Esfiltrazione da Chat Aziendali: Messaging Applications (T1213.005)

La simulazione di questa tecnica in un engagement red team parte da un presupposto: si dispone già di credenziali valide o di un token OAuth con i permessi necessari per interrogare le API delle piattaforme di messaggistica. Il focus non è l'accesso iniziale, ma la raccolta massiva di messaggi e il mining di informazioni sensibili.

Scenario Microsoft Teams via Graph API. Una volta ottenuto un access token con scope Chat.Read o ChannelMessage.Read.All, l'interrogazione avviene tramite la Microsoft Graph API. Con un tool come GraphRunner (open source), pensato specificamente per il post-exploitation su ambienti Microsoft 365, è possibile enumerare i canali Teams e scaricare i messaggi in blocco. L'operazione tipica prevede l'autenticazione con un token rubato, l'enumerazione dei team e dei canali disponibili, e infine il dump dei messaggi. Alternativamente, con PowerShell e il modulo Microsoft.Graph (open source) si può procedere in modo granulare:

Connect-MgGraph -AccessToken $token Get-MgTeam -All | Select-Object DisplayName, Id Get-MgTeamChannelMessage -TeamId -ChannelId -Top 50

Questi comandi restituiscono i messaggi in chiaro, inclusi eventuali allegati e menzioni.

Scenario Slack. L'approccio equivalente sfrutta i token Slack (xoxb-, xoxp-) recuperati da file di configurazione, variabili d'ambiente o repository Git. Con SlackPirate (open source), un tool di reconnaissance e data mining specifico per Slack, si automatizza la ricerca di credenziali, link interni e file condivisi all'interno di un workspace. La ricerca manuale via API è altrettanto efficace usando curl:

curl -H "Authorization: Bearer xoxp-TOKEN" "/conversations.list" curl -H "Authorization: Bearer xoxp-TOKEN" "/conversations.history?channel=CHANNEL_ID&limit=200"

Il payload di risposta contiene testo dei messaggi, timestamp e metadati utente.

Keyword hunting. Indipendentemente dalla piattaforma, il vero valore emerge filtrando i risultati per keyword ad alto impatto: "password", "credentials", "VPN", "incident", "compromised", "secret", "API key". In un esercizio red team, è utile simulare esattamente il comportamento documentato di Scattered Spider, che cerca specificamente conversazioni relative all'incident response per calibrare i propri movimenti laterali.

Per Google Chat, l'accesso programmatico passa dalle Google Workspace API con scope chat.messages.readonly, seguendo una logica analoga.

La detection di questa tecnica si gioca interamente sul piano SaaS: i log endpoint tradizionali offrono visibilità limitata, perché l'accesso avviene quasi sempre via API cloud. Le fonti critiche sono i log di audit delle piattaforme stesse.

Log source primari. Per Microsoft Teams, i due pilastri sono il Microsoft 365 Unified Audit Log (log source m365:unified) e i Sign-in Logs di Entra ID (m365:signinlogs). Il primo registra operazioni come l'accesso ai messaggi via eDiscovery, Content Search o Graph API. Il secondo consente di correlare l'attività con il pattern di autenticazione: un sign-in anomalo seguito da export massivo di messaggi Teams è un segnale forte. Per Slack, i log di audit enterprise (saas:slack) tracciano l'uso di API token, l'accesso tramite bot o OAuth app, e le operazioni di export su workspace e canali.

Logica di detection comportamentale. L'analytic DET0567 descrive due scenari complementari. Il primo (AN1565) copre l'accesso atipico a Slack o Teams via API, automation token o funzionalità di export massivo, soprattutto dopo un account takeover o un sign-in da località insolita. Il secondo (AN1566) si concentra sull'accesso ai messaggi Teams tramite eDiscovery o Graph API dopo un sign-in rischioso.

I parametri di tuning sono essenziali per ridurre i falsi positivi:

• TimeWindow: l'intervallo temporale in cui osservare il comportamento di scraping post-login — un valore di 30-60 minuti dal sign-in cattura la maggior parte dei casi reali
• MessageExportThreshold: la soglia di messaggi o file scaricati — va calibrata rispetto al baseline dell'organizzazione, ma un accesso a più di 100 messaggi in un singolo burst è già anomalo per la maggior parte degli utenti
• UserContext: il livello di privilegio e il ruolo dell'utente — membri di InfoSec, Legal o HR possono legittimamente usare eDiscovery, mentre un utente del team marketing che esporta migliaia di messaggi è un red flag
• AccessMethod: distinguere accesso diretto da API token, OAuth app o bot — l'uso di token programmatici da parte di account utente standard merita attenzione immediata
• GeoRiskScore: pattern di sign-in da IP o country insoliti, da correlare con l'attività successiva su Teams

Un alert ben costruito combina il segnale di autenticazione anomala con il volume di accesso ai messaggi: sign-in da IP mai visto + accesso a più canali Teams via Graph API in meno di un'ora. Questo pattern ha un tasso di falsi positivi basso e copre lo scenario operativo documentato per i gruppi noti.

Per la componente preventiva, la mitigazione Audit (M1047) raccomanda la scansione proattiva dei canali di comunicazione alla ricerca di dati condivisi in modo inappropriato — credenziali in chiaro, link a risorse sensibili — riducendo l'esposizione prima che un avversario possa sfruttarla.

