# T1496.004 - Cloud Service Hijacking ## Descrição **Cloud Service Hijacking** (Sequestro de Serviço em Nuvem) é uma sub-técnica da família [[t1496-resource-hijacking|T1496 - Resource Hijacking]] em que adversários comprometem aplicações **Software-as-a-Service (SaaS)** da vítima para executar tarefas computacionalmente intensivas às custas do titular legítimo da conta. O escopo da técnica é amplo: desde o envio massivo de spam e [[t1566-phishing|phishing]] via serviços de e-mail e SMS até o chamado **LLMJácking**, modalidade emergente em que proxies reversos são configurados para desviar chamadas às APIs de modelos de linguagem em grande escala (LLMs) hospedados na nuvem, transferindo o custo de inferência ao proprietário original das credenciais. Ao contrário de ataques que exigem infraestrutura própria, o sequestro de serviços SaaS permite que o ator de ameaça opere com **infraestrutura zero** - toda a carga computacional recai sobre os recursos da vítima ou de terceiros. Os impactos incluem: - **Custos financeiros elevados:** serviços como AWS SES/SNS, Twilio, SendGrid e OpenAI cobram por volume de uso. Contas comprometidas podem acumular centenas de milhares de dólares em cobranças antes da detecção. - **Esgotamento de cotas:** organizações têm limites de envio diário, taxa de requisição por minuto e orçamentos de API. O abuso esgota essas cotas, negando disponibilidade ao proprietário legítimo. - **Reputação de domínio:** e-mails de spam enviados pelo servidor legítimo da vítima comprometem a reputação do domínio, podendo resultar em bloqueios por provedores anti-spam. - **Responsabilidade regulatória:** no Brasil, o envio de mensagens não solicitadas pode gerar obrigações sob a [[lgpd|LGPD]] e regulamentos do setor (BACEN, ANS, ANATEL). Serviços frequentemente alvejados incluem: | Serviço | Finalidade abusada | |---------|-------------------| | AWS Simple Email Service (SES) | Envio massivo de spam/phishing | | AWS Simple Notification Service (SNS) | Disparo de SMS em massa | | SendGrid / Mailgun | Campanhas de phishing | | Twilio | Smishing em escala | | OpenAI API / Azure OpenAI | LLMJácking - inferência às custas da vítima | | Google Vertex AI | Consultas a modelos generativos | | Anthropic Claude API | Geração de conteúdo malicioso | --- ## Como Funciona O ataque se divide em três fases principais: ### 1. Obtenção de Acesso ao Serviço SaaS O adversário precisa obter credenciais ou tokens de acesso válidos. Os vetores mais comuns são: - **Roubo de chaves de API:** repositórios públicos no GitHub, GitLab e Bitbucket são varridos por ferramentas automatizadas em busca de segredos expostos (AWS access keys, tokens OpenAI, SendGrid API keys). Ferramentas como `trufflehog`, `gitleaks` e scanners customizados são amplamente utilizadas. - **Comprometimento de ambiente CI/CD:** pipelines de integração contínua frequentemente armazenam variáveis de ambiente com credenciais. Uma vulnerabilidade no pipeline pode expor todos os segredos. - **Phishing de credenciais OAuth:** o adversário engana o usuário a autorizar um aplicativo malicioso com escopos amplos via fluxo OAuth 2.0, obtendo tokens de longa duração sem precisar da senha. - **Exploração de vulnerabilidades em aplicações web:** aplicações com [[t1190-exploit-public-facing-application|T1190]] podem revelar arquivos `.env` com chaves de API. - **Compra em mercados underground:** credenciais de SaaS comprometidas são comercializadas em fóruns como BreachForums, XSS e Telegram. ### 2. Ativação e Configuração do Serviço Em alguns casos, o adversário encontra o serviço já habilitado na conta da vítima. Em outros - especialmente em plataformas como AWS, Azure e GCP, onde serviços são ativados sob demanda - o adversário habilita o serviço manualmente usando as credenciais comprometidas (por exemplo, habilitando AWS SES em uma região onde a vítima não o usa). Para LLMJácking, o adversário frequentemente configura um **proxy reverso** que: 1. Recebe requisições de clientes não autorizados 2. Repassa as requisições à API legítima usando as credenciais roubadas 3. Retorna as respostas ao cliente, embolsando o custo de inferência ### 3. Execução em Escala Com acesso configurado, o adversário opera em escala: - Envio de milhões de e-mails de phishing por hora via SES - Disparos de SMS de smishing via SNS ou Twilio - Consultas contínuas a modelos de linguagem para geração de conteúdo malicioso, desinformação ou assistência em ataques - Abuse de serviços de computação para criptomineração (quando os limites de SaaS incluem capacidade computacional) --- ## Attack Flow ```mermaid graph