# T1589 - Gather Victim Identity Information ## Descrição Adversários coletam informações sobre a identidade de funcionários e usuários de uma organização alvo como preparação para ataques direcionados. Essa técnica de reconhecimento é a base de campanhas de engenharia social sofisticadas, phishing direcionado (spearphishing) e ataques de comprometimento de credenciais que precedem o acesso inicial. As informações de identidade coletadas incluem nomes de funcionários, endereços de e-mail corporativos, cargos e funções organizacionais, credenciais vazadas em breaches anteriores, configurações de autenticação multifator (MFA), e dados de recuperação de conta (perguntas de segurança). Cada fragmento de identidade torna os ataques subsequentes mais convincentes e probabilisticamente mais eficazes. A amplitude de atores que utilizam esta técnica é notável: desde grupos hacktivistas oportunistas como o [[g1004-lapsus|LAPSUS$]] até operações de espionagem estatal altamente sofisticadas como o [[g1033-star-blizzard|Star Blizzard]] (Rússia/FSB) e o [[g0059-magic-hound|Magic Hound]] (Irã). O [[g1015-scattered-spider|Scattered Spider]] - grupo responsável por comprometimentos devastadores na MGM Resorts e Caesars Entertainment em 2023 - demonstrou que a coleta de identidade direcionada, combinada com engenharia social via voz e SMS, pode contornar até MFA avançado. No Brasil, o grupo [[g1016-fin13|FIN13]] operou extensivamente coletando identidades de funcionários do setor financeiro para viabilizar fraudes sofisticadas. ## Como Funciona **1. Mineração de redes sociais e LinkedIn** O LinkedIn é a fonte primária de informações de identidade corporativa. Adversários enumerem funcionários de uma organização alvo, coletando nomes completos, cargos, histórico profissional, localização e, frequentemente, e-mail padrão deduzível (ex: `[email protected]`). O LinkedIn Sales Navigator oferece capacidades de busca avançadas que alguns adversários exploram. O [[g1001-hexane|HEXANE]], grupo iraniano com foco em petróleo e telecomúnicações, é conhecido por criar perfis falsos de recrutadores no LinkedIn para estabelecer contato com funcionários-alvo. **2. Dumps de credenciais e data breaches** Credenciais vazadas em breaches anteriores são coletadas via mercados da dark web, repositórios no Telegram, sites como Have I Been Pwned, e dumps públicos. O [[g1004-lapsus|LAPSUS$]] é o caso mais documentado desta abordagem: o grupo comprava acesso a credenciais corporativas em fóruns criminais e via recrutamento de insiders, contornando completamente a necessidade de exploração técnica sofisticada. Credenciais de e-mails corporativos brasileiros (.com.br) frequentemente aparecem em dumps globais de serviços como Adobe, LinkedIn, RockYou e outros. **3. Probing de serviços de autenticação** Serviços de Single Sign-On (SSO) e portais de login muitas vezes respondem de forma diferente para usuários válidos e inválidos. Adversários enviam requisições de autenticação e analisam respostas para enumerar usuários válidos sem necessidade de senha correta (técnica de *username enumeration*). Portais Office 365/Microsoft Entra e GSuite são alvos frequentes. **4. Phishing para elicitação de informações** O [[t1598-phishing-for-information|Phishing for Information]] é usado específicamente para obter respostas a perguntas de segurança, tokens de MFA (via sites de phishing em tempo real como Evilginx), ou informações de identidade voluntariamente fornecidas. O [[g0059-magic-hound|Magic Hound]] é especializado em campanhas de spearphishing que simulam convites de conferências e comúnicações de pesquisadores para obter informações de identidade de alvos de alto valor. **5. Scraping de sites corporativos e comúnicados públicos** Páginas "Sobre nós", comúnicados à imprensa, relatórios anuais, e públicações de reguladores (CVM, Banco Central do Brasil) frequentemente listam nomes e cargos de executivos. Arquivos