L'analisi forense di un'intrusione che coinvolge messaging applications è prevalentemente un'attività su log cloud. Gli artefatti endpoint sono secondari, ma non trascurabili quando l'avversario ha operato tramite un dispositivo compromesso.

Artefatti cloud — Microsoft 365. Il punto di partenza è il Unified Audit Log, dove le operazioni rilevanti includono eventi di tipo MessageRead, SearchStarted, SearchExported e attività Graph API registrate come MicrosoftGraphActivityLogs. Per ogni evento, il log include timestamp UTC, identità dell'utente, IP di origine, user-agent e dettagli dell'operazione. L'analista deve ricostruire la sequenza: sign-in anomalo → enumerazione dei team → accesso ai canali → download massivo di messaggi. I Sign-in Logs di Entra ID forniscono contesto critico — geolocalizzazione, device compliance state, rischio calcolato — che permette di determinare se l'accesso era legittimo o frutto di credential theft.

Artefatti cloud — Slack. I log di audit enterprise di Slack registrano eventi come file_downloaded, message_fetched, e soprattutto l'uso di token API. La correlazione tra la creazione o il riutilizzo di un token OAuth e un'attività massiva di lettura messaggi è il cuore della timeline. Se l'organizzazione utilizza Slack Enterprise Grid, i log sono centralizzati e interrogabili via API di audit.

Artefatti endpoint. Se l'attaccante ha operato da una workstation compromessa, la cache locale dei client desktop di Teams e Slack può contenere tracce. Il client Teams memorizza dati in un database LevelDB nella directory di profilo dell'utente (sotto %AppData%), e frammenti di conversazioni possono persistere in cache anche dopo la chiusura dell'applicazione. Per Slack desktop, la situazione è analoga, con storage locale basato su Electron e SQLite. L'analisi di questi artefatti con tool come Hindsight (open source), nato per l'analisi di browser Chromium-based ma applicabile ai client Electron, può rivelare URL acceduti, timestamp e frammenti di contenuto.

Ricostruzione della timeline. L'elemento chiave è la correlazione temporale tra tre eventi: il momento dell'accesso iniziale (account compromise), la prima interrogazione ai canali di messaggistica e l'eventuale esfiltrazione. Se il gruppo ha cercato conversazioni sull'incident response — come documentato per Scattered Spider — la timeline deve includere il confronto tra le attività dell'attaccante sui canali e le comunicazioni del team IR, per determinare se e quanto la risposta sia stata compromessa. Questo aspetto ha implicazioni operative dirette: stabilisce se è necessario invalidare l'intero piano di remediation.

Tre gruppi distinti per origine, motivazione e sofisticazione convergono su questa tecnica, ciascuno con un obiettivo operativo diverso nel mining delle piattaforme di messaggistica.

Fox Kitten (G0117) è un gruppo con legami iraniani che opera principalmente contro organizzazioni nei settori IT e sicurezza. Il suo accesso agli ambienti Microsoft Teams delle vittime si inserisce in una catena più ampia di compromissione di infrastrutture IT e security, dove le conversazioni aziendali rappresentano una miniera di intelligence sulle architetture di rete e le pratiche operative. L'interesse di Fox Kitten per gli ambienti di sicurezza delle vittime suggerisce che il mining di Teams serva a mappare le difese prima di approfondire l'intrusione.

Scattered Spider (G1015) rappresenta il caso più emblematico di utilizzo tattico della messaggistica. Questo gruppo, noto per attacchi ad alto impatto contro organizzazioni di grandi dimensioni, cerca attivamente conversazioni su Slack e Microsoft Teams relative all'intrusione in corso e agli sforzi di incident response. È un comportamento che trasforma la piattaforma di comunicazione in un canale di counter-intelligence in tempo reale: l'attaccante monitora le mosse del blue team e adatta la propria strategia di conseguenza. Questo pattern rende la mitigazione Out-of-Band Communications Channel (M1060) non un consiglio teorico ma una necessità operativa concreta.

LAPSUS$ (G1004) ha utilizzato la ricerca su MS Teams e Slack con un obiettivo più diretto: la scoperta di credenziali ad alto privilegio. Il gruppo ha setacciato i canali di collaborazione alla ricerca di account con permessi elevati, trasformando le chat aziendali in un vettore di privilege escalation. La differenza rispetto agli altri due gruppi è la motivazione: LAPSUS$ punta all'escalation rapida, non alla raccolta di intelligence a lungo termine.

Il pattern comune è significativo: tutti e tre i gruppi operano su Microsoft Teams, due su tre anche su Slack. Nessuno utilizza tool custom per questa fase — l'accesso avviene tramite le funzionalità native delle piattaforme o le loro API ufficiali. Questo rende la detection più complessa perché non ci sono indicatori di compromissione tradizionali (hash, C2 domain), ma solo anomalie comportamentali. La raccomandazione M1060 sull'uso di canali di comunicazione out-of-band durante gli incidenti emerge come il controllo più critico: se l'avversario legge le chat IR in tempo reale, ogni piano discusso su Teams o Slack è compromesso prima ancora di essere eseguito.

Framework MITRE ATT&CK v16 — Tecnica T1213.005, Tattica TA0009, Gruppi G0117, G1015, G1004. Mitigazioni M1017, M1047, M1060. Detection DET0567 (AN1565, AN1566). Integrato con conoscenza professionale per tool e procedure operative.