Resumo
O Microsoft Defender Security Research Team reportou uma campanha multifásica de adversary‑in‑the‑middle (AitM) combinada com BEC que tem como alvos organizações do setor de energia, aproveitando serviços de compartilhamento como o SharePoint e regras de caixa de entrada para persistência.
O que os pesquisadores observaram
De acordo com o comunicado reproduzido pelo The Hacker News, a operação abusou de serviços legítimos de compartilhamento de arquivos (SharePoint) para distribuir páginas de phishing e payloads, reduzindo sinais óbvios de comprometimento. Além disso, os atacantes usam a criação de regras na caixa de entrada como mecanismo de persistência e para evitar que o usuário note mensagens fraudulentas.
Vetor e técnicas principais
- Abuso de SharePoint: links e arquivos hospedados em serviços de colaboração legítimos servem como vetores para páginas de roubo de credenciais e iscas.
- Criação de regras de e‑mail: regras automáticas filtram mensagens e podem esconder comunicações de resgate, notificações ou confirmações de exfiltração.
- Estratégia AitM + BEC: combinação de técnicas para interceptar autenticações e realizar fraude via e‑mail comercialmente orientada.
Alcance e impacto potencial
O setor energético é um alvo de alto impacto: interrupções, manipulação de dados operacionais ou exfiltração de segredos industriais podem ter consequências significativas. O relatório não quantifica número de vítimas publicamente, mas ressalta uma campanha direcionada a múltiplas organizações dentro do setor.
Evidências e fontes
As observações são atribuídas ao Microsoft Defender Security Research Team e foram divulgadas por The Hacker News. A Microsoft é citada como fonte primária das detecções e análises técnicas.
Medidas recomendadas
- Reforçar proteção de contas: obrigar MFA robusta, revisar dispositivos confiáveis e reduzir tolerância a métodos AitM (ex.: bloquear sessões via proxies não autorizados).
- Monitorar regras de caixa de entrada: auditar automaticamente criação de regras e anomalias de encaminhamento em contas críticas.
- Proteção de colaboração: aplicar políticas de DLP e verificação de links/executáveis hospedados em serviços de terceiros; restringir compartilhamento público quando desnecessário.
- Resposta a incidentes: validar logs de acesso a SharePoint, revisar alterações de configuração e procurar sinais de persistência via regras ou automações internas.
Limitações e perguntas em aberto
O comunicado descreve o modus operandi e técnicas observadas, mas não divulga indicadores detalhados nem métricas de alcance público. Não há, no texto consultado, confirmação de autoria por um ator específico além da descrição do padrão AitM/BEC.
Relevância para o Brasil
Embora o alerta não mencione vítimas brasileiras, organizações do setor energético e fornecedores locais devem avaliar controles de acesso, políticas de compartilhamento em Office 365/SharePoint e monitoramento de regras de e‑mail. Em cenários com dados pessoais de clientes ou empregados, incidentes desse tipo podem desencadear obrigações de notificação sob a LGPD se houver acesso ou exfiltração de dados pessoais.
Fonte: Microsoft Defender Security Research Team, reproduzido por The Hacker News.
O que falta: detalhes técnicos e IoCs públicos — equipes industriais devem buscar alertas técnicos oficiais da Microsoft para ações de mitigação e detecção.