Account Cloud Compromessi: Valid Accounts – Cloud Accounts (T1078.004)

La simulazione di questa tecnica in laboratorio richiede un ambiente cloud controllato — un tenant Azure di test o un account AWS sandbox — con credenziali deliberatamente deboli o esposte. L'obiettivo è verificare quanto velocemente un attaccante può muoversi lateralmente partendo da un singolo account compromesso.

Enumerazione Azure AD con ROADTools. ROADTools (open source) è il tool di riferimento per l'esplorazione dell'Azure AD Graph API interna. Dopo aver ottenuto un token valido, l'enumerazione parte con due comandi sequenziali:

roadrecon auth -u testuser@tenant.onmicrosoft.com -p 'PasswordTest123'

roadrecon gather

Il primo comando autentica l'utente e memorizza il token; il secondo raccoglie l'intera struttura del tenant — utenti, gruppi, service principal, ruoli assegnati — in un database SQLite locale. L'interfaccia di esplorazione si avvia poi con roadrecon gui, permettendo di mappare visivamente le relazioni tra oggetti e identificare account con privilegi eccessivi.

Escalation e movimento laterale in AWS con Pacu. Pacu (open source), sviluppato da Rhino Security Labs, è il framework di exploitation AWS più completo disponibile. Una volta configurato con credenziali valide, la sequenza operativa tipica prevede:

pacu --new-session lab-test

All'interno della sessione, il modulo iam__enum_permissions enumera i permessi effettivi dell'account corrente, mentre iam__privesc_scan identifica automaticamente i percorsi di privilege escalation disponibili — ad esempio la possibilità di creare nuove policy IAM, assumere ruoli cross-account o modificare trust relationship. Il modulo cloudtrail__download_event_history permette inoltre di verificare se l'attività viene correttamente registrata nei log.

Sfruttamento di service account Kubernetes con Peirates. Per ambienti containerizzati, Peirates (open source) consente di testare l'abuso di token di service account rubati in cluster Kubernetes. Lo strumento tenta automaticamente di enumerare i secret disponibili e di utilizzare token esistenti per accedere ad API server e risorse del cluster.

Validazione della sincronizzazione ibrida. In scenari dove Microsoft Entra Connect sincronizza le identità, è utile verificare con AADInternals (open source, modulo PowerShell) se le credenziali sincronizzate permettono accesso incrociato:

Install-Module AADInternals -Scope CurrentUser

Get-AADIntSyncCredentials

Questo comando, eseguito sul server Entra Connect, estrae le credenziali dell'account di sincronizzazione — esattamente il vettore sfruttato da Storm-0501 per accedere ai tenant delle vittime. La simulazione deve includere la verifica che il SOC rilevi queste operazioni nei log di sign-in.

La detection di account cloud compromessi si basa sull'identificazione di deviazioni comportamentali rispetto a baseline consolidate. I quattro analytic documentati coprono altrettante superfici critiche, ma vanno calibrati con attenzione per evitare un mare di falsi positivi.

Identity Provider — il primo muro. I log azure:signinlogs e saas:okta sono la fonte primaria. L'analytic AN1503 rileva autenticazioni anomale da account con privilegi elevati, concentrandosi su due pattern: impossible travel (accessi da geolocalizzazioni incompatibili in un arco temporale ristretto) e uso di protocolli legacy come IMAP o SMTP Basic Auth, che non supportano MFA. Il parametro AnomalousLocationThreshold va calibrato sulla realtà operativa dell'organizzazione — un'azienda con dipendenti in viaggio costante richiede soglie diverse da un ente con sedi fisse. Il filtro ProtocolType dovrebbe generare alert ad alta priorità per qualsiasi autenticazione via protocollo legacy su account Global Administrator o Privileged Role Administrator, perché in ambienti moderni questi protocolli dovrebbero essere completamente disabilitati.

IaaS — le chiamate API fuori contesto. Su AWS:CloudTrail e gcp:audit, l'analytic AN1504 monitora le operazioni API che eccedono il perimetro normale di un utente: modifiche IAM, accesso a servizi mai utilizzati, operazioni assume-role ad alta frequenza. Il tuning del ServiceInteractionBaseline richiede almeno 30 giorni di raccolta dati per costruire un profilo affidabile per ogni ruolo. Il RoleSwitchRateThreshold va impostato monitorando la frequenza normale di switch nei primi due sprint, poi abbassato progressivamente.

SaaS e Office Suite — l'esfiltrazione silenziosa. Gli analytic AN1505 e AN1506 su m365:unified e m365:signinlogs intercettano pattern di esfiltrazione: download massivi, creazione di condivisioni esterne non autorizzate, login fuori orario lavorativo. Il parametro FileDownloadThreshold va differenziato per dipartimento — il team legale scarica legittimamente volumi diversi dal marketing. Il BusinessHours deve contemplare fusi orari multipli per organizzazioni distribuite.

Per ridurre il rumore, è efficace creare una whitelist dinamica basata su Conditional Access: gli accessi da dispositivi Intune-compliant e IP aziendali generano alert a severità ridotta, mentre quelli da dispositivi sconosciuti su account privilegiati scalano automaticamente a severità critica. L'integrazione con Microsoft Sentinel (freemium) o Splunk (a pagamento) permette di correlare gli eventi cross-platform in un'unica dashboard.

Ricostruire l'intrusione tramite account cloud compromessi richiede di incrociare artefatti provenienti da più piattaforme, poiché l'attaccante opera tipicamente in un ambiente ibrido dove le tracce si distribuiscono tra tenant cloud e infrastruttura on-premises.

