# T1589.001 - Credentials > [!info] Técnica MITRE ATT&CK > **Tática:** Reconnaissance · **ID:** T1589.001 · **Plataforma:** PRE > Técnica de fase pré-intrusão - ocorre antes de qualquer acesso à infraestrutura alvo. ## Descrição A técnica **T1589.001 - Credentials** descreve como adversários coletam credenciais de acesso antes de iniciar um ataque direcionado. Diferente do roubo de credenciais pós-comprometimento, esta técnica é executada inteiramente na fase de **reconhecimento**, sem necessidade de acesso prévio aos sistemas da vítima. Credenciais coletadas nesta fase podem incluir combinações de nome de usuário e senha, tokens de sessão, hashes de senha, chaves de API, certificados digitais e códigos de autenticação multifator (MFA/OTP). Estas informações são exploradas para obter acesso inicial ou expandir o alcance dentro de uma organização sem a necessidade de explorar vulnerabilidades técnicas - tornando o ataque mais silencioso e difícil de detectar. A coleta de credenciais pré-comprometimento é amplamente utilizada por grupos de espionagem patrocinados por Estados (APTs) e operadores de ransomware como serviço (RaaS), especialmente aqueles que compram acesso inicial de brokers. ### Fontes de Credenciais Exploradas Os adversários utilizam múltiplas fontes para obter credenciais válidas: - **Vazamentos (breach dumps):** Bases de dados de credenciais obtidas em comprometimentos anteriores de terceiros, disponíveis em mercados clandestinos como Russian Market, 2easy e Genesis Market - **Logs de infostealers:** Malware como [[s1240-redline-stealer|RedLine Stealer]], [[s1148-raccoon-stealer|Raccoon Stealer]] e [[lumma-stealer|Lumma Stealer]] coletam credenciais salvas em navegadores, clientes VPN e SSH, e as distribuem em canais Telegram e lojas clandestinas - **Repositórios de código:** Credenciais expostas acidentalmente em repositórios GitHub, GitLab e Bitbucket públicos (hardcoded em código-fonte, arquivos `.env`, histórico de commits) - **Phishing direcionado:** Páginas falsas de login (adversary-in-the-middle com [[evilginx|EvilGinx]], Modlishka) capturam credenciais e tokens de sessão em tempo real, bypassando MFA - **Dark web e Telegram:** Canais específicos distribuem logs de infostealers com credenciais corporativas segmentadas por domínio, setor e região geográfica - **Comprometimento de provedores MFA:** Adversários comprometem provedores de SMS/OTP para interceptar códigos de segundo fator Esta técnica está diretamente ligada a [[t1583-001-domains|Domains]] para localizar portais de acesso, e a [[t1598-phishing-for-information|T1598 - Phishing for Information]] como vetor de coleta ativa. --- ## Como Funciona O ciclo de vida desta técnica compreende cinco fases distintas, frequentemente sobrepostas: ### 1. Identificação do Alvo e Superfície de Credenciais O adversário mapeia o alvo utilizando fontes abertas (OSINT) para identificar: - Domínios corporativos e subdomínios (portais VPN, Citrix, RDP, webmail, SSO) - Tecnologias de identidade em uso (Active Directory, Azure AD/Entra ID, Okta, Duo) - Funcionários e seus endereços de e-mail corporativos via LinkedIn, WHOIS, certificados TLS Ferramentas como `theHarvester`, `Hunter.io`, `LinkedIn Sales Navigator` e `Dehashed` são usadas nesta fase. ### 2. Busca em Fontes de Vazamento Com a lista de domínios corporativos em mãos, o adversário consulta: - **HaveIBeenPwned / DeHashed / LeakCheck:** Para verificar se o domínio aparece em vazamentos conhecidos - **Mercados clandestinos:** Russian Market e 2easy oferecem logs segmentados por domínio, incluindo credenciais para Office 365, VPNs e sistemas financeiros - **Canais Telegram de infostealer logs:** Dezenas de canais distribuem logs gratuitos e pagos com credenciais organizadas por país e setor ### 3. Coleta Ativa via Phishing Quando credenciais não estão disponíveis em vazamentos, o adversário pode iniciar campanhas de [[t1598-phishing-for-information|Phishing for Information]] com: - Páginas de login falsas