t1213-data-from-information-repositories

# T1213 - Data from Information Repositories ## Descrição Adversários exploram repositórios de informação corporativos para minerar dados de alto valor antes ou durante uma intrusão. Esses repositórios - como wikis internos, plataformas de colaboração, sistemas de CRM e bases de código - concentram informações sensíveis que raramente recebem o mesmo nível de proteção que bancos de dados de produção. No contexto do Brasil e da América Latina, essa técnica é particularmente relevante em ataques contra o **setor financeiro** e o **governo**, onde plataformas como [[t1213-001-confluence|Confluence]], [[t1213-002-sharepoint|SharePoint]] e Microsoft Teams armazenam documentação técnica, diagramas de rede, políticas internas e, muitas vezes, credenciais de teste. Grupos como [[g0007-apt28|APT28]] demonstraram capacidade de acessar repositórios corporativos após comprometer contas com privilégios insuficientes. O vetor de exploração mais comum observado na região envolve credenciais vazadas de acessos SaaS (reutilização de senhas, ausência de MFA) que permitem ao adversário autenticar-se silenciosamente como um usuário legítimo e extrair documentação durante semanas sem disparar alertas. Plataformas configuradas com permissões excessivamente abertas - incluindo acesso de leitura para todos os colaboradores - amplificam o impacto: um único comprometimento de conta pode expor toda a base de conhecimento da organização. As sub-técnicas incluem coleta de [[t1213-003-code-repositories|repositórios de código]], [[t1213-006-databases|bancos de dados]], [[t1213-005-messaging-applications|aplicações de mensagens]], [[t1213-004-customer-relationship-management-software|sistemas CRM]], [[t1213-002-sharepoint|SharePoint]] e [[t1213-001-confluence|Confluence]]. Dados exfiltrados frequentemente alimentam etapas subsequentes como [[t1552-unsecured-credentials|Unsecured Credentials]] e movimentação lateral, ou são transferidos via [[t1537-transfer-data-to-cloud-account|Transfer Data to Cloud Account]]. --- ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B[Comprometimento de Credencial] B --> C[Autenticação no Repositório Corporativo] C --> D:::highlight[T1213 - Coleta de Repositórios de Informação] D --> E[Exfiltração via Compartilhamento Externo] D --> F[Movimentação Lateral] E --> G([Impacto / Vazamento]) F --> H([Escalada de Privilégios]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:2px ``` --- ## Como Funciona **Passo 1 - Reconhecimento e autenticação silenciosa** Após obter credenciais válidas (via phishing, credential stuffing ou vazamento anterior), o adversário autentica-se na plataforma de colaboração alvo. Não há execução de código malicioso - toda a interação ocorre via interfaces legítimas, o que dificulta a detecção. Plataformas SaaS como Confluence Cloud e SharePoint Online registram logins, mas raramente disparam alertas para acesso de IPs incomuns se o usuário já possui sessão ativa. **Passo 2 - Enumeração e mapeamento de conteúdo** O adversário navega sistematicamente pelos espaços do repositório, priorizando páginas com termos como "credenciais", "infraestrutura", "VPN", "firewall", "arquitetura" e "diagrama". Em ambientes mal configurados, APIs como a REST API do Confluence (`/rest/api/content/search`) permitem busca programática em todo o repositório com uma única conta autenticada. **Passo 3 - Extração e staging** O conteúdo relevante é baixado em lote (export PDF, download de espaço, ou via API) e preparado para exfiltração. Em casos documentados pelo [[g0007-apt28|APT28]], documentos foram compartilhados externamente usando as próprias funcionalidades nativas da plataforma antes de qualquer extração ativa, aproveitando-se de políticas permissivas de compartilhamento externo. --- ## Detecção ### Event IDs Relevantes (Windows / Office 365) | Plataforma | Event ID / Log | Evento | |---|---|---| | Windows | Event ID 4663 | Acesso a objeto - monitorar reads em massa em shares | | Windows | Event ID 4688 | Criação de processo - ferramentas de export (curl, wget) | | Microsoft 365 | Unified Audit Log `FileDownloaded` | Download em massa de arquivos SharePoint | | Microsoft 365 | Unified Audit Log `SharingInvitationCreated` | Compartilhamento externo não autorizado | | Confluence | Audit Log `space.export` | Export completo de espaço | | Confluence | Audit Log `content.search` | Buscas via API REST programática | ### Regra Sigma ```yaml title: Acesso em Massa a Repositório de Informações Corporativas id: a3f1c2e7-8b4d-4f9a-bc12-7d3e5f6a0c91 status: experimental description: > Detecta download ou acesso em massa a arquivos em repositórios colaborativos, indicando possível coleta T1213. Relevante para ambientes SharePoint e Confluence. author: RunkIntel daté: 2026-03-24 logsource: category: cloud product: microsoft365 detection: selection: eventSource: SharePoint eventName: - FileDownloaded - FileAccessed timeframe: 10m condition: selection | count() by UserId > 50 falsepositives: - Migrações de dados legítimas - Backups automatizados configurados level: medium tags: - attack.collection - attack.t1213 ``` --- ## Mitigação | Controle | Mitigação MITRE | Aplicação para Organizações Brasileiras | |---|---|---| | MFA em todas as plataformas SaaS | [[m1032-multi-factor-authentication\|M1032]] | Habilitar MFA no Microsoft 365, Google Workspace e Confluence - prioridade máxima para contas de admin | | Princípio do menor privilégio | [[m1018-user-account-management\|M1018]] | Revisar permissões de espaços no Confluence e sites no SharePoint - eliminar acesso "todos os colaboradores" | | Auditorias periódicas de acesso | [[m1047-audit\|M1047]] | Executar relatórios mensais de compartilhamentos externos e downloads em massa | | Treinamento de conscientização | [[m1017-user-training\|M1017]] | Incluir cenários de engenharia social focados em roubo de credenciais de SaaS nos programas LGPD-compliance | | Criptografia de dados sensíveis | [[m1041-encrypt-sensitive-information\|M1041]] | Classificar e criptografar documentos com dados PII, credenciais e diagramas de infraestrutura | | Configuração segura de plataformas | [[m1054-software-configuration\|M1054]] | Desabilitar compartilhamento externo por padrão; auditar integrações OAuth de terceiros | --- ## Threat Actors e Software Associado ### Threat Actors **[[g0007-apt28|APT28]]** (Fancy Bear / GRU) é o principal ator documentado explorando T1213 em operações de espionagem contra governos e organizações de defesa. Na América Latina, o grupo demonstrou interesse em repositórios de organizações vinculadas a processos eleitorais e setores de infraestrutura crítica. Seu modus operandi envolve comprometer contas de usuários regulares para acessar documentação técnica sem disparar alertas de contas privilegiadas. ### Software - **[[s1148-raccoon-stealer|Raccoon Stealer]]** - infostealer que captura credenciais armazenadas em navegadores e aplicativos, frequentemente usadas para acessar plataformas SaaS como passo inicial antes da coleta T1213 - **[[s1196-troll-stealer|Troll Stealer]]** - malware atribuído a grupos norte-coreanos com módulo específico para extração de conteúdo de plataformas de colaboração ### Sub-técnicas Relacionadas - [[t1213-001-confluence|T1213.001 - Confluence]] - [[t1213-002-sharepoint|T1213.002 - SharePoint]] - [[t1213-003-code-repositories|T1213.003 - Code Repositories]] - [[t1213-004-customer-relationship-management-software|T1213.004 - CRM Software]] - [[t1213-005-messaging-applications|T1213.005 - Messaging Applications]] - [[t1213-006-databases|T1213.006 - Databases]] --- *Fonte: [MITRE ATT&CK - T1213](https://attack.mitre.org/techniques/T1213)*