Azure AD Sign-in e Audit Log. Il punto di partenza è sempre il log di autenticazione. In Azure, gli Unified Audit Log di Entra ID registrano ogni sign-in con dettagli su IP sorgente, user agent, device compliance, metodo MFA utilizzato e risultato dell'autenticazione. La presenza di sign-in riusciti senza challenge MFA su account Global Administrator — come documentato nel caso di Storm-0501, che ha sfruttato account senza metodi MFA registrati — è un indicatore critico. L'estrazione tramite PowerShell avviene con il modulo Microsoft Graph:

Get-MgAuditLogSignIn -Filter "userPrincipalName eq 'admin@contoso.com'" -Top 500 | Export-Csv signin_review.csv

Operazioni su Service Principal. Nella campagna SolarWinds Compromise (C0024), APT29 ha utilizzato un account O365 amministratore compromesso per creare un nuovo Service Principal — un'operazione che lascia traccia nell'Audit Log sotto la categoria ApplicationManagement con l'attività Add service principal. Verificare la creazione di Service Principal e l'assegnazione di credenziali (password o certificato) è fondamentale: ogni Service Principal creato durante la finestra di compromissione va considerato potenzialmente malevolo.

CloudTrail in AWS. Per ambienti AWS, gli eventi ConsoleLogin, AssumeRole, CreateAccessKey e AttachUserPolicy in CloudTrail ricostruiscono la catena di escalation. Un pattern tipico è la sequenza: login con credenziali rubate → creazione di una nuova access key → assegnazione di policy AdministratorAccess. L'analisi degli eventi richiede attenzione al campo sourceIPAddress e alla correlazione temporale con gli eventi di autenticazione Azure se l'ambiente è multi-cloud.

Artefatti dell'ambiente ibrido. Quando la compromissione passa attraverso Entra Connect — il vettore documentato per Storm-0501 — l'analisi deve estendersi al server di sincronizzazione on-premises. I log dell'Application Event Log di Windows sul server Entra Connect (sorgente ADSync) registrano le operazioni di sincronizzazione. L'uso di Storage Account Access Keys va tracciato nei log di Azure Storage Analytics, cercando operazioni ListKeys e RegenerateKey anomale.

La timeline finale deve integrare, in ordine cronologico: il primo sign-in anomalo, la creazione di credenziali persistenti, eventuali modifiche ai ruoli, e le operazioni di accesso ai dati. Tool come Microsoft Sentinel (freemium) o Timesketch (open source) facilitano la correlazione cross-source.

Nove gruppi APT documentati sfruttano account cloud compromessi, ma con motivazioni, obiettivi e sofisticazione radicalmente diversi. L'analisi dei pattern rivela due cluster distinti.

Il cluster state-sponsored russo è dominato da APT29 e APT28. APT29 rappresenta il caso più sofisticato: durante la campagna SolarWinds Compromise (C0024, agosto 2019 – gennaio 2021), ha creato Service Principal malevoli partendo da account O365 amministrativi compromessi, dimostrando una comprensione profonda dell'architettura Azure AD. APT28 ha seguito un approccio più diretto, sfruttando account Office 365 con privilegi Global Administrator per raccogliere email dalle caselle delle vittime. Entrambi i gruppi privilegiano l'accesso a posta elettronica e documenti strategici, coerentemente con le finalità di intelligence gathering del SVR e del GRU.

Il cluster asiatico include APT5 e APT33. APT5 ha compromesso ambienti Microsoft M365 tramite credenziali rubate, mentre APT33 ha combinato account Office 365 compromessi con il tool Ruler per tentare di ottenere il controllo degli endpoint — un approccio che sfrutta la connessione tra cloud e infrastruttura on-premises. Ke3chang completa il quadro con compromissioni di account Microsoft 365, suggerendo un interesse persistente per le piattaforme di produttività occidentali.

Il cluster ibrido-distruttivo è rappresentato da Storm-0501, che si distingue per la sofisticazione nell'attacco agli ambienti ibridi: la compromissione di Microsoft Entra Connect per sfruttare la sincronizzazione delle identità, l'uso di account Global Administrator senza MFA e l'accesso a Storage Account Access Keys delineano un attore con capacità avanzate nella navigazione di architetture cloud ibride.

Il cluster criminale-finanziario comprende Scattered Spider e LAPSUS$. Scattered Spider, durante la campagna C0027 (giugno – dicembre 2022), ha preso di mira aziende di telecomunicazioni e BPO, utilizzando social engineering e SIM swapping prima di sfruttare credenziali compromesse per autenticarsi su tenant Azure. LAPSUS$ ha adottato un approccio più opportunistico, utilizzando credenziali compromesse per accedere ad asset cloud delle vittime. HAFNIUM completa il panorama con l'abuso di service principal per esfiltrare dati da ambienti compromessi.

Il trend emergente è la convergenza tra compromissione cloud e sfruttamento di ambienti ibridi: gli attori più avanzati non si limitano al tenant cloud ma utilizzano l'accesso come trampolino verso l'infrastruttura on-premises e viceversa. L'assenza di MFA su account privilegiati resta il fattore abilitante più ricorrente nelle campagne documentate — un dato che dovrebbe guidare la prioritizzazione delle mitigazioni.

Framework MITRE ATT&CK v16 — T1078.004 Valid Accounts: Cloud Accounts. Campagne: C0024 (SolarWinds Compromise), C0027. Gruppi: G0016, G1023, G0007, G1053, G0125, G1015, G0064, G1004, G0004. Software: S0684, S0683, S1091. Detection: DET0546, AN1503–AN1506. Integrato con conoscenza professionale per tool e procedure operative.