# T1586.003 - Cloud Accounts ## Técnica Pai Esta é uma sub-técnica de [[t1586-compromise-accounts|T1586 - T1586 - Compromise Accounts]]. ## Descrição Cloud Accounts (Comprometimento de Contas em Nuvem) é uma subtécnica da família [[t1586-compromise-accounts|T1586 - Compromise Accounts]] em que adversários comprometem contas legítimas em plataformas de nuvem - AWS, Azure, GCP, Dropbox, Microsoft OneDrive, Twilio, SendGrid, entre outras - para utilizá-las como infraestrutura operacional durante campanhas de ataque. Ao usar contas comprometidas em provedores de nuvem legítimos, o adversário se beneficia de duas vantagens críticas: **reputação herdada** (tráfego proveniente de AWS ou Microsoft 365 raramente é bloqueado por firewalls corporativos) e **atribuição dificultada** (a atividade maliciosa se mistura com o tráfego legítimo do provedor). Isso torna a detecção e o bloqueio significativamente mais complexos para equipes de segurança. Os métodos de comprometimento incluem: coleta de credenciais via [[t1598-phishing-for-information|T1598 - Phishing for Information]], compra de credenciais em marketplaces de crime cibernético, ataques de [[t1110-003-password-spraying|T1110.003 - Password Spraying]], roubo de tokens via [[t1528-steal-application-access-token|T1528 - Steal Application Access Token]] e exploração de [[t1199-trusted-relationship|T1199 - Trusted Relationship]] em contas de provedores de serviço. > **Contexto Brasil/LATAM:** O Brasil é o segundo país com maior número de credenciais vazadas na América Latina segundo relatórios de threat intelligence, alimentando um mercado robusto de Initial Access Brokers (IABs) que vendem acesso a contas comprometidas de AWS, Azure e GCP por valores entre US$ 50 e US$ 500. Grupos como o [[g0016-apt29|APT29]] utilizam contas comprometidas em provedores de email legítimos para campanhas de [[t1566-phishing|phishing]] altamente convincentes contra alvos governamentais e diplomáticos, incluindo na América do Sul. Adicionalmente, serviços de mensageria em nuvem brasileiros (como plataformas de disparo de SMS e email marketing) são frequentemente comprometidos para uso em campanhas de phishing em larga escala contra correntistas de bancos brasileiros. --- ## Attack Flow ```mermaid graph TB A([Adversário]) --> B[Phishing for Info<br/>T1598 / Password<br/>Spraying T1110.003] B --> C{Compromete\nConta Cloud\nT1586.003}:::highlight C --> D[Storage S3/OneDrive<br/>Exfiltração T1567.002] C --> E[Email/SMS<br/>Phishing T1566] C --> F[VPS / Serverless<br/>Infraestrutura T1583] C --> G[Upload Tool<br/>T1608.002] F --> H[C2 e Movimentação<br/>Lateral] classDef highlight fill:#e74c3c,color:#fff,font-weight:bold ``` --- ## Como Funciona **Passo 1 - Obtenção das credenciais:** O adversário obtém acesso às credenciais da conta em nuvem por múltiplos vetores. O mais comum é a compra de dumps de credenciais em fóruns de cibercrime - combinações de email/senha que incluem acesso a contas AWS, Azure AD ou GCP com configurações de MFA fracas ou ausentes. Alternativamente, o adversário conduz campanhas de [[t1598-phishing-for-information|phishing para informações]] com páginas de login falsas de provedores cloud, ou executa [[t1110-003-password-spraying|password spraying]] contra portais de autenticação corporativa que integram com serviços de nuvem. **Passo 2 - Validação e reconhecimento do ambiente comprometido:** Após obter acesso, o adversário mapeia os recursos disponíveis na conta comprometida: buckets S3 acessíveis, permissões IAM atribuídas, créditos disponíveis para provisionamento de infraestrutura, serviços de email ou SMS configurados, e eventual acesso cross-account. Contas com alto valor - como contas de provedores de serviço com acesso a múltiplos clientes via [[t1199-trusted-relationship|relação de confiança]] - são especialmente valiosas. **Passo 3 - Uso operacional da conta:** A conta comprometida é então utilizada para múltiplas finalidades operacionais: hospedagem de payloads e ferramentas via [[t1608-002-upload-tool|T1608.002 - Upload Tool]] em buckets S3 ou Azure Blob; envio de emails de phishing convincentes via SendGrid ou AWS SES comprometidos (dificultando filtros de reputação de domínio); provisionamento de [[t1583-003-virtual-private-server|servidores virtuais]] ou funções serverless como infraestrutura C2; e exfiltração de dados para [[t1567-002-exfiltration-cloud-storage|storage em nuvem]] controlado pelo adversário. --- ## Detecção > [!warning] Detecção requer monitoramento específico de cloud > Atividade maliciosa em contas de nuvem comprometidas frequentemente não gera alertas em ferramentas de segurança tradicionais (SIEM on-premise, EDR). É