TB A["Reconhecimento<br/>Busca por segredos expostos<br/>(GitHub, CI/CD, web)"] --> B["Acesso Inicial<br/>Roubo de API keys / OAuth tokens<br/>ou credenciais compradas"] B --> C["Persistência<br/>Criação de chaves adicionais<br/>ou backdoors OAuth"] C --> D["Ativação do Serviço<br/>Habilita SES/SNS/LLM API<br/>em conta da vítima"] D --> E1["Uso Abusivo - E-mail/SMS<br/>Envio massivo de spam<br/>e phishing via SES/SNS/Twilio"] D --> E2["Uso Abusivo - LLMJácking<br/>Proxy reverso desvia<br/>chamadas de API LLM"] E1 --> F["Impacto<br/>Custos financeiros, reputação<br/>de domínio, esgotamento de cotas"] E2 --> F F --> G["Detecção / Resposta<br/>Alerta de faturamento,<br/>bloqueio de conta"] ``` --- ## Exemplos de Uso ### Caso 1 - LLMJácking via OpenAI API (2024) Em 2024, pesquisadores da Sysdig documentaram uma campanha em que atacantes varreram repositórios GitHub públicos e instâncias AWS expostas em busca de chaves de API da OpenAI. Após coletar dezenas de chaves válidas, configuraram proxies reversos que revendiam acesso a modelos GPT-4 a terceiros, gerando prejuízo de dezenas de milhares de dólares em cobranças de API para as vítimas. As cobranças surgiram de regiões geográficas inesperadas e em horários fora do padrão de uso legítimo. ### Caso 2 - Abuso de AWS SES para Phishing em Escala Campanhas de phishing sofisticadas documentadas pelo [[unit42|Unit 42 (Palo Alto Networks)]] utilizaram contas AWS comprometidas com SES habilitado para enviar campanhas de coleta de credenciais. Por operar sob o IP legítimo da AWS, os e-mails passavam por filtros de reputação tradicionais. O volume chegou a 100.000 e-mails por hora antes do bloqueio pela AWS. ### Caso 3 - Smishing via Twilio Comprometido Em 2022, o grupo [[g1015-scattered-spider|Scattered Spider]] (UNC3944) utilizou engenharia social para comprometer funcionários de suporte da Twilio, obtendo acesso ao painel administrativo. Usaram o acesso para enviar SMS maliciosos a clientes de empresas que dependiam da Twilio como provedor, incluindo organizações do setor financeiro no Brasil e América Latina. O ataque também está relacionado a [[t1078-valid-accounts|T1078 - Valid Accounts]] e [[t1566-phishing|T1566 - Phishing]]. ### Caso 4 - Roubo de Cotas de Modelos de IA (LATAM, 2025) Empresas brasileiras do setor financeiro e de e-commerce que adotaram APIs de LLMs para automação de aténdimento reportaram, em início de 2025, cobranças anômalas. Investigações indicaram que credenciais foram expostas em repositórios internos mal configurados, e atores não identificados utilizaram as cotas para geração de conteúdo em escala. O vetor inicial foi a ausência de rotação periódica de chaves de API. --- ## Detecção ### Indicadores de Comprometimento (IoCs Comportamentais) - Pico repentino no volume de e-mails enviados via SES (> 10x da baseline em menos de 1 hora) - Chamadas à API de LLM originando de IPs não reconhecidos ou fora da localização geográfica esperada - Habilitação de serviços SaaS (SES, SNS) em regiões onde a organização não opera - Novas chaves de API criadas por usuário IAM ou conta de serviço sem registro em sistema de gerenciamento de segredos - Alertas de limite de gastos disparados inesperadamente ### Regra Sigma - Detecção de Anomalia em Chamadas de API LLM ```yaml title: Anomalous LLM API Usage - Possible LLMJácking status: experimental logsource: category: cloud product: aws service: cloudtrail detection: selection: eventSource: 'bedrock.amazonaws.com' eventName: - 'InvokeModel' - 'InvokeModelWithResponseStream' filter_known_principals: userIdentity.arn|contains: - 'arn:aws:iam::ACCOUNT_ID:role/known-role' timeframe: 1h condition: selection and not filter_known_principals | count() > 500 level: high tags: - attack.impact - attack.t1496.004 falsepositives: - Picos legítimos de uso em campanhas de marketing ou lançamentos de produto ``` ### Regra Sigma - Habilitação Inesperada de AWS SES ```yaml title: Unexpected AWS SES Service Enablement status: experimental logsource: category: cloud product: aws service: cloudtrail detection: selection: eventSource: 'ses.amazonaws.com' eventName: - 'CreateEmailIdentity' - 'PutAccountSendingAttributes' requestParameters.sendingEnabled: 'true' filter_expected_regions: awsRegion: - 'sa-east-1' condition: selection and not filter_expected_regions level: high tags: - attack.impact - attack.t1496.004 falsepositives: - Expansão legítima para novas regiões AWS ``` ### Fontes de Log para Monitoramento | Fonte | O que monitorar | |-------|----------------| | AWS CloudTrail | Habilitação de SES/SNS, criação de identidades de e-mail, picos