# T1585.003 - Cloud Accounts ## Descrição A adoção massiva de serviços de nuvem pública criou, paradoxalmente, uma nova superfície de ataque: os próprios provedores de nuvem se tornaram infraestrutura preferida de adversários. Ao criar contas em provedores como AWS, Azure, Google Cloud, Cloudflare ou plataformas SaaS como Dropbox e OneDrive, atacantes obtêm capacidade de ataque sofisticada sem precisar manter seus próprios servidores - aproveitando a reputação, a disponibilidade e a largura de banda dessas plataformas. Contas de nuvem são criadas com identidades fictícias ou usando informações roubadas de pessoas reais, muitas vezes aproveitando períodos de teste gratuito (free tier) que não exigem método de pagamento verificado. Com essas contas, o adversário pode hospedar payloads em buckets S3 ou Azure Blob Storage com URLs que passam por filtros de reputação; usar [[t1583-003-virtual-private-server|Virtual Private Servers]] e [[t1583-007-serverless|funções serverless]] (Lambda, Azure Functions) como nós de C2 descartáveis; exfiltrar dados via [[t1567-002-exfiltration-cloud-storage|Exfiltration to Cloud Storage]] para serviços que o firewall corporativo frequentemente permite; ou distribuir ferramentas de ataque ([[t1608-002-upload-tool|Upload Tool]]) via plataformas CDN confiáveis. **No Brasil e LATAM**, o uso malicioso de infraestrutura de nuvem apresenta desafios específicos: a alta adoção corporativa de Microsoft 365 torna o OneDrive e o SharePoint vetores quase invisíveis para exfiltração - tráfego que sai pela porta 443 para `*.sharepoint.com` raramente é inspecionado. Além disso, grupos de ransomware que operam na região - como aqueles vinculados ao ecossistema [[lockbit|LockBit]] e [[black-basta|Black Basta]] - frequentemente usam contas AWS descartáveis para hospedar stagers antes do deploy do payload final. Em 2025, campanhas contra o setor financeiro brasileiro utilizaram contas Azure gratuitas como C2 de primeira camada, explorando a dificuldade de bloqueio de IPs da Microsoft. > **Técnica pai:** [[t1585-establish-accounts|T1585 - Establish Accounts]] --- ## Attack Flow ```mermaid graph TB A([Adversário]) --> B[Cria conta de nuvem<br/>com identidade falsa<br/>ou roubada] B:::poison --> C{Uso da conta} C --> D[Hospeda payload<br/>em S3 / Blob / CDN] C --> E[C2 via função<br/>serverless / VPS] C --> F[Canal de exfiltração<br/>via OneDrive / Dropbox] D --> G[Entrega de malware<br/>via URL confiável] E --> H[Comando e controle<br/>resiliente e anônimo] F --> I[Exfiltração de dados<br/>indetectável] G --> J([Operação em<br/>andamento]) H --> J I --> J classDef poison fill:#e74c3c,color:#fff ``` --- ## Como Funciona **Passo 1 - Criação da conta com identidade dissociável** O adversário registra contas em provedores de nuvem usando e-mails temporários, identidades sintéticas geradas por IA, ou credenciais obtidas via [[t1585-002-email-accounts|T1585.002 - Email Accounts]]. Cartões de crédito pré-pagos ou criptomoedas são usados quando um método de pagamento é necessário. Grupos mais sofisticados exploram programas de crédito gratuito de startups (AWS Activaté, Azure for Startups) para obter saldo substancial sem rastreabilidade. A conta é criada com dados mínimos - no limite do que o provedor exige - e frequentemente abandonada após o uso, impossibilitando rastreamento retroativo. **Passo 2 - Configuração da infraestrutura operacional** Com a conta provisionada, o adversário configura os recursos conforme o plano da operação. Para hosting de payload: buckets de object storage com ACL pública e URLs geradas automaticamente que não levantam suspeita em filtros de proxy corporativos. Para C2: funções serverless (AWS Lambda, Azure Functions, Google Cloud Run) que escalam automaticamente, têm IPs de saída dinâmicos e são cobradas apenas por execução - tornando detecção por análise de tráfego extremamente difícil. Para exfiltração: pastas em contas Microsoft OneDrive ou Google Drive cujos domínios são frequentemente allowlistados em organizações que usam os respectivos produtos. **Passo 3 - Operação e rotação de infraestrutura** Durante a operação, o adversário rotaciona contas e recursos frequentemente para frustrar bloqueios baseados em IOC. Quando uma conta é sinalizada ou bloqueada, uma nova é criada em minutos. Ferramentas como Terraform ou scripts de automação permitem provisionar infraestrutura completa de C2 em menos de 5 minutos - tornando o burn raté de contas uma estratégia deliberada de evasão. Essa resiliência operacional supera o que qualquer infraestrutura própria ofereceria ao adversário. --- ## Detecção ### Event IDs relevantes | Fonte | Event ID | Descrição | |-------|----------|-----------| | AWS CloudTrail | `CreateBucket` / `PutObject` | Criação de buckets e upload de objetos - monitorar buckets com ACL pública | | Azure Monitor | `Microsoft.Storage/storageAccounts/write` | Criação de storage accounts em tenants recém-provisionados | | Microsoft 365 Defender | - | Alertas de acesso a OneDrive de IPs externos incomuns ou horários atípicos | | Sysmon | 22 (DNSEvent) | Consultas DNS a endpoints de nuvem atípicos (ex: `*.s3.amazonaws.com`, `*.blob.core.windows.net`) de processos não usuais | | Proxy/Firewall | - | Upload de dados volumosos para provedores de cloud storage fora do horário comercial | | EDR Network | - | Conexões de processo suspeito para `*.lambda-url.