necessário habilitar e monitorar logs nativos de cada provedor cloud. **Logs e Event IDs relevantes:** | Fonte | Log/Evento | Descrição | |-------|-----------|-----------| | AWS CloudTrail | `ConsoleLogin` | Login de região/IP incomum - especialmente fora do Brasil | | AWS CloudTrail | `CreateAccessKey` | Criação de chave de acesso programático por usuário humano | | AWS CloudTrail | `RunInstances` | Provisionamento de instância EC2 - especialmente em regiões não utilizadas | | Azure AD Sign-in | Signin com risco "alto" | Logins detectados como suspeitos pelo Azure Identity Protection | | Azure AD Audit | `Add service principal` | Adição de service principal - backdoor em tenant comprometido | | GCP Audit Log | `SetIamPolicy` | Modificação de permissões IAM - escalação de privilégios em GCP | | Sysmon (ID 3) | Conexão de rede para IPs de cloud | Processo incomum iniciando conexão para AWS/Azure ranges | **Regra Sigma - Login em conta AWS de geolocalização incomum:** ```yaml title: AWS Console Login de País Incomum id: 7c4e9a1b-2f3d-4b8e-a0c5-1d2e3f4g5h67 status: experimental description: > Detecta login no AWS Management Console a partir de país não esperado para a organização. Indicador de comprometimento de conta cloud (T1586.003). logsource: service: cloudtrail product: aws detection: selection: eventName: ConsoleLogin responseElements.ConsoleLogin: 'Success' filter_known_countries: sourceIPAddress|cidr: - '177.0.0.0/8' # Brasil (Claro/NET) - '187.0.0.0/8' # Brasil (Vivo/TIM) - '189.0.0.0/8' # Brasil (OI) condition: selection and not filter_known_countries falsepositives: - Funcionários em viagem internacional - Uso de VPN corporativa com egress fora do Brasil level: high tags: - attack.resource_development - attack.t1586.003 ``` --- ## Mitigação > [!tip] MFA obrigatório é a mitigação mais eficaz > A grande maioria dos comprometimentos de contas cloud explora ausência de MFA ou uso de métodos MFA fracos (SMS). Implementar MFA resistente a phishing (FIDO2/hardware token) elimina a maior superfície de ataque. | Controle | Descrição | Prioridade para Orgs Brasileiras | |----------|-----------|----------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Reduzir exposição de credenciais - políticas de senha forte e rotação regular | Alta | | MFA FIDO2/Hardware Token | Implementar autenticação de segundo fator resistente a phishing em todas as contas cloud privilegiadas | Alta | | AWS IAM / Azure RBAC mínimo privilégio | Aplicar princípio do menor privilégio - nenhuma conta humana com permissões `AdministratorAccess` permanentes | Alta | | CASB (Cloud Access Security Broker) | Monitorar acesso a plataformas SaaS e detectar logins anômalos ou exfiltração de dados | Alta | | Monitoramento de credenciais vazadas | Assinar serviços de monitoramento de dark web para detectar credenciais corporativas em dumps | Alta | | Conditional Access / Zero Trust | Bloquear logins de IPs não corporativos ou países não esperados para contas cloud | Alta | | Revisão periódica de permissões IAM | Revogar service principals e chaves de acesso não utilizadas - especialmente após offboarding | Média | --- ## Threat Actors e Software > [!note] Grupos que utilizam contas cloud comprometidas como infraestrutura **[[g0016-apt29|APT29]]** (Cozy Bear / NOBELIUM) - Grupo de espionagem vinculado ao SVR russo, considerado um dos mais sofisticados do mundo. Comprometeu contas de Microsoft 365 e Azure AD em campanhas de espionagem contra governos ocidentais e organizações diplomáticas. Utiliza contas comprometidas de provedores de email legítimos para enviar spear-phishing altamente convincente - inclusive direcionado a embaixadas e ministérios de relações exteriores de países da América Latina. Na campanha SolarWinds, utilizou tenants Azure comprometidos como infraestrutura de C2. **Técnicas relacionadas que se encadeiam com T1586.003:** - [[t1566-phishing|T1566 - Phishing]] - uso da conta cloud comprometida para envio de phishing credível - [[t1567-002-exfiltration-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - exfiltrar dados para storage controlado pelo adversário - [[t1583-003-virtual-private-server|T1583.003 - Virtual Private Server]] - provisionar VPS usando créditos da conta comprometida - [[t1608-002-upload-tool|T1608.002 - Upload Tool]] - hospedar ferramentas em buckets S3/Blob comprometidos - [[t1110-003-password-spraying|T1110.003 - Password Spraying]] - vetor de comprometimento inicial da conta - [[t1528-steal-application-access-token|T1528 - Steal Application Access Token]] - roubo de token OAuth para acesso persistente sem senha --- *Fonte: [MITRE ATT&CK - T1586.003](https://attack.mitre.org/techniques/T1586/003)*