de invocação Bedrock | | AWS Cost Explorer / Budget Alerts | Desvio de > 50% do gasto projetado em qualquer serviço SaaS | | SendGrid Activity Feed | Volume de envios, bounces e reclamações de spam | | Twilio Console Logs | Pico de SMS enviados, uso de números não cadastrados | | OpenAI / Azure OpenAI Usage | Chamadas por IP de origem, tokens consumidos por hora | --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1047 | Auditoria de API Keys | Varredura periódica de repositórios e sistemas CI/CD com ferramentas como `trufflehog` ou `gitleaks` para identificar segredos expostos | | M1041 | Criptografia de Dados Sensíveis | Armazenar chaves de API em gerenciadores de segredos (AWS Secrets Manager, HashiCorp Vault, Azure Key Vault) nunca em variáveis de ambiente ou código | | M1026 | Gerenciamento de Contas Privilegiadas | Aplicar princípio do menor privilégio em roles IAM; chaves de serviço não devem ter permissão para habilitar novos serviços | | M1018 | Gerenciamento de Contas de Usuário | Rotação periódica de chaves de API (90 dias); desativar imediatamente chaves de ex-funcionários | | M1037 | [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] | Restringir chamadas à API a IPs e VPCs conhecidos usando políticas SCP ou condições IAM por IP de origem | | M1030 | Segmentação de Rede | Isolar sistemas que consomem APIs de LLM em segmentos de rede com egress filtering | ### Recomendações Específicas para LATAM/Brasil 1. **Alertas de faturamento obrigatórios:** configurar alertas de orçamento no AWS/Azure/GCP com threshold de 80% do gasto mensal esperado - especialmente crítico para empresas que pagam em dólar mas faturam em real, pois a variação cambial pode mascarar anomalias. 2. **Revisão de OAuth grants:** auditar regularmente aplicativos OAuth autorizados em contas G Suite e Microsoft 365 - vetores comuns em comprometimentos de SaaS no Brasil. 3. **Conformidade LGPD:** o envio de spam usando a infraestrutura da vítima pode gerar responsabilidade para a própria organização comprometida sob a [[lgpd|LGPD]]; notificação à ANPD pode ser obrigatória. --- ## Contexto Brasil/LATAM O Brasil figura entre os países com maior exposição a ataques de sequestro de serviços SaaS por uma combinação de fatores: **Alta adoção de SaaS sem maturidade de segurança:** Empresas brasileiras adotaram rapidamente plataformas como AWS, SendGrid e Twilio para automação, mas frequentemente sem implementar controles básicos como rotação de chaves ou monitoramento de uso. **Mercado underground ativo:** Fóruns brasileiros no Telegram e na dark web comercializam regularmente credenciais de SaaS de empresas nacionais, com preços acessíveis para API keys de serviços de e-mail e SMS - frequentemente utilizados em campanhas de [[t1566-phishing|phishing]] direcionadas a clientes de bancos como [[financial|Itaú, Bradesco e Nubank]]. **LLMJácking em crescimento (2025):** Com a explosão de adoção de APIs de IA generativa por empresas brasileiras em 2024-2025, o LLMJácking emergiu como vetor de ameaça relevante. Startups e PMEs do setor de tecnologia são alvos primários, pois frequentemente expõem chaves de API em repositórios GitHub públicos durante desenvolvimento. **Smishing e fraude financeira:** O Brasil lidera rankings globais de tentativas de fraude via SMS. O abuso de plataformas como Twilio por atores locais para campanhas de smishing bancário é documentado pelo [[cert-br|CERT.br]] e pelo [[febraban|setor bancário brasileiro]]. **Regulação emergente:** A [[lgpd|LGPD]] e as regulações do Banco Central (BACEN Resolução 4.658 e CMN 4.893) exigem controles de segurança para dados tratados em ambientes de nuvem, tornando o monitoramento de uso de SaaS uma obrigação de conformidade, não apenas uma boa prática. --- ## Referências - [MITRE ATT&CK - T1496.004](https://attack.mitre.org/techniques/T1496/004) - [Sysdig - LLMJácking: Stolen Cloud Credentials Used in New AI Attack (2024)](https://sysdig.com/blog/llmjacking-stolen-cloud-credentials-used-in-new-ai-attack/) - [AWS - Detecting Unauthorized API Activity with CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) - [CERT.br - Relatório de Atividade Maliciosa 2024](https://www.cert.br/) - [Unit 42 - Threat Research on Cloud Abuse](https://unit42.paloaltonetworks.com/) - [[t1496-resource-hijacking|T1496 - Resource Hijacking]] (técnica pai) - [[t1566-phishing|T1566 - Phishing]] (técnica relacionada) - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[m1037-filter-network-traffic|M1037 - Filter Network Traffic]] - [[g1015-scattered-spider|UNC3944]] - [[lgpd|LGPD - Lei Geral de Proteção de Dados]]