t1598-002-spearphishing-attachment

# T1598.002 - Spearphishing Attachment > [!info] Sub-técnica MITRE ATT&CK > **Tática:** Reconnaissance · **ID:** T1598.002 · **Técnica Pai:** T1598 - Phishing for Information · **Versão:** 16.2 ## Descrição A sub-técnica **T1598.002 - Spearphishing Attachment** descreve o uso de e-mails de spearphishing com anexo malicioso ou manipulado com o objetivo específico de **coletar informações sensíveis** do alvo - e não necessáriamente executar malware imediatamente. Esta é uma distinção crítica em relação ao [[t1566-002-spearphishing-link|T1566.002]] (que visa acesso inicial via execução de código): aqui, o objetivo primário é a **elicitação de inteligência** sobre o alvo, suas credenciais, ambiente técnico ou relações organizacionais. O spearphishing para reconhecimento é uma das formas mais eficazes e difíceis de detectar de coleta de inteligência, pois explora o fator humano como vetor central. Ao contrário da varredura ativa ou da exploração de vulnerabilidades, esta técnica raramente dispara alertas de segurança convencionais - parecendo, para a maioria dos sistemas de detecção, apenas um e-mail legítimo recebido por um funcionário. No cenário típico desta sub-técnica, o adversário envia um e-mail altamente personalizado para um indivíduo específico dentro da organização-alvo. O e-mail carrega um anexo - frequentemente um documento Office (.docx, .xlsx, .pdf), um formulário estruturado ou um arquivo HTML - que serve a um ou mais dos seguintes propósitos: **Propósito 1 - Coleta Direta**: O anexo é um formulário ou questionário que solicita ao alvo que preencha informações sensíveis (credenciais de VPN, dados de acesso a sistemas, informações de configuração) sob pretexto legítimo (auditoria de segurança, atualização de cadastro, suporte técnico). **Propósito 2 - Pixel de Rastreamento Embutido**: O anexo contém um recurso externo (imagem, objeto OLE) que ao ser aberto faz uma requisição HTTP a um servidor controlado pelo adversário, revelando o endereço IP do alvo, User-Agent, sistema operacional e horário de abertura. **Propósito 3 - HTML Smuggling para Coleta de Credenciais**: Usando [[t1027-006-html-smuggling|HTML Smuggling]], o anexo renderiza um portal de login falso (Microsoft 365, VPN corporativa, banco) que captura as credenciais digitadas pelo alvo e as envia ao servidor do adversário. O adversário tipicamente utiliza informações coletadas em fases anteriores de reconhecimento - como [[t1593-search-open-websitesdomains|busca em sites abertos]] e [[t1594-search-victim-owned-websites|análise de sites da vítima]] - para personalizar o e-mail com detalhes que aumentam sua credibilidade: nome correto do destinatário, cargo, nome de colegas, referências a projetos reais e linguagem apropriada ao contexto organizacional. Grupos que estabelecem contas falsas ([[t1585-establish-accounts|T1585]]) ou comprometem contas legítimas ([[t1586-compromise-accounts|T1586]]) utilizam essas identidades para enviar os e-mails, aumentando drasticamente as taxas de sucesso por aparentar comunicação de remetentes conhecidos e confiáveis. ## Como Funciona **Fase 1: Reconhecimento Prévio do Alvo** O adversário coleta informações sobre o alvo usando OSINT: análise de perfil no LinkedIn, site corporativo, comúnicados de imprensa, públicações em conferências. O objetivo é construir um pretexto crível e personalizado. **Fase 2: Construção do Pretexto** Com base nas informações coletadas, o adversário cria um cenário convincente: - Solicitação de TI para atualização de credenciais corporativas - Formulário de RH para revisão de dados cadastrais - Documento de auditoria de segurança solicitando informações de sistemas - Comúnicado urgente de fornecedor ou parceiro conhecido - Convite para evento setorial com formulário de inscrição **Fase 3: Preparação do Anexo** Dependendo do objetivo, o anexo é preparado como: - Documento Word/Excel com formulário de preenchimento e macros de coleta - HTML com portal de login falso usando HTML Smuggling - PDF