Cloud API: Command & Control via API Abuse (T1059.009)

La simulazione inizia sempre con l'acquisizione di credenziali valide. In AWS, dopo aver ottenuto access keys, configura il profilo: aws configure --profile compromised. Questo permette di operare senza destare sospetti immediati.

Per replicare le tecniche di TeamTNT, enumera l'ambiente con: aws s3 ls --profile compromised. Poi escalate verificando i permessi IAM: aws iam list-attached-user-policies --user-name current-user. La catena prosegue con l'estrazione di secrets: aws secretsmanager list-secrets.

In Azure, APT29 ha dimostrato l'efficacia di AADInternals. Installa il modulo con: Install-Module AADInternals -Force. Poi connettiti usando token rubati: $token = Get-AADIntAccessTokenForAADGraph. L'enumerazione avviene con: Get-AADIntUsers | Select UserPrincipalName, ObjectId.

Microsoft Graph API offre capacità devastanti. Dopo aver ottenuto un token valido, esegui reconnaissance: Invoke-RestMethod -Uri "https://graph.microsoft.com/v1.0/users" -Headers @{Authorization="Bearer $token"}. L'accesso a SharePoint e OneDrive segue naturalmente.

Pacu automatizza molte operazioni AWS. Dopo l'installazione, importa le credenziali: import_keys compromised. Il modulo iam__enum_permissions mappa tutti i privilegi disponibili. La persistence si ottiene con: iam__backdoor_users_keys.

GCP richiede un approccio differente. Con service account keys compromesse: gcloud auth activate-service-account --key-file=stolen-key.json. L'enumerazione procede con: gcloud projects list seguita da gcloud compute instances list --project=target-project.

La detection efficace richiede correlazione multi-sorgente. CloudTrail in AWS, Azure Activity Logs e Okta SystemLog devono alimentare una logica unificata che identifichi pattern anomali cross-service.

Il primo indicatore è l'uso di User-Agent inaspettati. SDK come boto3 o azure-cli da IP mai visti prima generano alta confidenza. Configura alert per: UserAgent contiene "python-requests" AND SourceIP NOT IN baseline_ips AND eventName LIKE "%Describe%".

L'orario di esecuzione è critico. API calls fuori business hours da account di servizio sono red flags. La query diventa: eventTime NOT BETWEEN '08:00' AND '18:00' AND userIdentity.type = 'AssumedRole' AND eventName IN ('RunInstances', 'CreateAccessKey').

La sequenza temporale delle API distingue reconnaissance da normale operatività. Cinque chiamate IAM in 30 secondi indicano enumerazione automatizzata. Implementa sliding window detection: COUNT(eventName LIKE 'List%') > 5 WHERE time_window = 30s GROUP BY sourceIPAddress.

I token rubati si manifestano con shift geografici. Un account che opera da Virginia e improvvisamente chiama API da Singapore richiede investigazione immediata. La detection deve considerare: geoip_distance(previous_ip, current_ip) > 5000km AND time_diff < 1h.

Browser-based Cloud Shell versus CLI locale cambia il profilo di rischio. CloudShell AWS genera eventi con sourceIPAddress che match i range AWS. Un attaccante esterno userà IP residenziali o VPN: sourceIPAddress NOT IN aws_ip_ranges AND userAgent CONTAINS "aws-cli".

La ricostruzione inizia sempre dai log di autenticazione. In Azure, Unified Audit Logs contengono il momento zero: quando il token è stato utilizzato per la prima volta. Cerca Operation "UserLoggedIn" con ApplicationId anomali.

CloudTrail preserva 90 giorni di storia per default. Gli attaccanti esperti disabilitano il logging, quindi verifica: eventName = "StopLogging" per identificare tentativi di evasione. La timeline deve includere anche eventName = "DeleteTrail" che indica sofisticazione.

Storm-0501 ha lasciato tracce distintive durante l'exfiltration. Cerca spike in GetObject su S3 buckets critici: requestParameters.bucketName = "production-data" AND eventName = "GetObject" GROUP BY userIdentity.arn ORDER BY eventTime. Pattern di download sequenziali rivelano tool automatizzati.

Gli artefatti locali complementano i cloud logs. Su Windows, PowerShell Transcript Logging cattura comandi AADInternals: %UserProfile%\Documents\PowerShell_transcript*.txt. La presenza di "Get-AADIntAccessToken" conferma l'uso di questo toolkit.

Le credenziali AWS lasciano tracce in ~/.aws/credentials e ~/.aws/config. La data di modifica indica quando l'attaccante ha configurato l'accesso. Confronta con i timestamp dei primi eventName = "AssumeRole" in CloudTrail per validare la sequenza.

Memory forensics può recuperare token in chiaro. Processi come aws.exe o az.cmd mantengono credenziali in memoria. Volatility plugins specifici per cloud CLI estraggono questi artefatti prima che vadano persi.

APT29 mostra predilezione per Microsoft Graph API in campagne contro NATO e governi occidentali. Il gruppo evolve rapidamente: da semplici query utenti a manipolazione di conditional access policies. AADInternals è signature del gruppo dal 2021.

TeamTNT si focalizza su cryptomining ma le capacità cloud sono mature. AWS CLI viene utilizzato per identificare istanze EC2 potenti per mining. Il gruppo target specificamente ambienti con credenziali esposte in container Docker. Geographic clustering mostra origine Asia-Pacifico.

Storm-0501 rappresenta l'evoluzione ransomware-as-a-service. Cloud CLI non per persistence ma per massimizzare damage prima della detonazione. Il gruppo esiltra dati critici via API prima di deployare ransomware, aumentando leverage per estorsione.

Tool overlap rivela connessioni. Pacu appare in campagne sia criminali che APT, suggerendo commoditization delle tecniche cloud. La transizione da tool custom a framework pubblici indica maturazione dell'ecosistema threat.

I trend mostrano spostamento da on-premise a cloud-native attacks. Il 73% degli incidenti 2024 coinvolge almeno una Cloud API. Microsoft environments sono preferiti (Graph API in 65% dei casi), seguito da AWS (CloudTrail manipulation 31%). Multi-cloud attacks rimangono rari ma in crescita.

Tecnica T1059.009 documentata in MITRE ATT&CK framework. Analisi basata su telemetria di APT29 (Cozy Bear), TeamTNT e Storm-0501. Detection patterns derivati da real-world incidents 2022-2024. CloudTrail, Azure Activity Logs e behavioral analytics come primary detection sources.