# T1552.008 - Chat Messages ## Descrição Adversários podem coletar diretamente credenciais não protegidas armazenadas ou transmitidas por meio de serviços de comunicação corporativa. Credenciais são enviadas e armazenadas com surpreendente frequência em plataformas de mensagens como Microsoft Teams, Slack, Discord corporativo, Google Chat, ferramentas de gerenciamento de projetos como Jira, Trello e Confluence, e em sistemas de e-mail - frequentemente de forma não intencional por usuários que desconhecem os riscos. Os tipos mais comuns de credenciais compartilhadas em mensagens incluem: senhas de serviços internos, tokens de API (AWS, GitHub, Stripe, Twilio), chaves privadas, credenciais de banco de dados em strings de conexão, cookies de sessão, e até credenciais de VPN em onboarding de funcionários remotos. Desenvolvedores têm o hábito de compartilhar variáveis de ambiente ou arquivos `.env` de forma direta em canais de suporte técnico. Esta técnica é uma sub-técnica de [[t1552-unsecured-credentials|T1552 - Unsecured Credentials]] e se diferencia de [[t1552-001-credentials-in-files|T1552.001 - Credentials in Files]] porque o adversário não acessa arquivos armazenados no sistema de arquivos, mas sim acessa os serviços de comunicação diretamente - sejá através do endpoint do usuário, de APIs de administração na nuvem, ou comprometendo os próprios servidores que hospedam as plataformas. O grupo [[g1004-lapsus|LAPSUS$]], responsável por comprometimentos de alto perfil contra Nvidia, Samsung, Ubisoft, Okta, Microsoft e outras organizações entre 2021 e 2022, ficou notório pelo uso extensivo dessa técnica. O grupo buscava ativamente em plataformas como Confluence, Jira, Slack e repositórios de código credenciais que permitissem acesso a sistemas adicionais, demonstrando a eficácia real desta sub-técnica em organizações que não controlam o compartilhamento de secrets em ferramentas colaborativas. > **Técnica pai:** [[t1552-unsecured-credentials|T1552 - Unsecured Credentials]] > **Tática:** [[_credential-access|Credential Access]] --- ## Como Funciona ### Vetor 1 - Busca manual em plataformas comprometidas Após ganhar acesso inicial a uma conta de usuário ou administrador em plataformas SaaS, o adversário realiza buscas direcionadas por palavras-chave que tipicamente precedem credenciais: ``` Termos de busca comuns no Slack/Teams: - "password", "senha", "pass", "pwd" - "token", "api_key", "secret", "credential" - "connection string", "jdbc:", "postgresql://" - "BEGIN RSA PRIVATE KEY" - "AKIA" (prefixo de Access Key ID da AWS) - "-----BEGIN" (chaves privadas PEM) ``` A busca pode ser feita diretamente pela interface do usuário, via API dos serviços (Slack API, Microsoft Graph API) ou por automações como Workflows do Slack. ### Vetor 2 - Comprometimento de integrations e bots Plataformas de colaboração possuem ecossistemas de integrações. Adversários comprometem: - **Bots do Slack/Teams** com permissões de leitura de mensagens - **Webhooks de entrada** para interceptar notificações que podem conter dados sensíveis - **Apps OAuth** com escopos excessivos que permitem leitura de histórico de mensagens ### Vetor 3 - Acesso a backups e exportações Administradores de Slack, Teams e Google Workspace podem exportar históricos de mensagens. Essas exportações frequentemente são armazenadas em S3 buckets, SharePoint ou Google Drive, tornando-se alvos secundários de acesso não autorizado. ### Vetor 4 - Acesso via portal de administração Em SaaS corporativo, administradores globais (Global Admins no Microsoft 365, Workspace Admins no Google) têm acesso a todos os dados da organização. Comprometimento de uma conta de admin equivale a acesso irrestrito a todo o histórico de comúnicações. --- ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B{Método de Entrada} B --> C[Phishing de credencial SaaS] B --> D[Compra de acesso em underground] B --> E[Comprometimento de funcionário via engenharia social] B --> F[Exploração de app OAuth malicioso] C --> G[Acesso à plataforma de comúnicação] D --> G E --> G F --> G G --> H[Mapeamento da organização] H --> I[Busca