex.: Signal corporativo) para comunicação sensível durante resposta a incidentes | Alta - evita vazamento de IR via Teams/Slack comprometido | | Conditional Access / Zero Trust | Exigir dispositivo gerenciado (Intune/Jámf) e MFA resistente a phishing (FIDO2) para acesso a plataformas SaaS | Alta para bancos e fintechs brasileiras | | DLP em plataformas de mensagens | Configurar políticas de DLP no Teams/Slack para detectar e bloquear envio de padrões sensíveis (senhas, tokens, chaves) | Média - reduz exposição acidental e intencional | | Revisão de consentimento OAuth | Auditar e revogar aplicações OAuth com escopos excessivos (ex.: `Chat.Read.All`, `ChannelMessage.Read.All`) | Alta - vetor primário de acesso não autorizado via API | | UEBA (User and Entity Behavior Analytics) | Monitorar padrões anômalos de leitura de mensagens (volume, horário, canal) | Média - detecta mineração automatizada de mensagens | --- ## Threat Actors que Usam ### [[g1004-lapsus|LAPSUS$]] - Crime Financeiro / Extorsão, LATAM Grupo de origem sul-americana (Brasil/Reino Unido) especializado em comprometer ambientes SaaS corporativos e minerar chats internos em busca de credenciais. Responsável por vazamentos de código-fonte da Microsoft, NVIDIA, Samsung e Uber entre 2021 e 2022. Usa [[t1566-phishing|phishing]] + engenharia social contra helpdeks como vetor de acesso inicial. ### [[g1015-scattered-spider|Scattered Spider]] - Crime Organizado, EN/US Grupo anglófono com operações sobrepostas ao [[g1004-lapsus|LAPSUS$]] que combina vishing, SIM swapping e mineração de mensagens corporativas. Documentado realizando buscas sistemáticas no Slack e Teams de vítimas por termos como `password`, `vpn` e `okta`. Responsável por ataques a MGM Resorts e Caesars Entertainment em 2023. ### [[g0117-fox-kitten|Fox Kitten]] - Irã, Estado-Nação APT iraniano documentado comprometendo ambientes de colaboração corporativa para mapear infraestrutura antes de implantar ransomware ou conduzir espionagem. Utiliza acesso a mensagens corporativas para identificar contatos internos, fluxos de aprovação e pontos cegos de segurança. --- *Fonte: [MITRE ATT&CK - T1213.005](https://attack.mitre.org/techniques/T1213/005)*