# T1586.002 - Email Accounts ## Técnica Pai Esta é uma sub-técnica de [[t1586-compromise-accounts|T1586 - T1586 - Compromise Accounts]]. ## Descrição O comprometimento de contas de e-mail legítimas é uma das técnicas mais eficazes na fase de preparação de operações ofensivas. Diferentemente da criação de contas novas, o uso de uma conta já estabelecida - com histórico de conversas, contatos reais e reputação construída - confere ao adversário uma credibilidade imediata perante as vítimas. Essa confiança herdada é explorada para conduzir [[t1598-phishing-for-information|Phishing for Information]], campanhas de [[t1566-phishing|Phishing]] direcionado e, em casos mais sofisticados, o sequestro de threads de e-mail existentes para inserir mensagens maliciosas no meio de conversas legítimas. Os métodos para comprometer contas são variados: coleta de credenciais via [[t1598-phishing-for-information|Phishing for Information]], compra em mercados de credenciais vazadas (comuns na darknet brasileira), ataques de força bruta com reuso de senhas de breaches conhecidos, ou suborno direto de funcionários e parceiros. Após o acesso, o adversário pode também utilizar a conta comprometida para adquirir infraestrutura adicional, como [[t1583-001-domains|Domains]], aproveitando a reputação do e-mail para passar por verificações de identidade de registradores. **Contexto Brasil/LATAM:** O Brasil é historicamente um dos países com maior volume de credenciais expostas em vazamentos de dados, e marketplaces de logs de infostealers com dados de empresas brasileiras são frequentemente divulgados em fóruns de cibercrime. Grupos como [[g1004-lapsus|LAPSUS$]] - com membros identificados na América do Sul - ficaram notórios justamente por comprometer contas corporativas via engenharia social e compra de credenciais, acessando redes de grandes empresas de tecnologia, telecomúnicações e varejo. A técnica é amplamente utilizada também em golpes de BEC (Business Email Compromise) que causam prejuízos bilionários a empresas brasileiras anualmente. ## Attack Flow ```mermaid graph TB A([Reconhecimento de alvo<br>e coleta de e-mails]) --> B([Comprometimento da conta<br>T1586.002]):::highlight B --> C([Reconhecimento via<br>caixa de entrada]) C --> D([Phishing / BEC<br>usando persona real]) D --> E([Acesso inicial ou<br>extorsão financeira]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona 1. **Comprometimento da conta:** O adversário obtém acesso ao e-mail da vítima-intermediária por um dos métodos disponíveis - phishing de credenciais, credential stuffing com dados de breaches (ex: combo lists circulantes no Telegram e fóruns brasileiros), compra direta de logs de infostealers como RedLine ou Lumma, ou engenharia social direta com o titular. Após o acesso, configura regras de encaminhamento e/ou delega acesso silenciosamente para manter presença persistente. 2. **Reconhecimento via caixa de entrada:** Com acesso estabelecido, o adversário lê conversas anteriores para mapear relacionamentos, projetos em andamento, fornecedores, processos financeiros e o tom de comunicação da pessoa comprometida. Essas informações alimentam o planejamento de ataques subsequentes - especialmente BEC - e permitem ao adversário se passar pelo titular com alto nível de fidelidade contextual. 3. **Exploração operacional:** A conta comprometida é utilizada para disparar e-mails de [[t1566-phishing|Phishing]] contra contatos da vítima-intermediária (que confiam naquele remetente), para sequestrar threads de negociação financeira e redirecionar pagamentos (BEC), ou como identidade confiável para registrar domínios e serviços de infraestrutura. Em operações de espionagem como as conduzidas por [[g0016-apt29|APT29]] ou [[g0094-kimsuky|Kimsuky]], o e-mail comprometido serve para coletar inteligência diretamente da caixa de entrada ou iniciar novas campanhas de [[t1598-phishing-for-information|Phishing for Information]]. ## Detecção ### Event IDs Relevantes | Fonte | Event ID / Indicador | Descrição | |-------|---------------------|-----------| | Microsoft 365 Audit | `MailboxLogin` | Login de localização geográfica incomum ou novo dispositivo | | Microsoft 365 Audit | `Set-InboxRule` / `New-InboxRule` | Criação de regras de encaminhamento automático suspeitas | | Google Workspace | `login` audit event | Acesso de IP/ASN não associado ao usuário | | Microsoft 365 Defender | `AlertTriggered: Impossible travel` | Login de dois países em intervalo impossível | | SIEM / Proxy | Exfiltração via IMAP/POP3 | Acesso IMAP de cliente não reconhecido - incomum em ambiente corporativo | ### Sigma Rule ```yaml title: Criação Suspeita de Regra de Encaminhamento de E-mail id: b7e2d4f1-3a56-4c89-9d0e-f1a2b3c4d5e6 status: experimental description: > Detecta criação de regras de inbox que encaminham ou deletam e-mails automaticamente - comportamento comum após comprometimento de conta. author: RunkIntel daté: 2026-03-24 logsource: product: microsoft365 service: exchange detection: selection: Operation: - 'Set-InboxRule' - 'New-InboxRule' Parameters|contains: - 'ForwardTo' - 'ForwardAsAttachmentTo' - 'RedirectTo' - 'DeleteMessage' filter_legitimate: UserId|endswith: - '@contoso.com' # Refinar com usuários autorizados a criar regras de encaminhamento condition: selection and not filter_legitimate falsepositives: - Administradores configurando regras de encaminhamento legítimas - Usuários com necessidade legítima de backup via encaminhamento level: high tags: - attack.resource_development - attack.t1586.002 - attack.collection - attack.t1114.003 ``` ## Mitigação | Controle | Implementação Prática para Organizações Brasileiras | |----------|-----------------------------------------------------| | **[[m1056-pre-compromise\|M1056 - Pre-compromise]]** | Monitorar menções a domínios e e-mails corporativos em marketplaces de credenciais e Telegram via threat intel | | **MFA obrigatório** | Implementar autenticação multifator em todos os e-mails corporativos - priorizar FIDO2/chaves físicas; evitar SMS como segundo fator (SIM swap é comum no Brasil) | | **Alertas de login anômalo** | Configurar alertas para logins de geolocalização impossível, novos dispositivos ou ASNs de VPN/proxy em Microsoft 365 / Google Workspace | | **Proibição de encaminhamento externo** | Bloquear regras de encaminhamento automático para e-mails externos via política de Exchange / Google Workspace - comum vetor de exfiltração silenciosa | | **Monitoramento de credential dumps** | Integrar feeds como HaveIBeenPwned Enterprise ou serviços de threat intel para identificar credenciais corporativas expostas em breaches | | **Revisão de sessões ativas** | Treinar usuários para revisar sessões ativas no painel da conta e revogar dispositivos não reconhecidos | ## Threat Actors Dez grupos documentados utilizam esta técnica para sustentar operações de espionagem e crime financeiro: - **[[g0007-apt28|APT28]]** - GRU russo; compromete contas de e-mail de jornalistas, políticos e militares para coletar inteligência e conduzir operações de influência, com histórico de alvos em organizações internacionais com presença na América Latina. - **[[g0016-apt29|APT29]]** - SVR russo; utiliza contas comprometidas para manter persistência discreta em organizações governamentais e de pesquisa, frequentemente combinando com [[t1598-phishing-for-information|Phishing for Information]] de longo prazo. - **[[g0094-kimsuky|Kimsuky]]** - Grupo norte-coreano especializado em espionagem; compromete contas de pesquisadores de política e think tanks via e-mails de spearphishing convincentes. - **[[g1004-lapsus|LAPSUS$]]** - Grupo com membros identificados no Brasil e Reino Unido; famoso por comprometer contas corporativas via engenharia social, SIM swap e compra de credenciais, atacando empresas como Samsung, NVIDIA e Microsoft. - **[[g0049-oilrig|OilRig]]** - APT iraniano; utiliza contas comprometidas como infraestrutura para campanhas de [[t1566-phishing|Phishing]] contra setores de energia e governo no Oriente Médio e além. - **[[g0059-magic-hound|Magic Hound]]** - Outro grupo iraniano; frequentemente compromete contas para conduzir campanhas de phishing contra alvos de política externa. - **[[g0129-mustang-panda|Mustang Panda]]** - APT chinês; usa contas comprometidas como ponto de partida para campanhas de espionagem em governo e ONGs na Ásia e África. - **[[g1001-hexane|HEXANE]]** - Foco em telecomúnicações e infraestrutura crítica; compromete contas para movimentação lateral e coleta de inteligência. - **[[g0136-indigozebra|IndigoZebra]]** - APT vinculado à China; utiliza e-mails comprometidos para se passar por autoridades governamentais em campanhas direcionadas. - **[[g1037-ta577|TA577]]** - Grupo de crime financeiro; usa contas comprometidas em campanhas massivas de malspam. ## Software Associado Ferramentas e técnicas frequentemente combinadas com esta subtécnica: - Infostealers como RedLine, Lumma e Raccoon são utilizados para coletar credenciais de e-mail de endpoints comprometidos, alimentando o estoque de contas para futuras operações - A técnica precede diretamente o uso de [[t1566-phishing|Phishing]] (T1566) e [[t1598-phishing-for-information|Phishing for Information]] (T1598), aproveitando a identidade comprometida como remetente confiável - Combinada com [[t1583-001-domains|Domains]] (T1583.001) para registrar infraestrutura utilizando o e-mail comprometido como identidade verificada --- *Fonte: [MITRE ATT&CK - T1586.002](https://attack.mitre.org/techniques/T1586/002)*