# T1597 - Search Closed Sources > [!info] Técnica MITRE ATT&CK > **Tática:** Reconnaissance · **ID:** T1597 · **Plataforma:** PRE (pré-comprometimento) > **Sub-técnicas:** [[t1597-001-threat-intel-vendors|T1597.001]] · [[t1597-002-purchase-technical-data|T1597.002]] ## Descrição Adversários pesquisam e coletam informações sobre vítimas em fontes **fechadas** - pagas, privadas ou de acesso restrito - que não estão disponíveis públicamente na internet convencional. Ao contrário do reconhecimento via fontes abertas (OSINT), esta técnica envolve o acesso deliberado a repositórios de dados proprietários, mercados de dados da dark web, fóruns criminosos e bancos de dados comerciais de inteligência de ameaças. As fontes fechadas podem incluir: feeds comerciais de inteligência de ameaças com dados técnicos detalhados, bases de dados de vulnerabilidades com informações de exploração não públicadas, mercados de dados no ecossistema criminoso onde credenciais, perfis de organizações e dados internos são comprados e vendidos, e fóruns privados onde atores de ameaça compartilham informações sobre alvos entre si. Esta técnica representa um nível de sofisticação elevado na fase de reconhecimento: o adversário investe recursos financeiros ou relacionais para obter inteligência que confere vantagem operacional significativa. A informação coletada pode revelar oportunidades para [[t1598-phishing-for-information|Phishing for Information]], [[t1583-001-domains|Domains]], [[t1587-develop-capabilities|Develop Capabilities]], [[t1588-obtain-capabilities|Obtain Capabilities]] e acesso inicial via [[t1133-external-remote-services|External Remote Services]] ou [[t1078-valid-accounts|Valid Accounts]]. No ecossistema criminoso brasileiro e latino-americano, o Search Closed Sources é amplamente práticado através de fóruns nacionais como o extinto OGUsers BR, canais Telegram fechados onde credenciais de organizações brasileiras são comercializadas, e mercados na dark web com foco em dados de LATAM. ## Como Funciona A técnica opera através de dois vetores principais que se complementam: **1. Fontes comerciais legítimas - T1597.001** Adversários sofisticados, como grupos de espionagem patrocinados por Estados, frequentemente adquirem assinaturas legítimas de plataformas de threat intelligence (Recorded Future, Mandiant Advantage, Shodan Enterprise, etc.) usando empresas de fachada ou identidades falsas. Esses serviços fornecem dados técnicos detalhados sobre vulnerabilidades, perfis de organizações e dados de inteligência que podem ser abusados para planejamento de ataques. O grupo [[g1011-exotic-lily|EXOTIC LILY]], por exemplo, utilizou dados de perfis profissionais e corporativos adquiridos legitimamente para refinar suas campanhas de BEC (Business Email Compromise). **2. Fontes ilegítimas - T1597.002 - Dark Web e Mercados Criminosos** O ecossistema criminoso mantém uma economia robusta de dados roubados e inteligência corporativa: - **Initial Access Brokers (IABs):** Vendem acesso a redes corporativas previamente comprometidas. Um adversário pode comprar acesso VPN, RDP ou webshell a uma organização específica antes de iniciar sua operação - **Credential Marketplaces:** Plataformas como Genesis Market (extinto), Russian Market e 2easy Shop vendem cookies de sessão, credenciais salvas em navegadores e dados de autenticação roubados por infostealers - **Corporaté Data Dumps:** Vendas de dumps de bases de dados com informações de clientes, funcionários e fornecedores de organizações específicas - **Fóruns especializados:** Comunidades fechadas onde atores de ameaça compartilham inteligência sobre alvos, vulnerabilidades 0-day e técnicas de evasão **3. Fóruns e Canais Privados de Threat Intelligence Compartilhada** Alguns grupos de ameaça mantêm suas próprias redes de inteligência, onde membros compartilham informações sobre alvos comprometidos, vetores de ataque bem-sucedidos e dados de reconhecimento. Esses fóruns são tipicamente acessíveis apenas por convite ou mediante pagamento em criptomoedas. ## Attack Flow ```mermaid graph TB A["🎯 Identificação do Alvo<br/>Organização selecionada<br/>para reconhecimento avançado"] --> B["💰 Acesso a Fonte Fechada<br/>Assinatura legítima com<br/>identidade falsa OU<br/>compra na dark web"] B --> C1["📊 Fonte Comercial Legítima<br/>Recorded Future, Shodan Enterprise,<br/>HaveIBeenPwned Premium, LinkedIn"] B --> C2["🌑 Fonte Criminosa<br/>IABs, credential markets,<br/>corpdata dumps, fóruns privados"] C1 --> D["🔍 Coleta de Inteligência<br/>Perfis de infraestrutura,<br/>vulnerabilidades, contatos"] C2 --> D D --> E["🧩 Correlação e Análise<br/>Cruzamento de dados:<br/>credenciais + infraestrutura<br/>+ contatos + tecnologias"] E --> F["📋 Plano de Ataque<br/>Vector de acesso inicial definido,<br/>contas-alvo identificadas,<br/>vulnerabilidades mapeadas"] F --> G["⚡ Operação Iniciada<br/>Phishing direcionado, compra de acesso,<br/>exploração de vulnerabilidades<br/>ou credential stuffing"] style A fill:#1a1a2e,color:#e0e0e0 style G fill:#4a0000,color:#ffcccc style C2 fill:#3d0000,color:#ffaaaa ``` ## Exemplos de Uso ### EXOTIC LILY - Uso de Dados Corporativos para BEC Sofisticado O grupo [[g1011-exotic-lily|EXOTIC LILY]], atuando como Initial Access Broker (IAB) para grupos de ransomware, demonstrou uso sofisticado de dados de fontes fechadas para aprimorar campanhas de spear-phishing e BEC. O grupo utilizava informações de perfis do LinkedIn combinadas com dados comprados de plataformas de dados B2B para criar pretextos altamente convincentes, personalizando e-mails com informações internas específicas da vítima - cargo de colegas, nomes de projetos em andamento, terminologia interna. Esse nível de personalização só é possível com acesso a fontes de inteligência fechadas. ### Initial Access Brokers - Economia de Acesso no Brasil O mercado de IABs tem crescido significativamente no contexto brasileiro. Grupos criminosos locais compram acesso a redes de empresas brasileiras de setores como financeiro, varejo e saúde, e revendem esse acesso para operadores de ransomware como [[lockbit|LockBit]] e grupos afiliados ao [[blackcat|BlackCat]]. O ciclo completo - reconhecimento via fontes fechadas → compra de acesso → deploy de ransomware - pode ocorrer em menos de 72 horas. ### Espionagem Corporativa - Setor de Energia LATAM Grupos de espionagem patrocinados por Estados utilizam assinaturas de plataformas de inteligência geopolítica e dados de licitações públicas (técnicamente públicos mas agregados e enriquecidos em bases pagas) para mapear fornecedores de infraestrutura crítica no Brasil. A Petrobras, Eletrobras e distribuidoras de energia são alvos recorrentes de reconhecimento sofisticado que inclui fontes fechadas. ### Infostealer-to-Ransomware Pipeline Um padrão crescente no Brasil: credenciais coletadas por infostealers (Redline, Vidar, Lumma) são vendidas em mercados fechados. Operadores de ransomware compram lotes de credenciais de VPNs corporativas brasileiras e realizam credential stuffing para identificar acesso válido antes do deploy de ransomware. Esta técnica combina [[t1597-002-purchase-technical-data|T1597.002]] com [[t1078-valid-accounts|T1078 - Valid Accounts]]. ## Detecção A detecção de T1597 é estruturalmente difícil: as atividades ocorrem em infraestrutura de terceiros, fora do perímetro da organização alvo. A estratégia efetiva foca em **detecção indireta** e **inteligência sobre o ecossistema criminoso**: ### Monitoramento de Credenciais em Mercados Criminosos ```yaml title: Credenciais Corporativas Detectadas em Dark Web Markets status: experimental logsource: category: threat-intelligence product: dark-web-monitoring detection: selection: data_type: - "corporate_credentials" - "session_cookies" - "vpn_credentials" - "rdp_credentials" organization_domain: - "empresa.com.br" - "empresa.corp" marketplace_category: "closed-source" condition: selection level: critical tags: - attack.reconnaissance - attack.t1597 - attack.t1597.002 ``` ### Detecção de Acesso de IAB via Anomalia de Autenticação ```yaml title: Acesso VPN de Localização Geográfica Anômala Após Exposição em Dark Web status: experimental logsource: category: authentication product: vpn detection: selection: event_type: "vpn_authentication_success" geolocation_country_not_in: - "BR" - "US" filter_legitimate: user_travel_declared: false previous_login_country: "BR" timeframe: 24h condition: selection and not filter_legitimate level: high tags: - attack.reconnaissance - attack.t1597 - attack.t1078 ``` ### Estrategias Proativas de Detecção - **Assinatura de serviços de monitoramento de dark web:** Plataformas como Recorded Future, Flare.io e DarkOwl monitoram continuamente mercados criminosos em busca de dados da organização - **Honeypot de credenciais:** Criar credenciais corporativas falsas e publicá-las de forma controlada em vazamentos simulados. Qualquer tentativa de uso indica que alguém adquiriu e está testando dados comprados - **Monitoramento de Initial Access Brokers:** Acompanhar fóruns públicos onde IABs anunciam acesso a redes (Exploit.in, XSS.is) para identificar menções à organização ou setor - **Threat Intelligence compartilhada:** Participar de grupos de compartilhamento de inteligência setoriais (ISACs) para receber alertas sobre credenciais da indústria expostas ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1056-pre-compromise\|M1056]] | Pre-Compromise | Mitigações pré-comprometimento: monitoramento ativo de exposição de dados corporativos em fontes fechadas e dark web | | - | Monitoramento Dark Web | Assinatura de serviços especializados (Flare, Recorded Future, SpyCloud) para receber alertas quando dados da organização aparecem em mercados criminosos | | - | MFA Resistente a Phishing | Implementar autenticação multifator com FIDO2/passkeys em todos os sistemas críticos, tornando credenciais compradas de mercados criminosos inutilizáveis sem o segundo fator | | - | Rotation de Credenciais | Rotação periódica de credenciais de VPN, serviços de acesso remoto e contas privilegiadas, reduzindo a jánela de válidade de credenciais compradas | | - | Infostealer Prevention | Soluções de EDR com detecção de infostealers e políticas de proteção de credenciais em navegadores (credential vault, anti-keylogging) para evitar que credenciais entrem no ecossistema criminoso | | - | Zero Trust Architecture | Implementação de Zero Trust reduz o valor de credenciais compradas: acesso granular, verificação contínua e microsegmentação limitam o que um adversário pode fazer mesmo com credenciais válidas | ## Contexto Brasil/LATAM O Brasil ocupa posição de destaque no ecossistema criminoso global como fonte e destino de dados de fontes fechadas: **Mercados criminosos brasileiros:** O país desenvolveu um ecossistema criminoso digital sofisticado. Canais Telegram e fóruns como o antigo OGusers.BR e equivalentes ativos comercializam credenciais de bancos brasileiros, dados de CPF/CNPJ, acesso a sistemas corporativos e inteligência sobre organizações específicas. A combinação de dados do Pix, SERASA e bases do governo cria um perfil de vítima altamente completo. **PIX como vetor de enriquecimento:** O ecossistema do PIX criou incentivos para a coleta e comercialização de dados bancários brasileiros. Credenciais de internet banking e tokens de autenticação de aplicativos bancários são ativos de alto valor em mercados fechados, usados tanto para fraude direta quanto para venda a grupos mais sofisticados. **LGPD e o risco de insider threat:** A Lei Geral de Proteção de Dados criou um paradoxo: enquanto exige proteção de dados, não impede que funcionários mal-intencionados vendam acesso ou dados corporativos em mercados fechados. O insider threat é um vetor relevante de alimentação de fontes fechadas criminosas no Brasil. **Grupos de ransomware e o mercado de IABs para LATAM:** Grupos como [[lockbit|LockBit]], [[blackcat|BlackCat]] e Medusa têm presença ativa no Brasil. Esses grupos adquirem acesso de IABs especializados em redes latino-americanas, muitas vezes anunciando em fóruns russófonos que possuem "accesses" a empresas de setores específicos do Brasil, Argentina, México e Colômbia. **Inteligência de ameaças e a cadeia de supply chain:** Fornecedores e parceiros de grandes corporações brasileiras frequentemente têm maturidade de segurança inferior, tornando-os alvos valiosos de reconhecimento via fontes fechadas. Dados sobre relacionamentos de fornecimento são commodities em mercados de espionagem corporativa e industrial. > [!danger] Ameaça Emergente > O crescimento de plataformas de "Cybercrime-as-a-Service" (CaaS) democratizou o acesso a fontes fechadas de inteligência. Atores com recursos limitados agora podem comprar pacotes de acesso, dados corporativos e inteligência sobre alvos específicos por centenas de dólares, rebaixando significativamente a barreira de entrada para ataques sofisticados contra organizações brasileiras. ## Sub-técnicas - [[t1597-001-threat-intel-vendors|T1597.001 - Threat Intel Vendors]] - [[t1597-002-purchase-technical-data|T1597.002 - Purchase Technical Data]] ## Referências - [MITRE ATT&CK - T1597 Search Closed Sources](https://attack.mitre.org/techniques/T1597) - [Mandiant - EXOTIC LILY: Initial Access Broker](https://www.mandiant.com/resources/blog/exotic-lily-initial-access-broker) - [Recorded Future - Underground Markets](https://www.recordedfuture.com/research/underground-markets) - [Flare.io - Dark Web Monitoring for Brazilian Organizations](https://flare.io/) - [SpyCloud - Enterprise Protection against Infostealer Data](https://spycloud.com/) - [CERT.br - Relatórios de Incidentes](https://www.cert.br/stats/) - [[t1598-phishing-for-information|T1598 - Phishing for Information]] - [[t1583-001-domains|Domains]] - [[t1587-develop-capabilities|T1587 - Develop Capabilities]] - [[t1588-obtain-capabilities|T1588 - Obtain Capabilities]] - [[t1133-external-remote-services|T1133 - External Remote Services]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] --- *Fonte: [MITRE ATT&CK - T1597](https://attack.mitre.org/techniques/T1597) · Versão 16.2*