*.amazonaws.com` ou `*.azurewebsites.net` | ### Sigma Rule ```yaml title: Suspicious Data Upload to Cloud Storage from Non-Browser Process id: c4d5e6f7-a8b9-0c1d-2e3f-4a5b6c7d8e9f status: experimental description: Detecta upload volumoso de dados para provedores de cloud storage a partir de processos que não são navegadores ou clientes legítimos, potencialmente indicando exfiltração via conta de nuvem criada pelo adversário references: - https://attack.mitre.org/techniques/T1585/003 author: RunkIntel daté: 2026-03-24 tags: - attack.resource-development - attack.t1585.003 - attack.exfiltration - attack.t1567.002 logsource: category: network_connection product: windows detection: selection_destinations: DestinationHostname|endswith: - '.s3.amazonaws.com' - '.blob.core.windows.net' - '.storage.googleapis.com' - '.dropboxapi.com' - 'content.dropboxapi.com' - '.1drv.ms' - 'api.onedrive.com' filter_legitimate: Image|endswith: - '\OneDrive.exe' - '\Dropbox.exe' - '\chrome.exe' - '\firefox.exe' - '\msedge.exe' - '\outlook.exe' - '\teams.exe' condition: selection_destinations and not filter_legitimate falsepositives: - Aplicações corporativas com integração legítima a cloud storage - Scripts de backup administrativos level: medium ``` --- ## Mitigação | Controle | Descrição | Relevância para Organizações Brasileiras | |----------|-----------|------------------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Dificultar a criação de contas fraudulentas não está ao alcance da vítima; foco em detecção de uso malicioso de nuvem | Monitorar uploads e conexões a cloud storage não corporativo | | Casb (Cloud Access Security Broker) | Inspecionar tráfego para serviços de nuvem não aprovados; aplicar política de shadow IT | Alta relevância - permite diferenciar OneDrive corporativo de contas pessoais/anônimas | | Política de DLP | Monitorar e bloquear transferência de dados sensíveis para destinos de nuvem não categorizados | LGPD exige controles de transferência de dados - DLP é um requisito de conformidade | | Inspeção TLS + proxy egresso | Inspecionar tráfego HTTPS de saída para identificar uploads a cloud storage via processos não usuais | Crítico para organizações financeiras - Resolução BACEN 4.658 requer controles de exfiltração | | Blocklist de provedores cloud pessoais | Bloquear ou throttle acesso a Mega, Dropbox pessoal, WeTransfer em redes corporativas | Simples e efetivo como controle de linha de base | | Monitoramento de funções serverless | Alertar quando conexões de rede corporativa se originam para domínios `*.lambda-url.*.amazonaws.com` ou `*.azurewebsites.net` via processos suspeitos | Detecta C2 serverless - vetor crescente usado por grupos que operam no Brasil | | Threat intel de IOC de contas cloud | Assinar feeds que públicam ARNs, Azure Tenant IDs e Storage Account nomes usados por grupos conhecidos | Inteligência acionável diretamente aplicável a regras CASB | --- ## Threat Actors e Software Associados ### Grupos que utilizam esta técnica - **[[g1046-storm-1811|Storm-1811]]** - grupo de cibercrime financeiramente motivado rastreado pela Microsoft; utiliza contas Azure e Microsoft 365 criadas com identidades fraudulentas para hospedar payloads e como canais de C2, com foco em implantação de ransomware em organizações de médio porte - perfil de vítima prevalente no Brasil. ### Malware e ferramentas que abusam de nuvem - [[s0154-cobalt-strike|Cobalt Strike]] - beacons frequentemente configurados com C2 via Azure Functions ou AWS API Gateway - [[black-basta|Black Basta]] - operadores usam contas cloud descartáveis para staging de payload antes do deploy de ransomware - [[lockbit|LockBit]] - afiliados usam S3/Blob para hospedar builders e stagers em campanhas contra o setor de serviços no Brasil ### Técnicas relacionadas - [[t1585-002-email-accounts|T1585.002 - Email Accounts]] - contas de e-mail criadas para registrar as contas de nuvem - [[t1583-003-virtual-private-server|T1583.003 - Virtual Private Server]] - VPS frequentemente provisionados via contas de nuvem criadas nesta técnica - [[t1583-007-serverless|T1583.007 - Serverless]] - funções serverless como infraestrutura de C2, habilitadas pelas contas criadas - [[t1567-002-exfiltration-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - uso das contas criadas para exfiltração de dados - [[t1608-002-upload-tool|T1608.002 - Upload Tool]] - upload de ferramentas de ataque para armazenamento em nuvem --- *Fonte: [MITRE ATT&CK - T1585.003](https://attack.mitre.org/techniques/T1585/003)*