# T1538 - Cloud Service Dashboard ## Descrição **T1538 - Cloud Service Dashboard** descreve o uso da interface gráfica (GUI) de consoles de cloud por adversários que já possuem credenciais válidas. Em vez de emitir chamadas de API - que geram logs estruturados e são mais facilmente detectáveis -, o atacante navega pelo portal web do provedor cloud como se fosse um usuário legítimo, coletando informações sobre a infraestrutura da organização. Essa abordagem é deliberadamente escolhida por grupos sofisticados porque **o acesso via GUI frequentemente expõe mais informações** do que a API permite a um usuário de baixo privilégio, e porque **o volume de logs gerado é menor e mais difícil de correlacionar com comportamento malicioso**. Portais como o Azure Portal, AWS Console, GCP Cloud Console e o Microsoft 365 Admin Center exibem visões consolidadas de recursos, configurações, usuários e políticas - informações que um atacante usa para planejar o próximo movimento. No Brasil e na América Latina, o [[g1015-scattered-spider|Scattered Spider]] - grupo reconhecido por ataques sofisticados de engenharia social - utiliza essa técnica após comprometer contas via phishing de MFA ou SIM-swapping. O grupo navega pelo **Microsoft 365 Admin Center** e pelo **Azure Portal** para identificar usuários administradores, licenças ativas, configurações de Conditional Access e aplicações com permissões elevadas. Esse reconhecimento visual orienta ataques subsequentes de sequestro de contas privilegiadas e exfiltração de dados. > [!warning] Atenção: Técnica de Baixo Ruído > O acesso ao dashboard web de cloud por uma conta comprometida pode ser indistinguível do uso legítimo para sistemas de SIEM mal configurados. A detecção eficaz requer correlação de comportamento (horário, localização, volume de ações) e não apenas a presença do acesso. ## Attack Flow ```mermaid graph TB A([Credencial Válida<br/>Obtida]) --> B([Login no Portal<br/>Cloud via GUI]) B --> C>service dashboard:::highlight C --> D([Azure Portal /<br/>AWS Console / GCP]) C --> E([M365 Admin Center<br/>Entra ID Portal]) D --> F([Mapear VMs,<br/>Storage, Redes]) D --> G([Identificar Backups<br/>e Snapshots]) E --> H([Enumerar Admins<br/>e Service Accounts]) E --> I([Verificar Políticas<br/>de MFA/Conditional Access]) F --> J([Planejar Movimento<br/>Lateral ou Ransomware]) G --> J H --> K([Sequestro de Conta<br/>Privilegiada]) I --> L([Bypass de MFA<br/>ou SSO]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **Passo 1 - Acesso autenticado ao console web** O adversário utiliza credenciais obtidas por engenharia social, phishing de consentimento OAuth ou credential stuffing para autenticar-se no portal web do provedor cloud. O [[g1015-scattered-spider|Scattered Spider]] é especializado em convencer usuários a aprovar solicitações de MFA push (MFA fatigue) ou em realizar SIM-swapping para interceptar códigos SMS - métodos que resultam em acesso legítimo ao portal sem acionamento de alertas de credencial inválida. **Passo 2 - Reconhecimento visual da infraestrutura** Dentro do portal, o adversário navega pelas seções de configuração para coletar informações estratégicas. No **GCP Cloud Console**, o Security Command Center exibe todos os ativos, achados de segurança e IPs públicos. No **Azure Portal**, o Resource Graph permite visualizar todos os recursos em uma assinatura, incluindo configurações de rede, grupos de segurança e regras de firewall. No **AWS Console**, o IAM Identity Center revela quais contas e permissões estão associadas ao usuário comprometido. Tudo isso sem uma única chamada de API registrada como suspeita. **Passo 3 - Identificação de alvos e brechas** O reconhecimento via dashboard orienta ações de alto impacto: identificar storage accounts com dados sensíveis para exfiltração, localizar snapshots de VM ou backups para destruição (ransomware), mapear contas de administrador global para sequestro, e verificar se políticas de Conditional Access têm exceções exploráveis. Essa etapa alimenta diretamente [[t1526-cloud-service-discovery|T1526 - Cloud Service Discovery]] (via API para detalhes adicionais) e precede [[t1562-001-disable-tools|T1562 - Disable or Modify Tools]] para evasão de defesas. ## Detecção ### Event IDs e Fontes de Log Relevantes | Fonte | Evento / Log | Descrição | |-------|-------------|-----------| | **Entra ID Sign-in Logs** | `SignInLogs` - `appDisplayName: Azure Portal` | Login no Azure Portal; correlacionar com geolocalização e horário incomuns | | **Azure Activity Log** | Múltiplas operações `*/read` de UI em sequência rápida | Navegação agressiva pelo portal gera padrão de leituras em cascata | | **AWS CloudTrail** | `ConsoleLogin` + sequência de `Describe*`, `List*` | Acesso ao console seguido de enumração imediata é comportamento suspeito | | **Microsoft 365 Audit Log** | `UserLoggedIn` em `AzureActiveDirectory` + acesso ao Admin Center | Admin Center acessado por conta que normalmente não o usa | | **GCP Audit Logs** | `cloudresourcemanager.projects.get`, acesso