com link embutido para página de coleta de credenciais - Documento com objeto OLE ou imagem externa para rastreamento de abertura **Fase 4: Envio e Engenharia Social** O e-mail é enviado de endereço cuidadosamente escolhido para parecer legítimo: - Typosquatting do domínio corporativo (empresa.com → empresa-support.com) - Conta comprometida de parceiro ou fornecedor real - Conta falsamente criada com nome de funcionário interno **Fase 5: Coleta e Análise da Resposta** Quando o alvo abre o anexo ou clica no link: - Credenciais preenchidas são enviadas via POST ao servidor do adversário - Requisição de recurso externo revela IP, User-Agent e localização - Informações preenchidas no formulário são exfiltradas automaticamente **Fase 6: Uso das Informações Coletadas** As informações obtidas alimentam fases subsequentes: acesso inicial via credenciais válidas, seleção de exploits específicos para o ambiente mapeado ou novos ataques de phishing ainda mais personalizados com base no conhecimento adquirido. ## Attack Flow ```mermaid graph TB A[Reconhecimento Prévio do Alvo] --> B[Construção do Pretexto] B --> C{Tipo de Pretexto} C --> D[Solicitação de TI] C --> E[Formulário de RH] C --> F[Auditoria de Segurança] C --> G[Comúnicado de Fornecedor] D --> H[Preparação do Anexo] E --> H F --> H G --> H H --> I{Tipo de Anexo} I --> J[Formulário Office com Macro] I --> K[HTML com Portal Falso] I --> L[PDF com Link de Rastreamento] I --> M[Documento com Pixel Externo] J --> N[Envio via E-mail Spoofado] K --> N L --> N M --> N N --> O{Ação do Alvo} O --> P[Abre Anexo] O --> Q[Não Abre - Tentativa Falhou] P --> R{Tipo de Coleta} R --> S[Credenciais Preenchidas Capturadas] R --> T[IP e User-Agent Rastreados] R --> U[Informações de Sistema Reveladas] S --> V[Acesso Inicial com Credenciais Válidas] T --> W[Mapeamento de Ambiente Aprofundado] U --> X[Seleção de Exploit Direcionado] ``` ## Exemplos de Uso **Dragonfly - Campanha Contra Setor de Energia** O grupo [[g0035-dragonfly|Dragonfly]] (também conhecido como Energetic Bear), atribuído à Rússia e focado em infraestrutura crítica de energia, é documentado pelo uso de spearphishing com anexo para coletar credenciais de funcionários de empresas do setor elétrico. O grupo envia e-mails se passando por fornecedores de equipamentos industriais, solicitando que os destinatários preencham formulários de "verificação de compatibilidade" que capturam credenciais de sistemas SCADA e de acesso remoto. **Star Blizzard - Operações de Espionagem Ocidental** O grupo [[g1033-star-blizzard|Star Blizzard]] (ex-SEABORGIUM, atribuído ao FSB russo) utiliza esta técnica extensivamente contra think tanks, acadêmicos, jornalistas e ONGs. O grupo cria portais OneDrive e Google Drive falsos acessíveis via anexo HTML, onde as vítimas são direcionadas a "autenticar" com suas contas Microsoft ou Google para "acessar documento compartilhado". As credenciais coletadas são usadas para acesso a e-mails de longo prazo e espionagem contínua. **Sidewinder - Spionagem na Ásia do Sul e LATAM** O [[g0121-sidewinder|Sidewinder]] (APT-C-17), com possível nexo indiano, usa anexos RTF que exploram vulnerabilidades de leitura de documentos para coletar informações sobre sistemas de alvos no sudeste asiático e, mais recentemente, em países da América do Sul com relações diplomáticas com a Índia. **SideCopy - Espionagem Paquistanesa** O [[g1008-sidecopy|SideCopy]], vinculado ao Paquistão, utiliza e-mails com anexos de documentos governamentais falsos direcionados a funcionários do governo indiano e de países vizinhos. Os documentos contêm macros que coletam informações sobre o sistema antes de decidir se devem ou não baixar payload adicional. **Campanhas contra Governo e Setor Financeiro no Brasil** Grupos de ameaça com interesse na América Latina utilizam spearphishing com anexo para coletar credenciais de funcionários de órgãos governamentais brasileiros e bancos. O pretexto mais comum envolve comúnicados falsos da Receita Federal ou da ANATEL solicitando "atualização de