de e-mail em formatos padronizados (`[email protected]`) podem ser derivados a partir desses dados. ## Attack Flow ```mermaid graph TB A[Adversário seleciona organização alvo] --> B[Identificação de funcionários-chave] B --> C{Métodos de coleta} C --> D[LinkedIn / Redes Sociais] C --> E[Breaches e dumps de credenciais] C --> F[Probing de serviços de autenticação] C --> G[Site corporativo / Comúnicados públicos] D --> H[Nomes, cargos e e-mails] E --> H F --> H G --> H H --> I[Validação e enriquecimento de identidades] I --> J{Objetivo} J --> K[Phishing direcionado T1566] J --> L[Comprometimento de contas T1078] J --> M[Engenharia social e vishing] K --> N[Acesso inicial] L --> N M --> N ``` ## Exemplos de Uso ### LAPSUS$ - Modelo de Reconhecimento de Identidade em Escala O [[g1004-lapsus|LAPSUS$]] desenvolveu um modelo de ataque altamente eficaz baseado quase inteiramente em T1589. O grupo utilizava Telegram para recrutar insiders e comprar credenciais, coletava identidades via LinkedIn e dumps públicos, e então aplicava engenharia social agressiva - incluindo chamadas de voz (*vishing*) para service desks corporativos - para redefinir credenciais ou contornar MFA. A abordagem resultou em comprometimentos de Microsoft, NVIDIA, Samsung, Okta e Vodafone. A ausência de exploits técnicos sofisticados e o foco na camada humana tornou T1589 o centro do modelo operacional do grupo. ### Scattered Spider - Coleta de Identidade para Social Engineering O [[g1015-scattered-spider|Scattered Spider]] coletou sistematicamente identidades de funcionários de empresas de hospitalidade e tecnologia, identificando específicamente funcionários de service desks e TI com acesso administrativo. Com esses dados, o grupo ligava para service desks fingindo ser funcionários legítimos em situação de emergência (bloqueio de MFA, troca de dispositivo), solicitando reset de credenciais. A coleta prévia de nomes, números de ID de funcionário e outros dados de identidade tornava as solicitações convincentes. ### FIN13 - Reconhecimento de Identidade no Setor Financeiro Brasileiro O [[g1016-fin13|FIN13]], grupo com histórico de operações no México e Brasil focado no setor financeiro, coletou extensivamente identidades de funcionários de instituições financeiras. O grupo utilizava e-mails corporativos válidos de funcionários como ponto de entrada para campanhas de spearphishing e comprometimento de sistemas de pagamento, demonstrando a relevância de T1589 para ameaças específicas ao ecossistema financeiro da América Latina. ### Star Blizzard - Coleta de Identidade para Espionagem O [[g1033-star-blizzard|Star Blizzard]] (anteriormente conhecido como SEABORGIUM, Callisto Group), vinculado ao FSB russo, realiza reconhecimento detalhado de identidade antes de ataques de spearphishing de alta precisão. O grupo cria perfis falsos em redes sociais e plataformas acadêmicas, estabelece contato com alvos ao longo de semanas para construir confiança, e usa informações de identidade coletadas para personalizar mensagens de phishing que levam a páginas de coleta de credenciais. ## Detecção A coleta passiva de informações de identidade é práticamente indetectável pela organização vítima. As oportunidades de detecção estão concentradas em atividades mais ativas: ```yaml title: Enumeração de Usuários em Portais de Autenticação status: experimental logsource: category: authentication product: azure_ad detection: selection_fail: EventID: 50034 ResultType: "50034" timeframe: 5m condition: selection_fail | count() > 20 level: medium tags: - attack.reconnaissance - attack.t1589 ``` ```yaml title: Acesso a Dumps de Credenciais em Telegram/Dark Web status: experimental logsource: category: network product: proxy detection: selection: cs-uri-host|contains: - "haveibeenpwned.com" - "dehashed.com" - "leakcheck.io" http-method: POST condition: selection level: low tags: - attack.reconnaissance - attack.t1589.001 ``` > [!tip] Detecção Proativa > Organizações podem usar serviços como **Have I Been Pwned** (versão empresarial), **SpyCloud**, ou **Flare** para monitorar ativamente se credenciais e e-mails corporativos aparecem em novos vazamentos - transformando a vantagem informacional do adversário em inteligência defensiva. ## Sub-técnicas - [[t1589-001-credentials|T1589.001 - Credentials]] - [[t1589-002-email-addresses|T1589.002 - Email Addresses]] - [[t1589-003-employee-names|T1589.003 - Employee Names]] ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1056 | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Limitar informações de identidade públicamente expostas; treinar funcionários para consciência de OSINT pessoal; implementar políticas de privacidade em redes sociais profissionais | **Medidas adicionais recomendadas:** - **Monitoramento de vazamentos:** Assinar serviços de monitoramento de credenciais (Have I Been Pwned Enterprise, SpyCloud, Flare) para detecção precoce de credenciais corporativas comprometidas. - **Treinamento de funcionários:** Conscientizar sobre os riscos de exposição excessiva no LinkedIn (estrutura organizacional, projetos em andamento, fornecedores). - **MFA resistente a phishing:** Implementar FIDO2/passkeys em vez de OTP via SMS ou app, que são vulneráveis a ataques de phishing em tempo real. - **Padronização de formatos de e-mail:** Evitar padrões de e-mail totalmente previsíveis; considerar variações que dificultem enumeração automatizada. - **Proteção de service desk:** Implementar protocolos de verificação de identidade robustos para solicitações de reset de credenciais e MFA - o vetor exato usado pelo [[g1015-scattered-spider|Scattered Spider]]. ## Contexto Brasil/LATAM O Brasil apresenta características que amplificam o risco associado a T1589: **Alta adoção do LinkedIn com baixa consciência de privacidade:** O Brasil é um dos países com maior base de usuários do LinkedIn na América Latina. Funcionários de setores regulados (financeiro, governo, energia) frequentemente expõem em seus perfis informações sensíveis como projetos internos, fornecedores estratégicos, e estrutura hierárquica detalhada. **Vazamentos de dados em escala:** O Brasil foi palco de alguns dos maiores vazamentos de dados do mundo - o vazamento de 2021 expôs CPFs, dados financeiros e informações de contato de mais de 220 milhões de brasileiros. Combinados com credenciais corporativas, esses dados formam perfis de identidade extremamente detalhados para engenharia social. **LGPD e o desafio da responsabilização:** A Lei Geral de Proteção de Dados (LGPD) criou obrigações de notificação de incidentes, mas a fiscalização ainda está em desenvolvimento. Organizações brasileiras podem não ter visibilidade completa de quais dados de seus funcionários estão expostos públicamente. **Grupos ativos direcionando o Brasil:** - [[g1004-lapsus|LAPSUS$]] - com membros brasileiros e histórico de ataques a organizações nacionais e multinacionais com operações no Brasil - [[g1016-fin13|FIN13]] - focado no setor financeiro da América Latina, incluindo o Brasil - Grupos de BEC (*Business Email Compromise*) com operações no Brasil, frequentemente utilizando T1589 para identificar executivos com autoridade de transferência financeira ## Referências - [MITRE ATT&CK - T1589](https://attack.mitre.org/techniques/T1589) - [CISA Advisory AA23-040A - LAPSUS$](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-040a) - [Microsoft - Scattered Spider](https://www.microsoft.com/en-us/security/blog/2023/10/25/octo-tempest-crosses-boundaries-to-facilitaté-extortion-encryption-and-destruction/) - [Mandiant - FIN13: A Cybercriminal Threat Actor Focused on Mexico](https://www.mandiant.com/resources/blog/fin13-cybercriminal-mexico) - [CISA - Star Blizzard (Callisto Group)](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-341a) - [Have I Been Pwned - Enterprise](https://haveibeenpwned.com/API/v3)