hospedadas em domínios typosquatting (`micros0ft-login.com`) - Proxies AiTM (Adversary-in-the-Middle) que capturam credenciais e cookies de sessão simultaneamente, bypassando MFA baseado em TOTP - E-mails de pretexto simulando notificações de segurança, redefinição de senha ou convites para colaboração ### 4. Validação de Credenciais Antes de usar as credenciais em um ataque, o adversário as válida silenciosamente: - Testa contra portais públicos (OWA, Azure AD, VPN gateways) com ferramentas como `MSOLSpray`, `Ruler`, `o365spray` - Usa infraestrutura de proxy residencial para evadir bloqueios por geolocalização - Verifica se as credenciais ainda estão ativas antes de prosseguir para a fase de acesso inicial ### 5. Monetização e Uso Credenciais válidas são então utilizadas para: - Acesso inicial via [[t1078-valid-accounts|T1078 - Valid Accounts]] ou [[t1133-external-remote-services|T1133 - External Remote Services]] - Venda para outros atores como "Initial Access Brokers" (IABs) - Escalada lateral dentro da organização comprometida --- ## Attack Flow ```mermaid graph TB A["Mapeamento OSINT<br/>(domínios, emails, tecnologias)"] --> B["Busca em Breach Dumps<br/>(Russian Market, 2easy, Telegram)"] A --> C["Campanha de Phishing AiTM<br/>(EvilGinx, Modlishka)"] A --> D["Monitoramento de Repos<br/>(GitHub, GitLab - secrets expostos)"] B --> E["Validação de Credenciais<br/>(MSOLSpray, o365spray)"] C --> E D --> E E --> F{Credenciais Válidas?} F -->|Sim| G["Acesso Inicial<br/>(T1078, T1133)"] F -->|Não| H["Descarte ou Reutilização<br/>Como Histórico"] G --> I["Comprometimento<br/>ou Venda como IAB"] ``` --- ## Exemplos de Uso ### APT28 (Fancy Bear) - Espionagem via Credential Harvesting O [[g0007-apt28|APT28]], grupo de espionagem ligado ao GRU russo, é um dos atores mais prolíficos no uso desta técnica. O grupo operou o serviço de phishing **X-Agent** e utilizou domínios typosquatting para coletar credenciais de jornalistas, políticos e funcionários governamentais. Em campanhas contra organizações da OTAN e governo ucraniano (2022-2024), o APT28 utilizou páginas AiTM para capturar tokens de sessão do Office 365, bypassando MFA baseado em TOTP. ### LAPSUS$ - Compra em Mercados Clandestinos O grupo [[g1004-lapsus|LAPSUS$]], composto majoritariamente por jovens hackers do Brasil e Reino Unido, demonstrou como credenciais compradas em mercados de infostealer logs podem ser extremamente eficazes. O grupo comprometeu empresas como Microsoft, Nvidia, Samsung e Okta em 2022 utilizando credenciais de funcionários obtidas de logs do [[s1240-redline-stealer|RedLine Stealer]] e outros infostealers - sem explorar nenhuma vulnerabilidade técnica zero-day. **Relevância LATAM:** O LAPSUS$ tem membros brasileiros identificados, e logs de infostealers com credenciais de empresas brasileiras são frequentemente comercializados em grupos do Telegram em português. ### Magic Hound (APT35) - Phishing de Pesquisadores O [[g0059-magic-hound|Magic Hound]], vinculado ao governo iraniano, conduz campanhas de phishing sofisticadas contra pesquisadores de segurança, think tanks e instituições acadêmicas. O grupo cria personas falsas em plataformas como LinkedIn para estabelecer contato e enviar links de phishing, coletando credenciais de sistemas de e-mail e VPNs corporativas. ### Leviathan (APT40) - Comprometimento de Provedores MFA O [[g0065-leviathan|Leviathan]], atribuído ao Ministério de Segurança do Estado da China, comprometeu provedores de serviços de telecomúnicações para interceptar SMS de autenticação, efetivamente neutralizando MFA baseado em SMS para alvos de alto valor no setor governamental e de defesa. --- ## Detecção A detecção de T1589.001 é desafiadora porque ocorre majoritariamente fora do perímetro controlado da organização. A estratégia de detecção deve combinar monitoramento externo (threat intelligence) com alertas internos sobre uso anômalo de credenciais. ### Sinais de Alerta Externos - **Credenciais corporativas aparecendo em