# T1534 - Internal Spearphishing ## Descrição O **Internal Spearphishing** é uma técnica de movimento lateral em que um adversário, após já ter comprometido uma conta ou dispositivo dentro da organização, utiliza essa posição de confiança para enganar outros usuários do mesmo ambiente. Diferente do spearphishing externo, aqui o e-mail, mensagem ou link malicioso parte de um remetente interno legítimo - o que aumenta drasticamente a taxa de engano, pois os filtros de e-mail corporativos e a desconfiança natural do destinatário são neutralizados pela familiaridade com o remetente. No Brasil e na América Latina, essa técnica é especialmente eficaz em organizações que dependem fortemente de e-mail corporativo e plataformas de mensageria como Microsoft Teams e WhatsApp Business para comunicação interna. Grupos de espionagem como [[g0094-kimsuky|Kimsuky]] e [[g0047-gamaredon|Gamaredon Group]] utilizam contas comprometidas de funcionários para enviar documentos Office armados ou links de coleta de credenciais que imitam portais internos de RH, VPN ou sistemas legados comuns no setor público brasileiro. O ataque segue um padrão de múltiplos estágios: primeiro, o adversário compromete uma conta inicial (via [[t1566-001-spearphishing-attachment|Spearphishing com Anexo]] ou [[t1078-valid-accounts|Contas Válidas Roubadas]]); em seguida, usa essa conta para disparar mensagens internas com payloads adicionais ou links de [[t1056-input-capture|captura de credenciais]], ampliando o acesso lateral dentro da organização vitimada. --- ## Attack Flow ```mermaid graph TB A([Comprometimento<br/>Inicial]) --> B[Conta corporativa<br/>compromisada] B --> C[Reconhecimento<br/>da lista de contatos] C --> D{{"T1534<br/>Internal Spearphishing<br/>fill:#e74c3c,color:#fff"}} D --> E[Envia e-mail/Teams<br/>com payload ou link] E --> F[Vítima abre<br/>anexo ou acessa link] F --> G([Comprometimento<br/>de nova conta]) G --> H([Escalada de<br/>Privilégios ou Exfil]) style D fill:#e74c3c,color:#fff ``` --- ## Como Funciona **Passo 1 - Controle da conta comprometida e mapeamento de alvos** Com acesso à caixa de entrada da conta comprometida, o adversário examina e-mails recentes, listas de contatos e threads ativas para identificar os alvos de maior valor - como gestores de TI, contadores, executivos ou administradores de sistemas. Ferramentas como [[t1114-email-collection|Email Collection]] automatizam esse reconhecimento. O adversário seleciona colegas com quem a conta comprometida trocou mensagens recentemente para aumentar a verossimilhança. **Passo 2 - Construção e disparo do phish interno** O adversário reutiliza threads de e-mail existentes (reply hijacking) ou cria novas mensagens que simulam contextos legítimos - como solicitações de aprovação de documentos, convites para reuniões urgentes ou links para "novas políticas de RH". O payload é entregue via [[t1566-001-spearphishing-attachment|anexo Office com macro]], [[t1566-002-spearphishing-link|link para página de coleta de credenciais]] ou via mensagens em plataformas internas como Microsoft Teams e Slack. **Passo 3 - Execução do payload e expansão lateral** Quando a nova vítima abre o anexo ou acessa o link, o adversário captura suas credenciais via [[t1056-input-capture|Input Capture]] ou executa um dropper que instala um implante de segunda fase ([[s0154-cobalt-strike|Cobalt Strike Beacon]], [[remcos-rat|Remcos RAT]] ou similar). Com cada nova conta comprometida, o ciclo recomeça, permitindo propagação lateral e vertical pela organização - até que contas de alta privilegiação (Domain Admin, Global Admin no M365) sejam alcançadas. --- ## Detecção ### Event IDs Relevantes | Event ID | Fonte | Descrição | |----------|-------|-----------| | `4624` | Windows Security | Logon bem-sucedido - correlacionar com IPs atípicos de acesso à conta | | `4648` | Windows Security | Logon com credenciais explícitas - pode indicar uso de conta comprometida para acessar outros recursos | | `4776` | Windows Security | Falha de válidação de credenciais NTLM - útil para detectar tentativas de acesso a múltiplas contas | | `28` | Microsoft 365 / Exchange Audit | `MailItemsAccessed` - acesso incomum a pastas de e-mail por conta legítima | | `45` | Microsoft 365 Audit | `Send` com anexo de tipo de risco (`.docm`, `.xlsm`, `.iso`) por conta que raramente envia anexos | | `1` | Sysmon | ProcessCreaté - processo Office invocando `cmd.exe` ou `powershell.exe` como