# T1586 - Compromise Accounts ## Descrição Adversários comprometem contas existentes em plataformas digitais - e-mail, redes sociais, nuvem - para utilizá-las como recursos operacionais em campanhas de ataque. Ao contrário de [[t1585-establish-accounts|T1585 - Establish Accounts]] (criar contas novas), esta técnica se aproveita de identidades já estabelecidas, o que confere maior credibilidade e contorna mecanismos de detecção baseados em contas recém-criadas. A técnica é classificada em **Resource Development** pois ocorre antes do contato direto com o alvo final. O adversário constrói um arsenal de contas comprometidas que servirão como trampolim para [[t1566-phishing|Phishing]], engenharia social, distribuição de malware ou acesso inicial a ambientes de nuvem. No contexto **Brasil/LATAM**, o comprometimento de contas é um vetor amplamente explorado por grupos de ransomware, operadores de malware bancário (como aqueles associados ao ecossistema de trojans brasileiros como Guildma, Grandoreiro e Astaroth) e atores de espionagem. Credenciais brasileiras são frequentemente comercializadas em fóruns clandestinos como Genesis Market (desativado), Russian Market e canais do Telegram - com volume expressivo de contas de serviços bancários, e-commerce e plataformas de e-gov (GOV.BR, Nota Fiscal Paulista). Contas comprometidas de funcionários de grandes empresas e órgãos públicos brasileiros são utilizadas para [[t1598-phishing-for-information|Phishing for Information]] direcionado (BEC - Business Email Compromise), causando prejuízos estimados em bilhões de reais por ano. > [!warning] Relevância para o Brasil > O Brasil lidera o ranking de vazamentos de credenciais na América Latina. Combolists com milhões de pares login/senha de brasileiros circulam regularmente em fóruns clandestinos. Ataques de BEC (Business Email Compromise) contra empresas brasileiras causaram prejuízos superiores a R$ 2,5 bilhões em 2024, segundo estimativas do setor financeiro e de seguros. --- ## Attack Flow ```mermaid graph TB A([Adversário]) --> B[Coleta de<br/>Credenciais<br/>Vazadas] B --> C{T1586\nCompromise\nAccounts}:::highlight C --> D[Contas de<br/>E-mail Comprometidas] C --> E[Contas Cloud<br/>Compromissadas] C --> F[Redes Sociais<br/>Sequestradas] D --> G>phishing] E --> H[Acesso a<br/>Recursos Cloud] F --> I[Engenharia<br/>Social / Scam] G --> J([Vítima<br/>Final Atingida]) H --> J I --> J classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` --- ## Como Funciona **Passo 1 - Obtenção das credenciais** O adversário obtém credenciais por múltiplos caminhos: compra em mercados clandestinos (combolists, infostealer logs de malwares como RedLine e Raccoon), credential stuffing usando vazamentos anteriores (ex.: LGPD breach notifications), [[t1598-phishing-for-information|Phishing for Information]] direcionado, acesso a funcionários corruptos ou contratados, e força bruta contra serviços com políticas fracas de senha. Infostealers como Lumma Stealer e Redline são extensivamente distribuídos no Brasil via anúncios maliciosos e crack de software. **Passo 2 - Validação e enriquecimento das contas** As credenciais obtidas são válidadas em escala com ferramentas automatizadas de credential stuffing. Contas válidas são classificadas por valor: e-mails corporativos de CFOs/CEOs têm prioridade máxima para BEC; contas de cloud (AWS, Azure, GCP) são exploradas para mineração ou staging de infraestrutura; redes sociais com muitos seguidores valem para amplificação de desinformação ou scams. O adversário pode modificar perfis para aumentar credibilidade antes de usar a conta. **Passo 3 - Operacionalização na campanha** A conta comprometida é integrada ao fluxo operacional: e-mails legítimos são encaminhados para imitar fluxos de pagamento reais (BEC clássico), contas cloud são usadas para hospedar payloads ou como proxy, e perfis sociais disparam links maliciosos para a rede de contatos da vítima original - aproveitando o relacionamento de confiança preexistente para aumentar a taxa de cliques em campanhas de [[t1566-phishing|Phishing]]. --- ## Detecção > [!info] Fontes de Dados > A detecção de T1586 exige monitoramento de fontes externas (threat intel de vazamentos) e análise comportamental de contas internas (logins anômalos, mudanças de padrão). **Event IDs relevantes:** | Event ID | Fonte | Contexto | |----------|-------|---------| | `4625` | Windows Security | Falha de logon - múltiplas tentativas indicam credential stuffing | | `4776` | Windows Security | Validação de credencial NTLM - detecção de password spray | | `4648` | Windows