# T1078.004 - Valid Accounts: Cloud Accounts ## Descrição **T1078.004 - Cloud Accounts** descreve o uso de credenciais válidas de contas cloud comprometidas por adversários para obter acesso inicial, manter persistência, escalar privilégios ou evadir detecção em ambientes de nuvem. Por operar com credenciais legítimas, o adversário se **camufla no tráfego normal** - os logs mostram um usuário autenticado realizando operações autorizadas, tornando a detecção significativamente mais difícil do que com técnicas que exploram vulnerabilidades. Contas cloud abrangem uma superfície de ataque extensa: - **Contas de usuário** em Azure AD, Okta, Google Workspace, AWS IAM - **Service accounts** e identidades gerenciadas (Azure Managed Identity, GCP Service Account) - **Contas de administração** de plataformas SaaS (Salesforce, ServiceNow, Workday) - **Contas híbridas** sincronizadas entre Active Directory on-premises e Azure AD via Azure AD Connect - **Contas federadas** com acesso via SAML/OIDC a múltiplos provedores A criticidade desta técnica é amplificada em ambientes híbridos: credenciais cloud comprometidas podem ser o vetor para comprometer também infraestrutura on-premises, e vice-versa - criando um caminho bidirecional de movimento lateral entre ambientes. > **Técnica pai:** [[t1078-valid-accounts|T1078 - Valid Accounts]] > **Técnicas relacionadas:** [[t1550-001-app-access-token|T1550.001 - Application Access Token]], [[t1098-001-additional-cloud-credentials|T1098.001 - Additional Cloud Credentials]], [[t1110-brute-force|T1110 - Brute Force]], [[t1566-phishing|T1566 - Phishing]] --- ## Como Funciona ### Vetores de Comprometimento de Contas Cloud **Phishing de Credenciais:** O vetor mais comum. Páginas de login falsas replicam portais Microsoft, Google ou Okta para capturar usuário, senha e - em ataques sofisticados com proxies adversarial-in-the-middle como Evilginx ou Modlishka - também os cookies de sessão MFA. **Password Spray:** Tentativas de login com senhas comuns (`Empresa@2024`, `Mudar@123`) contra grandes listas de endereços corporativos. Plataformas cloud frequentemente não têm lockout automático configurado ou têm thresholds altos, tornando o spray viável sem bloqueio de conta. **Credential Stuffing:** Uso de combinações usuário/senha vazadas em brechas anteriores (ex: dados de Have I Been Pwned) contra portais cloud. Funcionários que reutilizam senhas são o alvo. **Comprometimento de Identidades Híbridas:** Ao comprometer o Azure AD Connect ou servidores ADFS on-premises, o adversário pode sincronizar contas maliciosas para a cloud ou forjar tokens SAML com qualquer identidade (Golden SAML Attack). **Abuso de Managed Identities:** Em ambientes Azure, cada VM pode ter uma Managed Identity com permissões atribuídas. Ao comprometer a VM (via exploit ou acesso físico), o adversário obtém tokens de identidade gerenciada chamando o endpoint local `http://169.254.169.254/metadata/identity/oauth2/token` - sem credenciais estáticas expostas. ### Escalada de Privilégios via Cloud Accounts Com acesso inicial a uma conta de baixo privilégio, adversários exploram misconfigurações para escalar: - **IAM Role Assumption (AWS):** Conta comprometida com permissão `sts:AssumeRole` pode assumir roles com privilégios maiores - **Azure PIM Abuse:** Contas elegíveis para roles privilegiados via Privileged Identity Management podem ativar o role elevado - **Misconfigured Service Accounts (GCP):** Service accounts com `roles/editor` ou `roles/owner` vinculadas a recursos acessíveis são escalações diretas - **Cross-tenant pivoting:** Via aplicativos OAuth multitenant ou relacionamentos de confiança B2B, uma conta comprometida em tenant A pode acessar recursos em tenant B --- ## Attack Flow ```mermaid graph TB A([Adversário]) --> B{Vetor de Comprometimento} B --> C[Phishing de Credenciais<br/>T1566 - Páginas Falsas] B --> D[Password Spray<br/>T1110.003] B --> E[Credential Stuffing<br/>T1110.004 - Dados Vazados] B --> F[Comprometimento Híbrido<br/>Azure AD Connect / ADFS] C --> G[Credenciais Cloud Obtidas<br/>Azure AD / AWS IAM / GCP] D --> G E --> G F --> H[SAML Token Forjado<br/>Golden SAML Attack] G --> I[Login Inicial<br/>Aparece como Atividade Legítima] H --> I I --> J{Tipo de Conta} J --> K[Conta de Usuário<br/>Email / Arquivos / SaaS] J --> L[Conta de Serviço<br/>APIs / Pipelines CI-CD] J --> M[Conta Administrativa<br/>IAM / Tenant Admin] K --> N[Acesso a Emails e Documentos<br/>Exfiltração de Dados] L --> O[Abuso de Pipelines<br/>Supply Chain / Secrets] M --> P[Criação de Backdoor<br/>T1098.001 - Novas Credenciais] N --> Q[Escalada de Privilégio<br/>Role Assumption / PIM Abuse] O --> Q P --> Q Q --> R[Movimento Lateral<br/>Cross-tenant / On-prem via Hybrid] R --> S([Impacto<br/>Ransomware / Exfiltração / Espionagem]) style A fill:#c0392b,color:#fff style S fill:#922b21,color:#fff style G fill:#e74c3c,color:#fff style I fill:#f39c12,color:#000 style Q fill:#e67e22,color:#fff ``` --- ## Exemplos de Uso ### LAPSUS$ - Comprometimento em Cadeia via Cloud Accounts O grupo [[g1004-lapsus|LAPSUS$]] (também chamado DEV-0537) demonstrou em 2022 uma capacidade extraordinária de comprometer contas cloud de alta visibilidade. O grupo focava em comprometer contas de funcionários de TI e help desk com acesso privilegiado a plataformas de identidade como Okta e Azure AD. A métodologia incluía compra de credenciais em fóruns de crime cibernético, engenharia social para reset de MFA e, em alguns casos, recrutamento de insiders. Uma vez com acesso a uma conta de administrador Okta ou Azure AD Global Admin, o grupo: 1. Enumerava todos os usuários e grupos com privilégios elevados 2. Resetava credenciais de contas de serviço críticas 3. Exfiltrava código-fonte e dados de clientes via SharePoint/GitHub 4. Criava contas backdoor para persistência Vítimas incluíram Microsoft, NVIDIA, Samsung, Ubisoft e a própria Okta - demonstrando o alcance devastador do abuso de cloud accounts. ### Storm-0501 - Ransomware via Azure AD Pivoting O grupo [[g1053-storm-0501|Storm-0501]], afiliado de ransomware ativo desde 2023, desenvolveu uma métodologia específica para ambientes Azure. Após comprometer contas locais via phishing, o grupo: 1. Identifica sincronização Azure AD Connect 2. Compromete a conta de serviço do Azure AD Connect (frequentemente com privilégios elevados on-prem) 3. Usa esses privilégios para criar ou comprometer contas cloud diretamente 4. Acessa recursos Azure (Storage, Key Vault, Backup) e elimina backups antes de implantar ransomware Vítimas documentadas incluem organizações do setor de saúde, manufatura e governo nos EUA, Europa e América Latina. ### APT29 - Espionagem Cloud-Native O [[g0016-apt29|APT29]] evoluiu progressivamente para técnicas cloud-native. Em campanhas documentadas de 2023-2024, o grupo comprometia contas de usuários sem MFA ou com configurações fracas de Conditional Access, e então: - Cadastrava dispositivos adicionais no Azure AD para obter tokens persistentes - Utilizava acesso a Exchange Online para ler comúnicações de alto valor - Criava regras de inbox maliciosas para encaminhar emails continuamente para endereços externos - Registrava aplicativos OAuth para manter acesso mesmo após reset de senha ### HAFNIUM - Targeting de Pesquisadores via Cloud O grupo [[g0125-silk-typhoon|HAFNIUM]], atribuído a atores estatais chineses, documentadamente alvo contas Microsoft de pesquisadores em defesa e saúde usando comprometimento de cloud accounts como vetor para exfiltração de propriedade intelectual. A técnica combina phishing altamente direcionado (spearphishing) com abuso de contas cloud para acessar repositórios de pesquisa confidenciais. --- ## Detecção ### Indicadores de Comprometimento - Login bem-sucedido de IP de alto risco (Tor, VPN comercial, datacenter anônimo) sem MFA - Primeiro login de país não visto no histórico do usuário (impossível travel) - Tentativas de login em horários fora do padrão (madrugada local do usuário) - Múltiplos logins com falha seguidos de sucesso (password spray