# T1591 - Gather Victim Org Information ## Descrição Adversários coletam sistematicamente informações sobre a estrutura e operações de organizações-alvo durante a fase de reconhecimento pré-intrusão. Essa coleta abrange uma ampla gama de dados organizacionais: nomes e hierarquia de divisões e departamentos, áreas de negócio e operações específicas da empresa, cargos e responsabilidades de funcionários-chave, localização física de escritórios e data centers, ritmo operacional e períodos de menor vigilância, bem como relacionamentos com parceiros, fornecedores e clientes estratégicos. O objetivo central desta técnica é construir um mapa detalhado da organização que permita ao adversário tomar decisões táticas precisas: quem phishear para obter acesso inicial, quais sistemas são mais críticos para o negócio, quando é o melhor momento para atacar (períodos de férias, transições de liderança, pico operacional), quais parceiros de negócio oferecem vetores alternativos de acesso, e como construir pretextos convincentes para engenharia social. Quanto mais completo o perfil organizacional, mais alta a probabilidade de sucesso e menor o ruído gerado durante o ataque. Esta técnica serve como base para toda a cadeia de ataque subsequente. As informações coletadas alimentam diretamente a construção de campanhas de [[t1566-phishing|Phishing]] altamente direcionadas (spear phishing), ataques de comprometimento de e-mail corporativo (BEC), identificação de sistemas para exploração via [[t1190-exploit-public-facing-application|Exploit Public-Facing Application]], e o estabelecimento de recursos operacionais como contas falsas ([[t1585-establish-accounts|Establish Accounts]]) que imitam funcionários reais ou parceiros legítimos da organização. ## Como Funciona A coleta de informações organizacionais combina múltiplas fontes e técnicas, organizadas em quatro sub-técnicas principais: ### T1591.001 - Determine Physical Locations Identificação de localizações físicas da organização por meio de análise de site corporativo, registros de CNPJ/empresas, LinkedIn de funcionários, Google Maps Street View de endereços corporativos, e dados de geolocalização em metadados de documentos e imagens públicados. Localizações físicas são relevantes para determinar fuso horário (timing de ataques), jurisdição legal (LGPD, GDPR), e potencial acesso físico para operações mais sofisticadas. ### T1591.002 - Business Relationships Mapeamento de fornecedores, clientes estratégicos, parceiros de TI e MSPs, conforme detalhado em [[t1590-003-network-trust-dependencies|T1590.003]]. Comúnicados de imprensa, estudos de caso públicados por fornecedores, relatórios anuais, e análise de contratos públicos (especialmente para empresas listadas em bolsa ou entidades governamentais) são as principais fontes. ### T1591.003 - Identify Business Tempo Identificação do ritmo operacional: períodos de maior e menor atividade, datas de fechamento fiscal, ciclos de fusões e aquisições, períodos de auditoria. Atacar durante períodos de alta pressão operacional (como fechamento de balanço anual ou lançamento de produto) aumenta a probabilidade de que alertas de segurança sejam ignorados ou não priorizados adequadamente. ### T1591.004 - Identify Roles Identificação de funcionários com cargos e acessos específicos: executivos de C-suite (para ataques BEC), administradores de sistemas e TI (para spear phishing técnico), profissionais de RH e finanças (para fraudes de folha de pagamento), e responsáveis por tomada de decisão em compras (para ataques de invoice fraud). ### Fontes de Coleta O adversário utiliza predominantemente: - **LinkedIn**: maior fonte de informações sobre estrutura organizacional, cargos, histórico profissional e tecnologias utilizadas - **Site corporativo**: páginas de liderança, sobre nós, comúnicados de imprensa, relatórios de sustentabilidade - **Redes sociais**: Twitter/X, Instagram, Facebook corporativo - revelam eventos, parcerias e momentos de vulnerabilidade - **Glassdoor e plataformas de emprego**: vagas de emprego são riquíssimas em detalhes sobre stack tecnológica, ferramentas internas e processos - **Registros públicos**: CNPJ, Junta Comercial, CVM (para empresas de capital aberto), contratos licitados - **Phishing para coleta de informações**: [[t1598-phishing-for-information|T1598]] - contatos diretos simulando pesquisas, auditorias ou oportunidades de negócio ## Attack Flow ```mermaid graph TB A["Seleção do Alvo<br/>Organização de alto valor"] --> B["Coleta Passiva - OSINT<br/>LinkedIn · Site · Redes Sociais · Registros"] B --> C["Mapeamento Organizacional<br/>Estrutura · Cargos · Localidades · Parceiros"] C --> D1["T1591.001 - Localizações<br/>Escritórios · Data Centers · Fuso Horário"] C --> D2["T1591.002 - Relacionamentos<br/>MSPs · Fornecedores · Clientes"] C --> D3["T1591.003 - Ritmo Operacional<br/>Fechamento Fiscal · Férias · Auditorias"] C --> D4["T1591.004 - Papéis e Acessos<br/>C-Suite · Admins · RH · Finanças"] D1 --> E["Perfil Organizacional Completo"] D2 --> E D3 --> E D4 --> E E --> F1["Spear Phishing Direcionado<br/>T1566 - Phishing"] E --> F2["Ataque via Parceiro<br/>T1199 - Trusted Relationship"] E --> F3["Comprometimento de Conta<br/>T1586 - Compromise Accounts"] E --> F4["Engenharia Social<br/>BEC · Invoice Fraud · CEO Fraud"] ``` ## Exemplos de Uso ### APT28 - Operações de Interferência Eleitoral e Espionagem O [[g0007-apt28|APT28]] (Fancy Bear), grupo atribuído à GRU russa, realiza coleta extensiva de informações organizacionais antes de campanhas de spear phishing altamente direcionadas. Em operações documentadas contra partidos políticos, think tanks e organizações governamentais, o grupo constrói perfis detalhados de funcionários-alvo - incluindo interesses pessoais, histórico profissional e relacionamentos internos - para criar e-mails de phishing indistinguíveis de comúnicações legítimas. Durante as eleições americanas de 2016, o grupo mapeou a estrutura do Comitê Nacional Democrata antes de lançar ataques de spear phishing que comprometeram a organização. ### Lazarus Group - Operações Financeiras Globais O [[g0032-lazarus-group|Lazarus Group]], atribuído à Coreia do Norte, utiliza T1591 de forma sistemática em operações contra o setor financeiro. O grupo mapeia cuidadosamente a estrutura de bancos-alvo, identificando funcionários de departamentos de SWIFT e transferências internacionais, seus cargos específicos, horários de trabalho e sistemas utilizados. Essa inteligência organizacional foi fundamental nos ataques ao Bangladesh Bank (2016) e em diversas tentativas subsequentes contra bancos no Brasil e em outros países da América Latina. O grupo também usa informações organizacionais para identificar funcionários de RH e cometer fraudes de currículo - uma variante recente atribuída à sub-entidade [[g1036-moonstone-sleet|Moonstone Sleet]]. ### Kimsuky - Espionagem Direcionada a Think Tanks O [[g0094-kimsuky|Kimsuky]], outro grupo norte-coreano, é especialista em mapeamento organizacional de think tanks, universidades e organizações governamentais que trabalham com política da Coreia do Norte. O grupo utiliza as informações coletadas para se passar por pesquisadores, jornalistas e colegas acadêmicos em operações de phishing para coleta de informações ([[t1598-phishing-for-information|T1598]]), frequentemente mantendo correspondência por semanas antes de enviar um payload malicioso. ### FIN7 - Ataques ao Setor de Varejo e Hospitalidade O [[g0046-fin7|FIN7]] (Carbanak) utiliza coleta de informações organizacionais para identificar gerentes de restaurantes, redes de hotéis e varejistas com autoridade sobre sistemas de ponto de venda (PDV). O grupo constrói e-mails de spear phishing que imitam comúnicações de fornecedores conhecidos ou de saúde regulatória, aumentando drasticamente a taxa de clique. O mapeamento prévio de estruturas organizacionais é documentado como passo central no playbook do grupo. ### Grupos de Ransomware - Reconhecimento Pré-Negociação Grupos de ransomware como [[lockbit|LockBit]] e [[blackcat|ALPHV]] coletam informações organizacionais não apenas antes do ataque, mas também durante a fase de extorsão. Conhecer a estrutura de liderança, o porte financeiro da empresa, o setor regulatório e os períodos de pressão operacional permite calibrar o valor do resgate e identificar o momento ideal para pressionar a vítima. ## Detecção Por ocorrer completamente fora do ambiente da vítima, esta técnica é extremamente difícil de detectar diretamente. A detecção foca em sinais indiretos e no monitoramento da presença organizacional online. ```yaml title: Enumeração de Funcionários via LinkedIn/Redes Sociais status: experimental description: | Detecta quando informações de funcionários da organização são consultadas em massa via ferramentas de scraping (User-Agent característico, padrões de acesso). Requer monitoramento de logs de acesso ao site corporativo e integração com threat intelligence de infraestrutura de ataque conhecida. logsource: category: webserver product: apache detection: selection_scraping: http_user_agent|contains: - 'python-requests' - 'curl/' - 'scrapy' - 'HeadlessChrome' - 'PhantomJS' selection_target_pages: request_uri|contains: - '/sobre' - '/team' - '/lideranca' - '/contato' - '/diretoria' filter_high_volume: # Mais de 50 requisições em 5 minutos do mesmo IP request_count|gte: 50 condition: selection_scraping and selection_target_pages and filter_high_volume level: low tags: - attack.reconnaissance - attack.t1591 falsepositives: - Bots de mecanismos de busca legítimos - Auditores de acessibilidade de sites ``` ### Detecção via Monitoramento de Exposição Digital | Vetor | Controle de Detecção | |-------|---------------------| | LinkedIn corporativo | Monitorar exportações em massa de dados de funcionários; configurar alertas no LinkedIn Talent Insights | | Site corporativo | Implementar raté limiting e captcha em páginas com informações de equipe | | Phishing de coleta | Treinar funcionários para reconhecer e reportar contatos suspeitos de "pesquisa" ou "auditoria" | | Domínios similares | Monitorar registro de domínios typosquatting via ferramentas como DomainTools ou VirusTotal | ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1056-pre-compromise\|M1056]] | Pre-compromise | Reduzir informações organizacionais disponíveis públicamente. Revisar o que é públicado sobre estrutura interna, tecnologias e parceiros em comúnicados, vagas e redes sociais. | ### Controles Adicionais Recomendados | Controle | Descrição | |----------|-----------| | Política de Redes Sociais | Treinar funcionários sobre o que não compartilhar públicamente sobre a organização | | Minimização de Footprint Digital | Remover informações desnecessárias de perfis corporativos e site público | | Treinamento de Conscientização | Simular ataques de phishing para coleta de informações; treinar reconhecimento de engenharia social | | Verificação de Solicitações | Implementar processos robustos de verificação para solicitações de informações sobre a organização | | Monitoramento de Brand | Utilizar ferramentas de monitoramento de marca que alertem sobre impersonação e coleta suspeita | ## Sub-técnicas - [[t1591-001-determine-physical-locations|T1591.001 - Determine Physical Locations]] - [[t1591-002-business-relationships|T1591.002 - Business Relationships]] - [[t1591-003-identify-business-tempo|T1591.003 - Identify Business Tempo]] - [[t1591-004-identify-roles|T1591.004 - Identify Roles]] ## Contexto Brasil/LATAM O Brasil apresenta características que amplificam a eficácia desta técnica. A cultura brasileira de alta presença em redes sociais - o país consistentemente figura entre os maiores usuários globais de LinkedIn, Instagram e WhatsApp - resulta em funcionários que compartilham proativamente informações sobre seu trabalho, empregador, projetos e colegas. Esse comportamento, natural e culturalmente aceito, cria um perfil organizacional extremamente detalhado disponível a qualquer adversário. O mercado de trabalho brasileiro, com alta rotatividade em TI, resulta em ex-funcionários que frequentemente públicam sobre projetos e tecnologias de ex-empregadores. Vagas de emprego em plataformas como LinkedIn, Catho e InfoJobs são particularmente reveladoras - é comum encontrar vagas que descrevem em detalhes sistemas internos, ferramentas utilizadas, processos operacionais e parceiros de integração. Para o setor público brasileiro, os portais de transparência (Portal da Transparência, Diário Oficial) são fontes riquíssimas de informações sobre estrutura organizacional, contratos com fornecedores e orçamentos - dados que adversários utilizam para mapear tanto o alvo quanto sua cadeia de fornecimento. Grupos que visam órgãos governamentais brasileiros para espionagem ou para comprometer infraestrutura crítica têm acesso a um nível de transparência informacional que raros outros países oferecem. O [[g0007-apt28|APT28]] e grupos affiliados têm histórico documentado de operações contra alvos brasileiros, incluindo entidades governamentais e empresas de infraestrutura crítica. O [[g0094-kimsuky|Kimsuky]] tem interesse em organizações brasileiras relacionadas a pesquisa nuclear e tecnologia de ponta. O [[g0032-lazarus-group|Lazarus Group]] mantém foco constante no setor financeiro brasileiro dada a escala e sofisticação do ecossistema bancário nacional. A LGPD, em vigor desde 2020, não protege diretamente organizações do uso de informações públicas para reconhecimento, mas cria obrigações que - se bem implementadas - reduzem inadvertidamente o footprint digital: minimização de dados públicados, controles sobre o que fornecedores podem divulgar sobre relacionamentos comerciais, e treinamento de funcionários sobre tratamento de dados. ## Referências **Técnicas Relacionadas:** - [[t1591-001-determine-physical-locations|T1591.001 - Determine Physical Locations]] - [[t1591-002-business-relationships|T1591.002 - Business Relationships]] - [[t1591-003-identify-business-tempo|T1591.003 - Identify Business Tempo]] - [[t1591-004-identify-roles|T1591.004 - Identify Roles]] - [[t1598-phishing-for-information|T1598 - Phishing for Information]] - [[t1593-001-social-media|T1593.001 - Social Media]] - [[t1594-search-victim-owned-websites|T1594 - Search Victim-Owned Websites]] - [[t1566-phishing|T1566 - Phishing]] - [[t1199-trusted-relationship|T1199 - Trusted Relationship]] - [[t1585-establish-accounts|T1585 - Establish Accounts]] - [[t1586-compromise-accounts|T1586 - Compromise Accounts]] **Threat Actors:** - [[g0007-apt28|APT28]] - [[g0032-lazarus-group|Lazarus Group]] - [[g1036-moonstone-sleet|Moonstone Sleet]] - [[g0046-fin7|FIN7]] - [[g0094-kimsuky|Kimsuky]] - [[g1017-volt-typhoon|Volt Typhoon]] - [[lockbit|LockBit Ransomware]] - [[blackcat|ALPHV]] - [[g0016-apt29|APT29]] **Mitigações:** - [[m1056-pre-compromise|M1056 - Pre-compromise]] --- *Fonte: [MITRE ATT&CK - T1591](https://attack.mitre.org/techniques/T1591)*