# T1566.001 - Spearphishing Attachment ## Descrição O Spearphishing com Anexo é uma das técnicas de acesso inicial mais utilizadas por grupos avançados de ameaças ao redor do mundo. Diferente de campanhas de phishing em massa, o spearphishing é direcionado: o atacante pesquisa a vítima, personaliza o e-mail com contexto relevante - nome do destinatário, cargo, empresa, assunto do momento - e anexa um arquivo malicioso projetado para parecer legítimo. O objetivo é enganar o usuário para que execute o payload sem levantar suspeitas imediatas. Os formatos de anexo variam amplamente: documentos do Microsoft Office com macros VBA ou exploração de vulnerabilidades (ex.: [[cve-2017-11882|CVE-2017-11882]]), PDFs com scripts JavaScript embutidos, arquivos executáveis com ícones falsos de documentos, e arquivos compactados protegidos por senha para burlar filtros de gateway de e-mail. Quando o usuário abre o arquivo e aceita as solicitações de segurança - ou quando existe uma vulnerabilidade sem patch -, o payload é executado via [[t1204-user-execution|User Execution]], estabelecendo um ponto de apoio inicial no sistema comprometido. A técnica está diretamente relacionada à técnica pai [[t1566-phishing|T1566 - Phishing]]. A longevidade desta técnica se explica pelo fator humano: mesmo com controles técnicos robustos, um e-mail bem elaborado pode convencer qualquer pessoa. Grupos como [[g0032-lazarus-group|Lazarus Group]], [[g0007-apt28|APT28]] e [[g0080-cobalt-group|Cobalt Group]] usam spearphishing com anexo como vetor primário de intrusão em operações de espionagem, roubo financeiro e sabotagem, frequentemente combinando o e-mail com engenharia social para criar senso de urgência ou legitimidade. **Contexto Brasil/LATAM:** O Brasil é um dos países mais visados por campanhas de phishing e spearphishing na América Latina. O setor financeiro brasileiro é alvo recorrente de grupos como [[g0037-fin6|FIN6]] e [[g0080-cobalt-group|Cobalt Group]], que utilizam anexos maliciosos disfarçados de boletos bancários, notificações de cobrança da Receita Federal ou comúnicados do Banco Central. A disseminação do português brasileiro em templates de phishing bem redigidos - diferente dos erros gramaticais comuns em campanhas globais - indica adaptação local. O RTM Banking Trojan, distribuído amplamente via [[g0048-rtm|RTM]], utilizou extensivamente esta técnica contra empresas brasileiras de contabilidade e varejo. ## Attack Flow ```mermaid graph TB A[Reconhecimento<br/>da Vítima] --> B[Crafting do<br/>E-mail Malicioso] B --> C{{"T1566.001<br/>Anexo Enviado"}}:::highlight C --> D[Usuário Abre<br/>o Anexo] D --> E[Execução do<br/>Payload / C2] classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona 1. **Preparação:** O atacante coleta informações sobre a vítima (OSINT, LinkedIn, e-mails vazados) para criar um pretexto convincente. O arquivo malicioso é preparado - pode ser um documento Office com macro, um PDF com exploit, ou um executável com extensão e ícone falsificados. Arquivos ZIP protegidos por senha são utilizados para contornar sandboxes de gateway de e-mail. 2. **Execução:** O e-mail é enviado com o anexo e um texto que justifica a abertura do arquivo (ex.: "NF-e Pendente", "Autuação Fiscal", "Proposta Comercial"). Quando a vítima abre o anexo, a execução pode ocorrer via macro VBA ativada pelo usuário (`[[m1054-software-configuration|M1054]]`), exploit automático de vulnerabilidade, ou duplo clique em executável mascarado. O payload geralmente instala um [[s0331-agent-tesla|Agent Tesla]], [[s0447-lokibot|Lokibot]], ou [[koctopus|KOCTOPUS]], estabelecendo comunicação com C2. 