breach dumps:** Monitorar serviços como HaveIBeenPwned Enterprise, Flare, Constella Intelligence ou SpyCloud para alertas de domínio - **Domínios typosquatting registrados:** Monitorar registros de domínios similares ao da organização via WHOIS e Certificaté Transparency Logs - **Menções em Telegram e dark web:** Ferramentas de DRPS (Digital Risk Protection Services) monitoram canais de distribuição de logs ### Sigma Rule - Uso Anômalo de Credenciais Após Exposição ```yaml title: Logon de Credencial Potencialmente Comprometida status: experimental description: > Detecta autenticação bem-sucedida de conta cujas credenciais foram reportadas em breach dumps ou infostealer logs recentes. Requer integração com feed de threat intelligence de credenciais comprometidas. logsource: category: authentication product: windows detection: selection: EventID: 4624 LogonType: 3 filter_normal_hours: # Logins fora do horário comercial merecem aténção adicional HourOfDay|gt: 22 HourOfDay|lt: 6 condition: selection and filter_normal_hours falsepositives: - Funcionários em fuso horário diferente - Sistemas automatizados legítimos level: medium tags: - attack.reconnaissance - attack.t1589.001 ``` ### Sigma Rule - Acesso a Repositório com Segredos Expostos ```yaml title: Acesso Suspeito a Repositório com Histórico de Segredos status: experimental description: > Detecta clones ou acessos a repositórios onde secrets foram previamente expostos no histórico de commits. logsource: category: application product: github detection: selection: action: git.clone repository_visibility: public condition: selection falsepositives: - Desenvolvedores legítimos clonando seus próprios repositórios level: low tags: - attack.reconnaissance - attack.t1589.001 ``` ### Indicadores de Comprometimento (IoCs) Comportamentais - Login bem-sucedido de um IP nunca antes utilizado pela conta, especialmente de geolocalização incomum - Uso de credenciais válidas imediatamente após uma tentativa de phishing detectada - Autenticação bem-sucedida em horários atípicos para o perfil do usuário - Múltiplas contas autenticando de um mesmo endereço IP (possível válidação em lote) --- ## Mitigação | ID | Mitigação | Descrição | |---|-----------|-----------| | M1056 | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | A única mitigação oficial do MITRE para esta técnica reconhece que a coleta ocorre fora do controle direto da organização. Recomenda-se monitoramento proativo de breach dumps e educação de usuários sobre higiene de senhas. | ### Controles Complementares Recomendados Além da mitigação oficial M1056, os seguintes controles reduzem significativamente o impacto desta técnica: 1. **Autenticação multifator resistente a phishing:** Implementar MFA baseado em FIDO2/WebAuthn (YubiKey, passkeys) que é imune a ataques AiTM. Evitar MFA baseado em SMS ou TOTP como único fator para sistemas críticos. 2. **Monitoramento contínuo de credenciais comprometidas:** Assinar serviços como HaveIBeenPwned Enterprise, SpyCloud ou Flare para receber alertas quando credenciais corporativas aparecerem em breach dumps. 3. **Higiene de senhas sem reuso:** Implementar políticas que detectem e bloqueiem o uso de senhas previamente comprometidas (integração com API do HaveIBeenPwned para válidação durante redefinição de senha). 4. **Proteção de repositórios de código:** Usar ferramentas como `git-secrets`, `TruffleHog` ou GitHub Secret Scanning para detectar e revogar automaticamente segredos expostos em commits. 5. **Treinamento anti-phishing:** Realizar simulações regulares de phishing e treinar usuários para reconhecer páginas de login falsas e solicitações suspeitas de credenciais. 