ao Security Command Center | Acesso ao SCC por identidade não administrativa | | **UEBA / Identity Analytics** | Anomalias de comportamento - novo dispositivo, novo IP, horário atípico | Soluções como Microsoft Sentinel UEBA ou Okta ThreatInsight detectam sessões anômalas | ### Sigma Rule - Login no Portal Azure de Localização Atípica ```yaml title: Azure Portal Login from Unusual Location or Device id: 7c2e4a8f-1b5d-4c9e-a3f7-5b6c7d8e9f0a status: experimental description: > Detecta login no Azure Portal (T1538) a partir de localização geográfica incomum para o usuário, novo dispositivo não gerenciado, ou fora do horário habitual. Padrão típico de acesso por credencial comprometida. author: RunkIntel daté: 2026-03-24 references: - https://attack.mitre.org/techniques/T1538 logsource: product: azure service: signinlogs detection: selection_portal: AppDisplayName: - 'Azure Portal' - 'Microsoft Azure Management' - 'AWS Management Console' - 'Google Cloud Console' selection_anomaly: IsInteractive: true DeviceDetail.IsCompliant: false RiskLevelDuringSignIn: - 'medium' - 'high' condition: selection_portal and selection_anomaly fields: - UserPrincipalName - IPAddress - Location - DeviceDetail - RiskLevelDuringSignIn - AppDisplayName falsepositives: - Administradores legítimos acessando de locais incomuns (viagem, home office não cadastrado) - Acesso de novo dispositivo corporativo antes de registro no MDM level: high tags: - attack.discovery - attack.t1538 - attack.cloud - attack.initial_access ``` ## Mitigação | ID | Controle | Descrição | Aplicação para Organizações Brasileiras | |----|----------|-----------|----------------------------------------| | **M1018** | [[m1018-user-account-management\|M1018 - User Account Management]] | Restringir quais usuários têm acesso ao console/portal administrativo de cloud | Aplicar RBAC granular: apenas administradores globais designados acessam o portal Azure com privilégios elevados; demais usuários têm acesso read-only ou nenhum acesso ao portal | | - | **Conditional Access Policies** | Bloquear acesso ao portal cloud de dispositivos não gerenciados ou IPs fora da rede corporativa | Criar políticas no Entra ID que exijam dispositivo Compliant (Intune) para acesso ao Azure Portal e M365 Admin Center - especialmente crítico para organizações com BYOD | | - | **Phishing-Resistant MFA** | Substituir SMS OTP e push notifications por FIDO2 / Passkeys ou certificaté-based auth | Elimina o vetor de MFA fatigue e SIM-swapping usado pelo [[g1015-scattered-spider\|Scattered Spider]]; Microsoft Authenticator com Passkey é a opção mais acessível no Brasil | | - | **Privileged Identity Management (PIM)** | Tornar atribuições de funções privilegiadas just-in-time (JIT) - não permanentes | Com PIM, mesmo que uma conta privilegiada sejá comprometida, o atacante não tem o papel Admin permanentemente ativo; precisa ativar o papel (o que gera alerta) | | - | **Monitoramento de Sessão de Alto Risco** | Alertar sobre sessões em portais administrativos que apresentem sinais de risco (novo IP, novo dispositivo, localização atípica) | Microsoft Sentinel com regras de UEBA ou Defender for Identity; integrar com SIEM corporativo via API de Log Analytics | | - | **Revisão de Exceções de Conditional Access** | Auditar regularmente contas com exclusão de políticas de Conditional Access | Contas de quebra-vidro (break-glass) devem ser monitoradas com alertas em tempo real e auditadas mensalmente | ## Threat Actors e Software Associado ### Grupos que Utilizam esta Técnica **[[g1015-scattered-spider|Scattered Spider]]** - Um dos grupos mais proeminentes no uso de T1538. Especializado em ataques contra suporte técnico e identidades cloud, o grupo utiliza engenharia social para obter credenciais válidas e então navega pelos portais administrativos do Microsoft 365, Azure e Okta para identificar contas administradoras, desabilitar MFA e criar novas contas backdoor. Responsável por ataques de alto perfil ao setor de hospitalidade, telecomúnicações e tecnologia. Representa risco crescente para multinacionais com presença no Brasil que usam M365 e Azure. > [!info] Correlação de Técnicas > **T1538** é o par de reconhecimento visual de **[[t1526-cloud-service-discovery|T1526 - Cloud Service Discovery]]**. Enquanto T1526 usa APIs programáticas para enumerar recursos, T1538 usa a interface gráfica - frequentemente gerando menos alertas. Grupos sofisticados como o [[g1015-scattered-spider|Scattered Spider]] combinam ambas as técnicas para cobertura total: API para detalhes técnicos estruturados e GUI para contextualização visual e identificação de alvos de alto valor. O **[[g1053-storm-0501|Storm-0501]]**, embora primariamente associado ao [[t1526-cloud-service-discovery|T1526]], também utiliza consoles gráficos de cloud para verificar visualmente o alcance do comprometimento antes de distribuir ransomware em ambientes híbridos Azure AD. --- *Fonte: [MITRE ATT&CK - T1538](https://attack.mitre.org/techniques/T1538)*