bem-sucedido) - Registro de novo dispositivo seguido imediatamente de acessos sensíveis - Criação de novas credenciais de serviço ou API keys logo após login inicial - Ativação de role privilegiado no PIM sem ticket ou justificativa registrada ### Regra Sigma - Login de Localização Impossível ```yaml title: Cloud Account - Impossible Travel Login id: c9d5e3f7-4a6b-5c8d-9e0f-3a2b7c4d6e8f status: experimental description: > Detecta logins bem-sucedidos em contas cloud de localizações geograficamente impossíveis dado o histórico do usuário. Pode indicar uso de credenciais comprometidas por adversários em localização diferente do usuário legítimo. Correlacionar com T1078.004 - Valid Accounts: Cloud Accounts. references: - https://attack.mitre.org/techniques/T1078/004/ - https://docs.microsoft.com/azure/active-directory/identity-protection/concept-identity-protection-risks author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.initial_access - attack.persistence - attack.t1078.004 logsource: product: azure service: signinlogs detection: selection: ResultType: "0" # Login bem-sucedido RiskEventTypes_v2|contains: - "impossibleTravel" - "unfamiliarFeatures" - "anonymizedIPAddress" high_risk: RiskLevelDuringSignIn: - "high" - "medium" condition: selection OR high_risk falsepositives: - Usuários com VPN corporativa que muda localização aparente - Executivos frequentemente em viagem internacional - Contas de serviço com IPs de datacenters level: high ``` ### Regra Sigma - Criação de Credencial Após Login Suspeito ```yaml title: Cloud Account - New Credential Created After Suspicious Login id: d0e6f4a8-5b7c-6d9e-0f1a-4b3c8d5e7f0a status: experimental description: > Detecta criação de novas credenciais cloud (API keys, service principal secrets, certificates) dentro de 1 hora após login de localização de risco. Indica possível tentativa de persistência após comprometimento inicial de conta. author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.persistence - attack.t1078.004 - attack.t1098.001 logsource: product: azure service: auditlogs detection: credential_creation: OperationName|contains: - "Add service principal credentials" - "Updaté application – Certificates and secrets management" - "Add password to service principal" condition: credential_creation falsepositives: - Rotação programática de credenciais por automação aprovada - Onboarding de novos serviços por administradores autorizados level: medium ``` ### KQL - Enumeração de Permissões IAM Pós-Login (AWS CloudTrail) ```kusto // Detecta enumeração de IAM após primeiro acesso de novo IP AWSCloudTrail | where TimeGenerated > ago(1h) | where EventName in ("ListUsers", "ListRoles", "GetAccountAuthorizationDetails", "ListPolicies", "GetUserPolicy", "ListAttachedUserPolicies") | summarize EnumerationCount = count(), Actions = make_set(EventName) by UserIdentityArn, SourceIPAddress | where EnumerationCount > 5 | project TimeGenerated, UserIdentityArn, SourceIPAddress, EnumerationCount, Actions ``` --- ## Mitigação | ID | Mitigação | Implementação Prática | |----|-----------|----------------------| | [[m1032-multi-factor-authentication\|M1032]] | Multi-factor Authentication | Implementar MFA resistente a phishing (FIDO2/passkeys) para todas as contas cloud; eliminar SMS e TOTP em contas privilegiadas | | [[m1026-privileged-account-management\|M1026]] | Privileged Account Management | Contas de Global Admin / Owner devem ser cloud-only, sem licença de email, com sessões de 1 hora máximo; usar PIM com aprovação para ativação | | [[m1027-password-policies\|M1027]] | Password Policies | Senhas únicas ≥16 caracteres; ban list de senhas corporativas comuns; integrar com HaveIBeenPwned API para block de senhas vazadas | | [[m1036-account-use-policies\|M1036]] | Account Use Policies | Conditional Access baseado em risco: bloquear logins de Tor/VPN não corporativa; exigir dispositivo gerenciado para acesso a dados sensíveis | | [[m1015-active-directory-configuration\|M1015]] | Active Directory Configuration | Proteger