6. **Zero Trust e acesso condicional:** Implementar políticas de acesso condicional que exijam conformidade do dispositivo, localização conhecida e comportamento esperado - tornando credenciais roubadas insuficientes por si só. --- ## Contexto Brasil/LATAM > [!warning] Alta Relevância Regional > O Brasil é um dos países mais afetados por distribuição de logs de infostealers e mercados de credenciais comprometidas na América Latina. ### Panorama Brasileiro O mercado de credenciais comprometidas tem crescimento expressivo no contexto brasileiro por fatores específicos: **Infostealers focados em LATAM:** Famílias como [[s0531-grandoreiro|Grandoreiro]], [[mekotio|Mekotio]] e [[s0455-metamorfo|Casbaneiro]] - trojans bancários com origem brasileira - coletam credenciais de sistemas bancários, portais corporativos e plataformas de e-commerce. Embora sejam técnicamente trojans bancários, muitas variantes também coletam credenciais armazenadas em navegadores. **Vazamentos corporativos recorrentes:** O Brasil tem histórico de grandes vazamentos de dados corporativos e governamentais. O vazamento do Serasa (2021, ~223 milhões de registros) e de diversas autarquias governamentais estaduais disponibilizou dados que ainda circulam em forums clandestinos e são usados para credential stuffing. **LAPSUS$ e a dimensão brasileira:** A participação de membros brasileiros no grupo [[g1004-lapsus|LAPSUS$]] demonstrou que atores locais têm acesso sofisticado a técnicas de coleta de credenciais via mercados de infostealer logs. O grupo comprometeu dezenas de empresas Fortune 500 sem explorar vulnerabilidades técnicas, apenas usando credenciais compradas. **Grupos de Telegram brasileiros:** Existem canais no Telegram em português dedicados exclusivamente à distribuição de logs de infostealers segmentados para alvos brasileiros - incluindo credenciais de portais bancários (internet banking), sistemas da Receita Federal, plataformas de corretoras e sistemas de e-commerce. O [[cert-br|CERT.br]] tem atuado no monitoramento e takedown destes canais. **Setor financeiro como alvo primário:** O setor [[financial|financeiro]] brasileiro - com alta bancarização digital e sistemas como PIX - é alvo prioritário. Credenciais de operadores de sistemas financeiros (bancos, corretoras, fintechs) têm valor elevado nos mercados clandestinos. ### Incidentes Notáveis na Região - **Operação Synergia (Interpol, 2024):** Operação internacional com participação do Brasil que desarticulou infraestruturas de distribuição de infostealers na América Latina - **Comprometimento de prestadoras de telecomúnicações (2023-2024):** Múltiplas operadoras de telecom brasileiras tiveram dados de clientes expostos, incluindo informações que facilitam ataques de SIM swapping - técnica usada para interceptar MFA via SMS - **Campanha contra governo estadual (2025):** Atores desconhecidos utilizaram credenciais obtidas de logs de infostealer para acessar sistemas de secretarias estaduais brasileiras antes de serem detectados --- ## Referências - [MITRE ATT&CK - T1589.001](https://attack.mitre.org/techniques/T1589/001) - [CISA - Phishing for Information](https://www.cisa.gov/news-events/alerts/2022/02/26/warning-russia-cyber-actors-targeting-cleared-defense-contractors) - [Mandiant - Initial Access Broker Ecosystem](https://www.mandiant.com/resources/blog/initial-access-brokers) - [SpyCloud - Annual Identity Exposure Report 2024](https://spycloud.com/resource/annual-identity-exposure-report/) - [CERT.br - Relatório de Incidentes 2024](https://www.cert.br/stats/) - [Recorded Future - Infostealer Logs Market Analysis](https://www.recordedfuture.com/research/infostealer-market) **Técnicas relacionadas:** - [[t1589-gather-victim-identity-information|T1589 - Gather Victim Identity Information]] (técnica pai) - [[t1598-phishing-for-information|T1598 - Phishing for Information]] - [[t1583-001-domains|Domains]] - [[t1586-compromise-accounts|T1586 - Compromise Accounts]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1133-external-remote-services|T1133 - External Remote Services]] - [[t1110-003-password-spraying|T1110.003 - Password Spraying]] - [[t1110-002-password-cracking|T1110.002 - Password Cracking]] --- *Fonte: [MITRE ATT&CK - T1589.001](https://attack.mitre.org/techniques/T1589/001) · Versão 16.2*