3. **Pós-execução:** Com acesso inicial estabelecido, o atacante avança para [[ta0007-discovery|Discovery]] do ambiente, movimento lateral e escalada de privilégios. Em campanhas de espionagem, o malware opera silenciosamente por meses. Em campanhas financeiras, o acesso é usado rapidamente para fraude ou deploy de ransomware. ## Detecção **Fontes de dados:** - **E-mail:** Logs de gateway (Proofpoint, Mimecast, Microsoft Defender for Office 365) - inspecionar anexos com extensões de dupla extensão (`.pdf.exe`), macros em documentos Office, arquivos com `Zone.Identifier` removido - **Endpoint:** Sysmon **Event ID 1** (Process Creaté) - monitorar processos filhos de `WINWORD.EXE`, `EXCEL.EXE`, `OUTLOOK.EXE`, `AcroRd32.exe` que lançam `cmd.exe`, `powershell.exe`, `wscript.exe` ou `mshta.exe` - **Rede:** Conexões de saída imediatamente após abertura de documentos Office - monitorar DNS e HTTP de processos de escritório - **Windows Event Log:** Event ID **4688** (criação de processo com linha de comando) combinado com processos pai suspeitos **Sigma Rule:** ```yaml title: Processo Suspeito Filho de Aplicativo Office id: spearphishing-office-child-proc status: experimental description: Detecta processo suspeito iniciado por aplicativo Microsoft Office - indicativo de macro maliciosa ou exploit de documento logsource: category: process_creation product: windows detection: selection: ParentImage|endswith: - '\WINWORD.EXE' - '\EXCEL.EXE' - '\POWERPNT.EXE' - '\OUTLOOK.EXE' Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' - '\rundll32.exe' condition: selection falsepositives: - Macros legítimas corporativas (verificar whitelist) level: high tags: - attack.initial_access - attack.t1566.001 ``` ## Mitigação | Mitigação | Recomendação Prática | | ---------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | [[Antimalware]] | Implantar solução EDR com análise comportamental de documentos Office (ex.: Microsoft Defender for Endpoint, CrowdStrike). Habilitar AMSI para inspecionar macros VBA antes da execução. | | [[m1017-user-training\|M1017 - User Training]] | Treinar colaboradores com simulações de phishing mensais, com foco em pretextos locais (Receita Federal, SEFAZ, boletos bancários). Medir taxa de clique e reforçar treinamento para usuários recorrentes. | | [[m1054-software-configuration\|M1054 - Software Configuration]] | Desabilitar macros do Office por GPO para usuários que não precisam delas. Habilitar "Protected View" e bloquear macros em documentos de fontes externas via Attack Surface Reduction (ASR). | | [[m1021-restrict-web-based-content\|M1021 - Restrict Web-Based Content]] | Configurar gateway de e-mail para bloquear extensões de alto risco (`.exe`, `.js`, `.vbs`, `.lnk` em ZIPs), inspecionar arquivos comprimidos e sandboxear anexos suspeitos automaticamente. | | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Implementar IPS com assinaturas de C2 conhecidos. Bloquear DNS de domínios registrados recentemente (< 30 dias) por padrão para workstations de usuário final. | | [[m1047-audit\|M1047 - Audit]] | Auditar regularmente regras de e-mail, políticas de macro e logs de gateway. Revisar processos filhos de aplicativos Office nos logs do EDR semanalmente. | | [[m1018-user-account-management\|M1018 - User Account Management]] | Aplicar princípio do menor privilégio: usuários sem necessidade administrativa não devem ter permissão de instalar software ou executar scripts. Reduz o impacto mesmo se o payload for executado. | ## Threat Actors - [[g0080-cobalt-group|Cobalt Group]] - usa spearphishing com anexos financeiros contra bancos brasileiros e europeus - [[g0032-lazarus-group|Lazarus Group]] - campanhas "Operation DreamJob" com documentos Word maliciosos para recrutadores - [[g1031-saint-bear|Saint Bear]] - campanhas de espionagem com anexos em formato HTA e documentos Office - [[g0081-tropic-trooper|Tropic Trooper]] - ativo em LATAM e Ásia, usa documentos Office explorando CVEs não patchados - [[g0037-fin6|FIN6]] - grupo financeiro que usou spearphishing com [[s0331-agent-tesla|Agent Tesla]] contra varejistas - [[g0007-apt28|APT28]] - spearphishing avançado com exploits de zero-day em documentos contra governos - [[g0018-admin338|admin@338]] - campanhas direcionadas com documentos em idioma local, foco em governos APAC - [[g0112-windshift|Windshift]] - spearphishing contra jornalistas e dissidentes no Oriente Médio - [[g0060-bronze-butler|BRONZE BUTLER]] - documentos maliciosos contra empresas de manufatura jáponesas - [[g0090-wirte|WIRTE]] - campanhas contra governo e financeiro no Oriente