Mining nelle Chat Aziendali: Data Collection from Information Repositories - Messaging Applications (T1213.005)

L'accesso alle chat aziendali richiede credenziali valide o token compromessi. Una volta ottenuto l'accesso, l'estrazione può avvenire tramite API legittime o funzionalità native delle piattaforme.

Per Microsoft Teams via Graph API, dopo aver ottenuto un token valido: GET https://graph.microsoft.com/v1.0/teams/{team-id}/channels/{channel-id}/messages

Questo comando recupera l'intera cronologia di un canale specifico. L'iterazione attraverso tutti i team e canali permette una raccolta sistematica.

Su Slack, l'approccio più discreto utilizza i token delle applicazioni legacy: curl -X POST https://slack.com/api/conversations.history -H "Authorization: Bearer xoxb-token" -d "channel=C1234567890"

La bellezza di questi metodi sta nell'apparire come normale traffico API. Non serve malware sofisticato: solo credenziali valide e pazienza nell'enumerazione.

Per simulazioni realistiche, considera l'automazione con Python e le librerie ufficiali. Il modulo python-slackclient o msgraph-sdk-python permettono script eleganti che replicano il comportamento dei gruppi APT documentati. Ricerca parole chiave come "password", "vpn", "incident" per identificare rapidamente contenuti di valore.

L'estrazione via eDiscovery in Office 365 rappresenta un vettore particolarmente insidioso. Con privilegi adeguati, puoi esportare intere mailbox e conversazioni Teams senza lasciare tracce evidenti sui client degli utenti.

La detection efficace richiede correlazione tra diversi segnali deboli. Il singolo accesso API potrebbe essere legittimo, ma pattern specifici tradiscono l'attaccante.

Monitora gli accessi bulk alle API di messaggistica. Un threshold di 100+ messaggi scaricati in una singola sessione dovrebbe generare un alert immediato. I log m365:unified e saas:slack contengono gli indicatori necessari.

La geolocalizzazione anomala prima dell'export massivo rappresenta un forte indicatore. Correla i m365:signinlogs con le successive attività di export: un login da paese inusuale seguito da download di chat entro 30 minuti merita investigazione approfondita.

Implementa detection comportamentale sui token API. L'accesso tramite automation token dopo lunghi periodi di inattività, specialmente se seguito da enumerazione sistematica dei canali, indica compromissione.

Per Teams, focalizzati sull'uso anomalo di eDiscovery. Se un account non-Legal/non-InfoSec accede improvvisamente agli strumenti di Content Search, l'alert dovrebbe essere prioritario. Il tuning richiede whitelist accurata dei ruoli autorizzati.

La suppression dei falsi positivi passa attraverso la profilazione delle attività legittime. Bot di backup, integrazioni CI/CD e tool di compliance generano traffico simile ma prevedibile nel timing e volume.

L'analisi forense delle attività su piattaforme di messaggistica richiede approcci specifici per ogni servizio. I log di audit Microsoft 365 forniscono granularità eccellente per ricostruire l'accesso a Teams.

Nel Unified Audit Log, cerca eventi FileDownloaded e FileAccessed correlati a Teams. L'EventData contiene il percorso completo del file e il metodo di accesso. Export massicci appaiono come sequenze di eventi ravvicinati con lo stesso SourceFileExtension.

Per Slack, gli audit log Enterprise Grid mostrano ogni chiamata API con timestamp e parametri. L'evento file.download ripetuto per lo stesso user_id in breve tempo indica raccolta sistematica. La presenza di user_agent anomali può rivelare tool automatizzati.

Fox Kitten ha dimostrato predilezione per l'accesso diretto via browser dopo aver compromesso le credenziali. Cerca pattern di navigazione attraverso multipli team e canali in sessioni notturne o weekend, tipici di operazioni APT.

L'analisi della timeline deve correlare accessi alle chat con altre attività sospette. LAPSUS$ tipicamente cercava credenziali privilegiate nelle chat prima di escalation. Identifica query di ricerca per termini come "admin", "root", "service account" nei periodi precedenti movimenti laterali documentati.

Gli artefatti di browser cache possono contenere frammenti di conversazioni visualizzate ma non necessariamente scaricate via API. Chrome SQLite database e Firefox places.sqlite preservano URL di singoli messaggi Teams/Slack visitati.

Fox Kitten (APT33/34 overlap) mostra metodologia sistematica nel targeting di ambienti IT e security team. Il gruppo cerca specificamente discussioni su architettura di rete, credenziali di test e procedure di incident response. La loro presenza nelle chat spesso precede attacchi destructive wiper.

LAPSUS$ adotta approccio più opportunistico, concentrandosi su credenziali ad alto privilegio nascoste in conversazioni informali. Il gruppo dimostra familiarità con gergo aziendale e cerca attivamente menzioni di "break glass accounts" o credenziali di emergenza condivise via chat.

Scattered Spider rappresenta l'evoluzione tattica: monitora attivamente discussioni su incident response in corso per adattare le proprie mosse. Quando i defender discutono IoC o strategie di contenimento su Teams/Slack, il gruppo modifica TTP in tempo reale. Questa capacità di "ascolto" prolungato distingue operazioni moderne da smash-and-grab tradizionali.

I pattern geografici mostrano concentrazione in regioni con alta penetrazione di collaboration tools. Aziende tech-forward con culture di comunicazione aperta su Slack risultano particolarmente vulnerabili. La condivisione di snippet di codice e credenziali di sviluppo via chat rimane pratica diffusa nonostante i rischi.

L'overlap negli strumenti è minimo: questi gruppi preferiscono funzionalità native delle piattaforme. L'assenza di malware custom per l'estrazione chat suggerisce che le API legitimate forniscono capacità sufficienti senza rischio di detection via signature.

Analisi basata su MITRE ATT&CK Framework, con documentazione dei gruppi APT Fox Kitten, LAPSUS$ e Scattered Spider. Detection patterns derivati da telemetria Microsoft 365 e Slack Enterprise. Riferimenti alle campagne pubbliche per validazione dei TTP descritti.