filho após abertura de documento | | `11` | Sysmon | FileCreaté - arquivos criados em `%TEMP%` por processos Office - indicativo de dropper em execução | ### Regra Sigma ```yaml title: Internal Spearphishing via Office Document Macro Execution id: 3f8e2c1a-9b7d-4f6e-8a5c-2d4b1e9f3c7a status: experimental description: Detecta macro Office invocando processos de shell após e-mail interno com anexo - padrão característico de spearphishing interno em ambientes corporativos. author: RunkIntel daté: 2026/03/24 logsource: product: windows category: process_creation detection: selection_parent: ParentImage|endswith: - '\WINWORD.EXE' - '\EXCEL.EXE' - '\POWERPNT.EXE' - '\OUTLOOK.EXE' ParentCommandLine|contains: - '.docm' - '.xlsm' - '.pptm' selection_child: Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' - '\rundll32.exe' condition: selection_parent and selection_child falsepositives: - Macros legítimas de automação corporativa (Excel + scripts de relatório) - Add-ins corporativos de Office com comportamento de shell legítimo level: high tags: - attack.lateral_movement - attack.t1534 - attack.initial_access - attack.t1566 ``` --- ## Mitigação | Prioridade | Controle | Descrição para Organizações Brasileiras | |-----------|---------|----------------------------------------| | Alta | Autenticação Multifator (MFA) | Implementar MFA em todas as contas corporativas (M365, Google Workspace, VPN). Mesmo que a senha sejá comprometida, o MFA impede que o adversário acesse a caixa de entrada e dispare phishing interno. Resolução via [[m1032-multi-factor-authentication\|M1032 - MFA]]. | | Alta | Desabilitar Macros no Office | Bloquear macros VBA via GPO em todos os endpoints. Usar políticas ADMX do Microsoft 365 para bloquear macros em arquivos baixados da internet. Aplicar exclusivamente o formato `.xlsx`/`.docx` sem macros para trocas internas. | | Média | Treinamento e Simulações de Phishing | Realizar simulações internas de spearphishing trimestralmente. No Brasil, plataformas como KnowBe4 e Proofpoint Security Awareness têm parceiros locais com conteúdo em português. Foco em reply hijacking e fake portais de VPN/RH. | | Média | Monitoramento de Anomalias em E-mail | Implementar CASB (Microsoft Defender for Cloud Apps, Netskope) para detectar volume atípico de e-mails enviados por uma conta, acesso a pastas de outros usuários e login de IPs incomuns. Correlacionar com logs de [[t1078-valid-accounts\|contas válidas]] suspeitas. | | Baixa | Restrição de Plataformas de Mensageria | Revisar políticas de Microsoft Teams e Slack para impedir que usuários externos enviem mensagens para canais internos. Desabilitar federation com tenants desconhecidos no Microsoft Teams - configuração frequentemente ignorada em implantações rápidas no setor público. | --- ## Threat Actors e Software ### Grupos que Exploram Internal Spearphishing - **[[g0047-gamaredon|Gamaredon Group]]** (APT russo vinculado ao FSB) - usa contas de e-mail comprometidas de funcionários do governo ucraniano para disseminar documentos Word com macros maliciosas em redes internas. Técnica documentada em campanhas contra parceiros diplomáticos que inclui países da América do Sul. - **[[g0094-kimsuky|Kimsuky]]** (APT norte-coreano) - grupo com histórico de spearphishing interno contra think tanks, organizações de defesa e institutos de pesquisa. Usa contas comprometidas para encaminhar e-mails com anexos que exploram vulnerabilidades do Office. Relevante para organizações brasileiras de pesquisa e governo. - **[[g0065-leviathan|Leviathan]]** (APT41/Winnti-adjacent, China) - documentado usando Microsoft Teams como canal de spearphishing interno em campanhas contra fornecedores de tecnologia e contratantes governamentais. - **[[g1001-hexane|HEXANE]]** (operações no Oriente Médio e África) - usa reply hijacking em threads de e-mail legítimos para entregar payloads em redes de energia e petroquímica - setores relevantes no Brasil (Petrobras, distribuidoras de energia elétrica). ### Malware Associado - [[s0154-cobalt-strike|Cobalt Strike]] - implante de segunda fase mais comum entregue via phishing interno no Brasil - [[remcos-rat|Remcos RAT]] - RAT comercial amplamente usado por grupos de crime cibernético brasileiro - [[netsupport-rat|NetSupport RAT]] - usado em campanhas de phishing interno disfarçado de atualização de software corporativo --- *Fonte: [MITRE ATT&CK - T1534](https://attack.mitre.org/techniques/T1534)*