Médio com docs Office ## Software Associado - [[koctopus|KOCTOPUS]] (malware) - distribuído via documentos Office com macros VBA - [[s0447-lokibot|Lokibot]] (malware) - infostealer amplamente distribuído via spearphishing com attachments - [[s0331-agent-tesla|Agent Tesla]] (malware) - RAT/keylogger popular em campanhas financeiras no Brasil - [[s1064-svcready|SVCReady]] (malware) - loader entregue via documentos Word com shellcode em propriedades do arquivo - [[s1066-darktortilla|DarkTortilla]] (malware) - crypter usado para embalar payloads em spearphishing campaigns - [[s0428-poetrat|PoetRAT]] (malware) - RAT distribuído via documentos maliciosos, alvo: setor energético - [[g0048-rtm|RTM]] (malware) - banking trojan amplamente utilizado contra empresas brasileiras - [[s0622-appleseed|AppleSeed]] (malware) - backdoor do Lazarus Group entregue via spearphishing - [[s0458-ramsay|Ramsay]] (malware) - malware de air-gap entregue via documentos Office armadilhados - [[s0011-taidoor|Taidoor]] (malware) - RAT de espionagem vinculado a operações de estado chinesas --- *Fonte: [MITRE ATT&CK - T1566.001](https://attack.mitre.org/techniques/T1566/001)* ## Mapa de Defesa ```mermaid graph TB ATK["T1566.001"] ATK --> TMOD["🔍 Model"] TMOD --> D1["D3-DI<br/>Data Inventory"] ATK --> THAR["🛡️ Harden"] THAR --> D2["D3-FE<br/>File Encryption"] ATK --> TDET["📡 Detect"] TDET --> D3["D3-APCA<br/>Application Protocol Command Ana..."] TDET --> D4["D3-CSPP<br/>Client-server Payload Profiling"] TDET --> D5["D3-DA<br/>Dynamic Analysis"] TDET --> D6["D3-EFA<br/>Emulated File Analysis"] TDET --> D7["D3-FA<br/>File Analysis"] ATK --> TISO["🔒 Isolate"] TISO --> D8["D3-CF<br/>Content Filtering"] TISO --> D9["D3-CM<br/>Content Modification"] TISO --> D10["D3-CQ<br/>Content Quarantine"] TISO --> D11["D3-EF<br/>Email Filtering"] TISO --> D12["D3-ITF<br/>Inbound Traffic Filtering"] ATK --> TDEC["🎭 Deceive"] TDEC --> D13["D3-DF<br/>Decoy File"] ATK --> TEVI["🚫 Evict"] TEVI --> D14["D3-ER<br/>Email Removal"] TEVI --> D15["D3-FEV<br/>File Eviction"] ATK --> TRES["♻️ Restore"] TRES --> D16["D3-RE<br/>Restore Email"] TRES --> D17["D3-RF<br/>Restore File"] classDef attack fill:#c0392b,color:#fff classDef detect fill:#2980b9,color:#fff classDef harden fill:#27ae60,color:#fff classDef isolate fill:#8e44ad,color:#fff classDef evict fill:#e67e22,color:#fff class ATK attack class THAR harden class TDET detect class TISO isolate class TEVI evict ``` | Tática D3FEND | Técnica | ID | |--------------|---------|-----| | 🔍 Model | Data Inventory | D3-DI | | 🛡️ Harden | File Encryption | D3-FE | | 📡 Detect | Application Protocol Command Analysis | D3-APCA | | 📡 Detect | Client-server Payload Profiling | D3-CSPP | | 📡 Detect | Dynamic Analysis | D3-DA | | 📡 Detect | Emulated File Analysis | D3-EFA | | 📡 Detect | File Analysis | D3-FA | | 📡 Detect | File Integrity Monitoring | D3-FIM | | 📡 Detect | Homoglyph Detection | D3-HD | | 📡 Detect | Inbound Session Volume Analysis | D3-ISVA | | 📡 Detect | Network Traffic Community Deviation | D3-NTCD | | 📡 Detect | Network Traffic Signature Analysis | D3-NTSA | | 📡 Detect | Per Host Download-Upload Ratio Analysis | D3-PHDURA | | 📡 Detect | Protocol Metadata Anomaly Detection | D3-PMAD | | 📡 Detect | Remote Terminal Session Detection | D3-RTSD | | 📡 Detect | Sender MTA Reputation Analysis | D3-SMRA | | 📡 Detect | Sender Reputation Analysis | D3-SRA | | 📡 Detect | User Geolocation Logon Pattern Analysis | D3-UGLPA | | 🔒 Isolate | Content Filtering | D3-CF | | 🔒 Isolate | Content Modification | D3-CM | | 🔒 Isolate | Content Quarantine | D3-CQ | | 🔒 Isolate | Email Filtering | D3-EF | | 🔒 Isolate | Inbound Traffic Filtering | D3-ITF | | 🔒 Isolate | Local File Permissions | D3-LFP | | 🔒 Isolate | Network Traffic Filtering | D3-NTF | | 🔒 Isolate | Remote File Access Mediation | D3-RFAM | | 🎭 Deceive | Decoy File | D3-DF | | 🚫 Evict | Email Removal | D3-ER | | 🚫 Evict | File Eviction | D3-FEV | | ♻️ Restore | Restore Email | D3-RE | | ♻️ Restore | Restore File | D3-RF | *Fonte: [MITRE D3FEND](https://d3fend.mitre.org/offensive-technique/attack/T1566.001)*