Deleghe Email Persistenti: Account Modification - Email Account (T1098.002)

Per comprendere la potenza di questa tecnica, iniziamo con il comando PowerShell più utilizzato in ambiente Exchange/Office 365:

Add-MailboxPermission -Identity victim@company.com -User attacker@company.com -AccessRights FullAccess -InheritanceType All

Questo singolo comando garantisce accesso completo alla mailbox della vittima. Ma gli attaccanti sofisticati vanno oltre, utilizzando permessi più granulari per evitare detection:

Set-MailboxFolderPermission -Identity victim@company.com:\Inbox -User Default -AccessRights Reviewer

Questa variante assegna permessi all'utente Default, permettendo a qualsiasi account nel tenant di leggere la posta in arrivo. È una tecnica utilizzata da APT29 durante la campagna SolarWinds, dove hanno aggiunto il ruolo ApplicationImpersonation per raccogliere email da centinaia di mailbox.

In Google Workspace, l'approccio richiede accesso alla console amministrativa o alle impostazioni Gmail dell'utente. Una volta ottenuto l'accesso, puoi configurare la delega attraverso l'interfaccia web, rendendo il processo meno visibile nei log tradizionali.

Per testare la persistenza, simula uno scenario reale: comprometti un account, aggiungi deleghe multiple, poi cambia la password dell'account originale. Noterai che le deleghe rimangono attive, permettendo accesso continuativo.

Un approccio avanzato prevede l'uso di Set-CASMailbox per aggiungere dispositivi come ID autorizzati per ActiveSync:

Set-CASMailbox -Identity victim@company.com -ActiveSyncAllowedDeviceIDs @{Add='DeviceID123'}

Questa tecnica, utilizzata durante HomeLand Justice, permette di sincronizzare l'intera mailbox su un dispositivo controllato dall'attaccante.

La detection efficace richiede monitoraggio dei log m365:unified e correlazione con eventi PowerShell. Configura alert per i seguenti pattern:

Monitora esecuzioni di Add-MailboxPermission e Set-MailboxFolderPermission nei log di Exchange Online. Questi comandi generano eventi specifici che puoi catturare attraverso il Unified Audit Log di Microsoft 365.

Un indicatore chiave è l'assegnazione di permessi agli utenti Default o Anonymous. Questi account speciali sono raramente utilizzati in operazioni legittime e rappresentano un forte indicatore di compromissione.

Crea baseline del normale comportamento di delega nella tua organizzazione. Magic Hound ha concesso accesso in lettura a decine di mailbox in poche ore - un pattern facilmente identificabile se hai stabilito soglie appropriate.

Implementa detection per spike anomali nel traffico email dopo l'aggiunta di deleghe. Quando un attaccante ottiene accesso a una mailbox importante, spesso la utilizza per Internal Spearphishing, generando volumi di email superiori alla norma.

Correla eventi di delega con login da località geografiche inusuali o da user agent non standard. La combinazione di questi indicatori riduce drasticamente i falsi positivi mantenendo alta l'efficacia della detection.

Per PowerShell, monitora EventCode 4104 (Script Block Logging) filtrando per cmdlet Exchange. L'esecuzione di questi comandi da processi non standard o account di servizio deve generare alert immediati.

L'analisi forense delle deleghe email richiede esame di multiple fonti di evidenza. Inizia dal Unified Audit Log di Microsoft 365, cercando eventi Add-MailboxPermission nel periodo sospetto.

Le deleghe lasciano tracce permanenti nella configurazione delle mailbox. Utilizza Get-MailboxPermission per enumerare tutti i permessi attivi e identificare anomalie temporali. Confronta le date di creazione con eventi di compromissione noti per stabilire la timeline.

Durante SolarWinds Compromise, gli analisti hanno scoperto che APT29 manteneva deleghe dormienti per mesi prima di attivarle. Questo pattern richiede analisi retroattiva estesa, esaminando log di almeno 90 giorni.

Gli artefatti di Windows Event Log possono rivelare l'origine dei comandi PowerShell. Cerca correlazioni tra EventCode 4688 (Process Creation) e l'esecuzione di Exchange Management Shell. L'account utilizzato e l'host di origine sono elementi critici per la ricostruzione.

In ambienti Google Workspace, l'Admin Console Activity Report contiene dettagli sulle modifiche di delega. Questi log includono timestamp precisi e l'identità dell'amministratore che ha effettuato le modifiche.

Per identificare l'utilizzo effettivo delle deleghe, analizza i log di accesso alle mailbox. Cerca pattern di accesso simultaneo da IP differenti o accessi fuori orario lavorativo che potrebbero indicare sfruttamento delle deleghe.

APT28 utilizza deleghe email come parte di operazioni di raccolta informazioni mirate. Il gruppo assegna tipicamente il ruolo ApplicationImpersonation per automatizzare la collezione email, indicando capacità di sviluppo custom e obiettivi di intelligence a lungo termine.

APT29 dimostra sofisticazione superiore, combinando deleghe email con backdoor in Azure AD service principal. Durante SolarWinds, hanno utilizzato account con ApplicationImpersonation per raccogliere email da mailbox specifiche, suggerendo intelligence pre-operativa dettagliata sui target di valore.

Magic Hound adotta un approccio più aggressivo, garantendo accesso in lettura a numerose mailbox simultaneamente. Questo pattern "spray and pray" è caratteristico di gruppi con obiettivi di raccolta massiva piuttosto che targeting chirurgico. Il focus su organizzazioni del Medio Oriente attraverso OWA indica preferenza per interfacce web-based.

L'overlap nei tool è significativo: tutti e tre i gruppi sfruttano cmdlet PowerShell nativi piuttosto che tool custom. Questo suggerisce che future campagne continueranno a utilizzare "living off the land" techniques per evitare detection.

La geografia delle vittime mostra pattern distinti. APT28 e APT29 targetizzano prevalentemente organizzazioni governative e tecnologiche occidentali, mentre Magic Hound si concentra sul Medio Oriente. Questa segregazione geografica può aiutare nell'attribuzione di nuove campagne.

Questa analisi si basa sul framework MITRE ATT&CK, documentazione delle campagne SolarWinds Compromise e HomeLand Justice, e pattern osservati da APT28, APT29 e Magic Hound. Le tecniche di detection derivano da implementazioni real-world in ambienti Microsoft 365 e Google Workspace enterprise.