dados cadastrais" ou "verificação de compliance". ## Detecção > [!tip] Detecção Recomendada > Foco em análise de comportamento de e-mail, análise de anexos em sandbox e monitoramento de requisições DNS/HTTP geradas por documentos abertos. **Estrategias de Detecção:** **1. Análise de Cabeçalho de E-mail** - Verificar SPF, DKIM e DMARC para todos e-mails recebidos - Alertar para e-mails onde o domínio do remetente é similar (não idêntico) ao domínio corporativo (typosquatting) - Identificar e-mails com anexos de domínios externos registrados recentemente (< 30 dias) **2. Sandbox de Análise de Anexos** - Submeter automaticamente todos os anexos a sandbox (Cuckoo, ANY.RUN, Joe Sandbox) - Detectar documentos que fazem requisições DNS/HTTP externas ao serem abertos - Identificar HTML Smuggling em anexos .html e .htm **3. Monitoramento de DNS/HTTP Gerado por Aplicações de Escritório** - Alertar quando Word, Excel ou Acrobat iniciam conexões de rede inesperadas - Monitorar requisições HTTP de processos filhos de aplicações de office ```yaml title: Documento Office Realizando Conexão de Rede Inesperada status: experimental logsource: category: network_connection product: windows definition: Requer Sysmon Event ID 3 detection: selection_process: Image|endswith: - '\WINWORD.EXE' - '\EXCEL.EXE' - '\POWERPNT.EXE' - '\ACRORD32.EXE' - '\AcroRd32.exe' selection_network: Initiated: 'true' DestinationPort: - 80 - 443 filter_known_domains: DestinationHostname|endswith: - '.microsoft.com' - '.office.com' - '.office365.com' - '.sharepoint.com' - '.adobe.com' condition: selection_process and selection_network and not filter_known_domains level: high tags: - attack.reconnaissance - attack.t1598.002 falsepositives: - Add-ins legítimos de Office com conectividade externa - Atualizações automáticas de aplicativos ``` ```yaml title: HTML Smuggling em Anexo de E-mail status: experimental logsource: category: file_event product: windows detection: selection_download: TargetFilename|startswith: - 'C:\Users\' TargetFilename|endswith: - '.html' - '.htm' - '.hta' Image|endswith: - '\OUTLOOK.EXE' - '\thunderbird.exe' - '\chrome.exe' - '\msedge.exe' filter_attachment_path: TargetFilename|contains: '\AppData\Local\Temp\Outlook' condition: selection_download and filter_attachment_path level: medium tags: - attack.reconnaissance - attack.t1598.002 - attack.t1027.006 falsepositives: - Downloads legítimos de páginas HTML via e-mail ``` ```yaml title: Pixel de Rastreamento em E-mail (Requisição Suspeita) status: experimental logsource: category: proxy product: generic detection: selection: cs-method: GET cs(Referer)|contains: 'mail' cs-bytes: 0 sc-bytes|lt: 200 cs-uri-query|re: '([a-zA-Z0-9]{20,}|id=[a-f0-9]{32})' condition: selection level: low tags: - attack.reconnaissance - attack.t1598.002 falsepositives: - Pixels de rastreamento de e-mail marketing legítimo - Analytics de CRM ``` ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1017-user-training\|M1017]] | User Training | Treinamento contínuo de conscientização sobre phishing, com foco em reconhecer solicitações urgentes de informações sensíveis via e-mail, especialmente quando acompanhadas de anexos. Simulações regulares de phishing para medir e melhorar a resiliência humana. | | [[m1054-software-configuration\|M1054]] | Software Configuration | Configurar clientes de e-mail para bloquear conteúdo externo automático em mensagens (desabilitar carregamento automático de imagens remotas). Implementar políticas de macro desabilitadas por padrão em documentos Office. Habilitar Protected View para documentos de origem externa. | **Controles Adicionais Recomendados:** - **Autenticação de E-mail**: Implementar SPF, DKIM e DMARC rigorosos com política de rejeição (p=reject) para prevenir spoofing do domínio organizacional - **Sandboxing de Anexos**: Implementar solução de sandbox automática (Proofpoint TAP, Microsoft Defender ATP, Check Point SandBlast) para todos os anexos recebidos - **MFA em Todos os Sistemas**: Implementar autenticação