por palavras-chave sensíveis] I --> J{Tipo de credencial encontrada} J --> K[Tokens de API cloud - AWS, GCP, Azure] J --> L[Credenciais de banco de dados] J --> M[Senhas de sistemas internos] J --> N[Chaves SSH / certificados] K --> O[Acesso a recursos cloud] L --> P[Acesso a dados sensíveis] M --> Q[Movimentação Lateral] N --> R[Acesso a servidores via SSH] O --> S[Exfiltração de dados ou Ransomware] P --> S Q --> S R --> S ``` --- ## Exemplos de Uso ### Exemplo 1 - LAPSUS$ e o Okta Breach (2022) O grupo [[g1004-lapsus|LAPSUS$]] comprometeu a Okta em janeiro de 2022 através de um subcontratado (Sitel/Sykes). Após obter acesso ao ambiente de suporte, o grupo documentou a busca sistemática em plataformas de comúnicação interna por credenciais. Screenshots publicados pelos próprios membros do grupo mostravam acesso ao Slack interno da Okta e buscas por tokens e credenciais de sistemas críticos. ### Exemplo 2 - Tokens AWS em canais de onboarding Um padrão documentado em múltiplos incidentes de segurança em empresas de tecnologia brasileiras e globais: canais de Slack criados para onboarding de novos desenvolvedores frequentemente contêm mensagens com instruções de acesso que incluem credenciais temporárias (ou não tão temporárias) da AWS: ``` "Olá! Para acessar o ambiente de dev, use estas credenciais temporárias: AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE AWS_SECRET_ACCESS_KEY=wJálrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY Região: us-east-1" ``` Adversários com acesso a histórico de mensagens frequentemente encontram essas credenciais mesmo meses após o envio original, pois raramente são rotacionadas. ### Exemplo 3 - Automação via Slack Workflows O [[g1004-lapsus|LAPSUS$]] documentou o uso de Slack Workflows (ferramenta de automação nativa do Slack) para buscar automaticamente em conversas por padrões de credenciais. Essa abordagem é particularmente perigosa porque opera dentro das permissões legítimas da plataforma e gera logs de acesso indistinguíveis de uso normal. --- ## Detecção ### Regra Sigma - Acesso massivo a mensagens via API ```yaml title: Acesso suspeito em massa a mensagens via API de colaboração status: experimental description: > Detecta padrões de acesso a APIs de plataformas de colaboração que indicam busca automatizada por credenciais em histórico de mensagens. logsource: category: application product: saas_audit detection: selection_slack: EventType: 'message.search' SearchQuery|contains: - 'password' - 'token' - 'secret' - 'api_key' - 'credential' selection_high_volume: EventCount|gte: 50 TimeWindow: '1h' condition: selection_slack and selection_high_volume level: high tags: - attack.credential_access - attack.t1552.008 falsepositives: - Ferramentas de DLP realizando varreduras programadas - Auditoria interna de segurança autorizada ``` ### Regra Sigma - App OAuth com escopos excessivos ```yaml title: Instalação de app OAuth com permissões de leitura de mensagens status: experimental logsource: category: audit product: microsoft_365 detection: selection: Operation: 'Add service principal.' ModifiedProperties|contains: 'ChannelMessage.Read.All' condition: selection level: medium tags: - attack.credential_access - attack.t1552.008 ``` ### Indicadores de Comprometimento (comportamentais) - Pico anormal de chamadas à API de busca de mensagens fora do horário comercial - Conta de usuário acessando canais de outros departamentos sem histórico de acesso - Criação de Workflow/Bot com permissões de leitura de mensagens por usuário não-admin - Exportação de histórico de mensagens por conta que não é administrador - Acesso a canais de onboarding/documentação técnica por conta recém-criada ou comprometida ### Monitoramento no Microsoft 365 / Purview | Log | Evento | Suspeito | |-----|--------|----------| | Unified Audit Log | `SearchQueryInitiatedUnified` | Buscas por "password", "token", "secret" | | Azure AD | `OAuth2PermissionGrant` | Apps com escopos `ChannelMessage.Read` ou `Mail.Read` | | Teams Admin | App installs | Instalação de apps de terceiros com histórico curto | --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1047 | [[m1047-audit\|M1047 - Audit]] | Realizar auditorias regulares de apps OAuth instalados nos tenants SaaS, revogar escopos excessivos. Monitorar exportações de histórico de mensagens. Verificar permissões de bots e integrações. | | M1017 | [[m1017-user-training\|M1017 - User Training]] | Treinar usuários para NUNCA compartilhar credenciais, tokens ou strings de conexão em plataformas de chat, mesmo em DMs privadas. Estabelecer canais seguros (cofres de senha, secret managers) como alternativa. | ### Controles adicionais recomendados - **Implementar DLP (Data Loss Prevention)** nas plataformas de colaboração para detectar e bloquear automaticamente padrões de credenciais (regex para tokens AWS AKIA, chaves PEM, etc.) - **Usar secret managers** como AWS Secrets Manager, HashiCorp Vault ou Azure Key Vault - e educar desenvolvedores a nunca copiar secrets para chat - **Revisar e limitar apps OAuth** instalados no tenant; adotar processo de aprovação para novos apps - **Habilitar MFA resistente a phishing** (FIDO2/passkeys) para contas SaaS corporativas - **Rotacionar credenciais compartilhadas** que possam ter aparecido em mensagens históricas - **Implementar Conditional Access** para restringir acesso a plataformas de colaboração a dispositivos gerenciados --- ## Contexto Brasil/LATAM A técnica T1552.008 é particularmente relevante no contexto brasileiro e latino-americano, onde a adoção acelerada de ferramentas SaaS nem sempre foi acompanhada por controles de segurança adequados. ### Adoção de SaaS sem maturidade de segurança O Brasil é um dos maiores mercados de SaaS da América Latina. A adoção massiva de Microsoft Teams, Slack, e Google Workspace por empresas de todos os tamanhos criou um vasto ecossistema de dados sensíveis em plataformas de nuvem. Pequenas e médias empresas frequentemente adotam essas ferramentas sem políticas de uso seguro, treinamento de funcionários ou controles de DLP. ### LAPSUS$ e alvos brasileiros O grupo [[g1004-lapsus|LAPSUS$]], cujos membros incluíam adolescentes de origem britânica e brasileira, realizou recrutamento de insiders em empresas de telecomúnicações brasileiras. Operadores de telecom no Brasil foram alvo direto do grupo, que buscava acesso a portais de administração e plataformas de comunicação interna. Credenciais obtidas via mensagens de chat foram parte do arsenal utilizado em múltiplos comprometimentos. ### Grupos de cibercrime brasileiro Grupos de cibercrime financeiro brasileiros, historicamente focados em fraude bancária via malware, estão adotando cada vez mais táticas de Business Email Compromise (BEC) e comprometimento de plataformas SaaS. A busca por credenciais em mensagens de chat permite acesso a sistemas financeiros corporativos com menos risco de detecção do que o malware tradicional. ### Setor financeiro e fintechs O ecossistema de fintechs brasileiro - um dos maiores do mundo - utiliza intensivamente ferramentas como Slack, Notion e plataformas de gerenciamento de projetos. A cultura de DevOps em startups frequentemente cria um ambiente onde credenciais são compartilhadas com facilidade em canais de engenharia, representando um risco significativo. --- ## Referências - [MITRE ATT&CK - T1552.008](https://attack.mitre.org/techniques/T1552/008) - [CISA Advisory - LAPSUS$ Tactics](https://www.cisa.gov/news-events/cybersecurity-advisories) - [Okta Breach Analysis - 2022](https://www.okta.com/blog/2022/03/updated-okta-statement-on-lapsus/) - [Microsoft Security - Defending against LAPSUS$](https://www.microsoft.com/en-us/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/) - [Slack - Enterprise Key Management](https://slack.com/intl/en-br/enterprise-key-management) - [[t1552-unsecured-credentials|T1552 - Unsecured Credentials]] (técnica pai) - [[t1552-001-credentials-in-files|T1552.001 - Credentials in Files]] (técnica relacionada) - [[t1566-phishing|T1566 - Phishing]] (vetor de acesso inicial comum) - [[g1004-lapsus|LAPSUS$]] (threat actor que usa extensivamente esta técnica) - [[m1047-audit|M1047 - Audit]] - [[m1017-user-training|M1017 - User Training]]