Security | Logon com credenciais explícitas (Pass-the-Hash/Pass-the-Ticket) | | `111` | Azure AD Sign-In | Logon de localização impossível (viagem impossível) | | `50140` | Azure AD | Token de sessão reutilizado após logout - Adversary-in-the-Middle | **Sigma Rule - Credential Stuffing / Logon Anômalo:** ```yaml title: Suspicious Account Compromise Indicators id: b8d4e1f3-2c7a-4b9e-a6d5-3f8c1b2e4a7d status: experimental description: > Detecta padrões de comprometimento de contas: múltiplas falhas de autenticação seguidas de sucesso (credential stuffing) ou logon de localização geográfica inconsistente com histórico do usuário. references: - https://attack.mitre.org/techniques/T1586/ author: RunkIntel daté: 2026-03-24 tags: - attack.resource_development - attack.t1586 - attack.credential_access logsource: service: security product: windows detection: failed_logins: EventID: 4625 SubStatus: '0xc000006a' # Wrong password successful_login: EventID: 4624 LogonType: 3 condition: failed_logins | count() by TargetUserName > 10 | within 5m # Correlacionar com 4624 subsequente do mesmo TargetUserName falsepositives: - Usuários que esquecem senha repetidamente - Sistemas legados com autenticação repetida automatizada level: high ``` --- ## Mitigação | ID | Mitigação | Implementação para Organizações Brasileiras | |----|-----------|---------------------------------------------| | [[m1056-pre-compromise\|M1056]] | Pre-Compromise | Monitorar Have I Been Pwned e feeds de vazamentos para identificar credenciais corporativas expostas; notificar usuários afetados proativamente | | - | MFA Obrigatório | Implementar autenticação multifator em todos os serviços expostos à internet - e-mail corporativo, VPN, portais de acesso. Priorizar FIDO2/WebAuthn sobre SMS (suscetível a SIM Swap, comum no Brasil) | | - | Password Manager | Adotar gerenciador de senhas corporativo (Bitwarden, 1Password for Business) e política de senhas únicas por serviço | | - | Conditional Access | Configurar políticas de acesso condicional (Azure AD, Okta) para bloquear logons de países/IPs não usuais ou exigir MFA adicional | | - | Threat Intelligence | Integrar feeds de credential leaks (HIBP Enterprise, SpyCloud, Flare) ao SIEM para alertas em tempo real de credenciais corporativas comprometidas | | - | Security Awareness | Treinar usuários sobre BEC e engenharia social com simulações regulares de phishing - foco em fluxos de transferência financeira e solicitações urgentes de CFO/CEO | --- ## Threat Actors e Software ### Grupos e técnicas associadas Embora o campo `used-by` desta técnica não estejá populado no MITRE ATT&CK com grupos específicos neste nível pai, T1586 é a base operacional para dezenas de grupos documentados que utilizam suas sub-técnicas: **[[t1586-002-email-accounts|T1586.002 - Email Accounts]]** é o vetor central de ataques de BEC (Business Email Compromise) - grupos de crime financeiro como Scattered Spider e operadores de ransomware como [[g0034-sandworm|Sandworm Team]] utilizam e-mails corporativos comprometidos para movimentação lateral e engenharia social interna. No Brasil, grupos locais especializados em golpes de BEC causam prejuízos bilionários ao setor empresarial. **[[t1586-003-cloud-accounts|T1586.003 - Cloud Accounts]]** é explorada por grupos como [[g1033-star-blizzard|Star Blizzard]] e APTs com foco em espionagem para obter acesso persistente a ambientes de produção, exfiltrar dados sensíveis e abusar de créditos cloud para mineração de criptomoeda ou staging de infraestrutura adicional. **[[t1586-001-social-media-accounts|T1586.001 - Social Media Accounts]]** é amplamente utilizada por grupos de desinformação e atores de influência - contas verificadas e com histórico de credibilidade são valiosas para amplificação de narrativas. No contexto LATAM, o Brasil é alvo frequente de operações de influência que se apoiam em contas comprometidas para aparentar grassroots. ### Técnicas relacionadas - [[t1585-establish-accounts|T1585 - Establish Accounts]] - alternativa à criação de contas (criação vs. comprometimento) - [[t1598-phishing-for-information|T1598 - Phishing for Information]] - método primário para coleta de credenciais - [[t1566-phishing|T1566 - Phishing]] - uso operacional das contas comprometidas - [[t1078-valid-accounts|T1078 - Valid Accounts]] - uso de credenciais válidas para acesso inicial (pós-comprometimento) --- ## Sub-técnicas - [[t1586-001-social-media-accounts|T1586.001 - Social Media Accounts]] - [[t1586-002-email-accounts|T1586.002 - Email Accounts]] - [[t1586-003-cloud-accounts|T1586.003 - Cloud Accounts]]