multifator em todos os sistemas críticos para reduzir o impacto de credenciais coletadas via phishing - **Phishing-Resistant MFA**: Preferir FIDO2/passkeys sobre TOTP, pois portais falsos podem capturar tokens TOTP em tempo real (real-time phishing) - **Monitoramento de Domínios Similares**: Usar serviços de detecção de typosquatting para ser alertado quando domínios similares ao corporativo são registrados - **Restrição de Macros**: Usar Group Policy para desabilitar macros em documentos de origem não confiável ## Contexto Brasil/LATAM O spearphishing com anexo para coleta de informações é um vetor extensamente utilizado contra organizações brasileiras e latinoamericanas: **Contexto Governamental** Funcionários de órgãos governamentais federais e estaduais brasileiros são alvos frequentes de campanhas que se passam por comúnicações internas (AGU, TCU, Receita Federal, Ministérios). Os e-mails frequentemente incluem anexos PDF ou DOCX com formulários solicitando credenciais de sistemas internos, justificados por "auditorias urgentes" ou "atualizações de segurança obrigatórias". **Setor Financeiro** Bancos e fintechs brasileiros enfrentam campanhas altamente personalizadas que visam funcionários de áreas de tecnologia e compliance. O pretexto frequentemente envolve comúnicações falsas de órgãos reguladores (Banco Central, CVM) solicitando "verificação de dados" ou portais falsos de sistemas bancários internos. **Energia e Infraestrutura** O [[g0035-dragonfly|Dragonfly]] e grupos similares têm interesse documentado em infraestrutura de energia da América do Sul. Funcionários de Petrobras, Eletrobras e distribuidoras elétricas são alvos de spearphishing com anexo que se passa por comúnicações de fornecedores de equipamentos industriais ou reguladores do setor elétrico (ANEEL). **Grupos Locais** Além de APTs internacionais, o Brasil possui grupos locais de ameaça que utilizam spearphishing adaptado ao contexto nacional: referências a tributos (INSS, IRPF), comúnicados de PROCON, notificações judiciais falsas e ofertas de emprego em empresas conhecidas são pretextos recorrentes em campanhas que coletam credenciais bancárias e corporativas. **Impacto Real no LATAM** Segundo dados do [[sources|CERT.br]], phishing é sistematicamente a categoria com maior volume de incidentes reportados no Brasil, e uma parcela significativa dessas campanhas inclui a coleta de credenciais corporativas via anexos - muitas das quais são a fase de reconhecimento para comprometimentos mais profundos. **Recomendações para o Contexto Local:** - Implementar treinamentos de conscientização com cenários brasileiros (Receita Federal, ANATEL, Banco Central) - Registrar defensivamente domínios typosquatting do domínio corporativo - Reportar campanhas ativas ao CERT.br para alertar o ecossistema - Usar simulações de phishing com pretextos culturalmente locais para maior eficácia ## Referências - [MITRE ATT&CK - T1598.002](https://attack.mitre.org/techniques/T1598/002) - [MITRE ATT&CK - T1598 (técnica pai - Phishing for Information)](https://attack.mitre.org/techniques/T1598) - [Microsoft - Star Blizzard spear-phishing campaigns](https://www.microsoft.com/en-us/security/blog/2023/12/07/star-blizzard-increases-sophistication-and-evasion-in-ongoing-attacks/) - [CISA - Phishing Guidance: Stopping the Attack Cycle at Phase One](https://www.cisa.gov/resources-tools/resources/phishing-guidance-stopping-attack-cycle-phase-one) - [Dragonfly/Energetic Bear - US-CERT Alert TA18-074A](https://www.cisa.gov/news-events/alerts/2018/03/15/russian-government-cyber-activity-targeting-energy-and-other-critical) - [CERT.br - Cartilha de Segurança - Phishing](https://cartilha.cert.br/golpes/) - [Proofpoint - Understanding Email Authentication (SPF, DKIM, DMARC)](https://www.proofpoint.com/us/threat-reference/email-authentication) - [FIDO Alliance - Phishing-Resistant MFA](https://fidoalliance.org/phishing-resistant-mfa/) --- *Fonte: [MITRE ATT&CK - T1598.002](https://attack.mitre.org/techniques/T1598/002) · Versão 16.2*