Azure AD Connect com monitoramento rigoroso; implementar Tier Model para contas híbridas; segmentar sincronização | | [[m1017-user-training\|M1017]] | User Training | Treinamento anti-phishing com simulações regulares; foco em credential harvesting pages e OAuth consent phishing | | [[m1018-user-account-management\|M1018]] | User Account Management | Desativar contas inativas após 30-60 dias; revisar service accounts mensalmente; eliminar contas órfãs de ex-funcionários em 24h | --- ## Contexto Brasil/LATAM O abuso de cloud accounts é uma das ameaças de maior crescimento no Brasil e América Latina, reflexo da acelerada adoção de plataformas cloud sem maturidade de segurança equivalente: **Digitalização Acelerada Pós-Pandemia:** O Brasil registrou migração massiva para Microsoft 365 e Google Workspace entre 2020-2023. Muitas organizações implementaram as plataformas sem configurar políticas de segurança básicas - sem Conditional Access, sem MFA obrigatório, com herança de permissões permissivas. Esse legado de misconfigurações cria uma superfície de ataque ampla para T1078.004. **LAPSUS$ e Alvos Brasileiros:** O grupo [[g1004-lapsus|LAPSUS$]] tem origem atribuída parcialmente ao Brasil, com membros identificados como adolescentes brasileiros. A métodologia do grupo - comprometimento de contas cloud administrativas via engenharia social e compra de credenciais - foi aplicada tanto contra empresas internacionais quanto testada em alvos nacionais no setor de telecomúnicações e tecnologia. **Setor de Saúde:** Hospitais e operadoras de saúde brasileiras que migraram para Microsoft 365 são alvos frequentes de campanhas de ransomware que utilizam T1078.004 como vetor. O comprometimento de contas de TI com acesso a tenants de saúde permite ao adversário exfiltrar dados de pacientes e implantar ransomware - um vetor documentado em incidentes com hospitais brasileiros em 2023-2024. **Grupos de Espionagem com Interesse no Brasil:** Grupos como [[g0007-apt28|APT28]] (Fancy Bear) e [[g0016-apt29|APT29]] (Cozy Bear) documentadamente conduzem campanhas de espionagem que incluem alvos governamentais e do setor de defesa brasileiros. O comprometimento de contas cloud de funcionários de ministérios e agências reguladoras (ANATEL, ANS, ANAC) via T1078.004 é um vetor compatível com o perfil de ataque desses grupos. **Iniciativas de Defesa Nacional:** O [[sources|CERT.br]] públicou alertas sobre campanhas de credential stuffing e password spray contra infraestruturas cloud nacionais. A Estrategia Nacional de Segurança Cibernética (E-Ciber) identifica a proteção de identidades cloud como área prioritária, mas a implementação em órgãos públicos ainda é fragmentada. **Recomendação para o Contexto Brasileiro:** Dada a prevalência de uso de Microsoft 365 no setor corporativo e governamental, a prioridade deve ser: (1) MFA obrigatório via Conditional Access, (2) eliminação de Legacy Authentication Protocols (Basic Auth), (3) Privileged Identity Management para todas as contas de administração, e (4) monitoramento ativo de Sign-in Risk no Azure AD Identity Protection. --- ## Referências - [MITRE ATT&CK - T1078.004](https://attack.mitre.org/techniques/T1078/004/) - [Microsoft - Protect Cloud Accounts from Adversaries](https://learn.microsoft.com/en-us/azure/security/fundamentals/identity-management-best-practices) - [CISA - Cloud Security Best Practices](https://www.cisa.gov/resources-tools/resources/cloud-security-technical-reference-architecture) - [Mandiant - UNC2452 / APT29 Cloud TTPs](https://www.mandiant.com/resources/blog/apt29-microsoft-365) - [Microsoft - Storm-0501 Cloud Ransomware](https://www.microsoft.com/security/blog/2024/09/26/storm-0501-ransomware-attacks-expanding-to-cloud-environments/) - [LAPSUS$ - Microsoft Security Blog](https://www.microsoft.com/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/) - [ROADtools - Azure AD Exploration](https://github.com/dirkjanm/ROADtools) *Fonte: [MITRE ATT&CK - T1078.004](https://attack.mitre.org/techniques/T1078/004/)*