Team MailSniper
Autore
Lunedì mattina. Arriva una segnalazione da un utente del reparto legale: ha ricevuto un'email da quello che sembrava un contatto istituzionale reale, ha cliccato il link sul suo iPhone aziendale, e ora qualcosa non torna. La pagina sembrava legittima. L'email anche.
Se stai leggendo questo probabilmente hai già sentito parlare di TA446 con altri nomi: SEABORGIUM, ColdRiver, Callisto, Star Blizzard. È un gruppo APT russo attivo da anni, specializzato in campagne di spionaggio contro governo, difesa, ONG e — sempre di più — aziende private nel settore energia, legale e finanziario.
La novità di quest'ultima ondata è DarkSword: un exploit kit per iOS usato come payload finale in una catena di phishing via email. Il flusso tipico è:
Il punto critico per te, come sysadmin, è il passaggio 1: l'email. Se la blocchi lì, il resto della catena non parte. Ma bloccarla non è banale — TA446 è noto per infrastrutture di invio molto curate, domini freschi, e messaggi che superano i controlli SPF/DKIM/DMARC perché spesso partono da account reali compromessi.
Quindi il problema non è solo "filtrare spam". È capire come funziona questa campagna a livello tecnico e mettere in piedi difese stratificate.
TA446 usa infrastrutture di invio che cambiano spesso, ma alcune caratteristiche sono costanti. Cerca nei tuoi log di delivery:
Reply-To diverso dal From (classico per hijacking delle risposte)Se usi Exchange Online, puoi interrogare con PowerShell:
# Cerca email con Reply-To diverso dal mittente negli ultimi 30 giorni
Get-MessageTrace -StartDate (Get-Date).AddDays(-30) -EndDate (Get-Date) |
Where-Object { $_.Status -eq "Delivered" } |
Select-Object Received, SenderAddress, RecipientAddress, Subject |
Export-Csv -Path "C:\Logs\delivery_30d.csv" -NoTypeInformation
# Poi analizza manualmente o con grep/Python gli header
# per trovare Reply-To anomaliPer Google Workspace, usa la Admin Console > Reports > Email Log Search oppure le API di Gmail con un service account.
La catena di redirect è il cuore tecnico della campagna. Un URL nell'email può passare da un dominio innocuo (a volte un legittimo servizio di URL shortening compromesso) a un dominio malevolo solo dopo il controllo del user agent.
Se il tuo gateway supporta l'URL rewriting e la sandbox (la maggior parte dei prodotti enterprise lo fa), configurala per:
# Regola esemplificativa per un gateway che supporta policy YAML
url_rewrite:
enabled: true
follow_redirects: true # fondamentale: deve seguire la catena completa
max_redirect_depth: 5
sandbox_on_redirect: true
block_on_sandbox_timeout: true
user_agent_rotation: true # alcuni gateway lo supportano: cambia UA durante il followSenza questa configurazione, un gateway che controlla solo il primo URL dell'email viene bypassato banalmente.
TA446 registra domini freschi per ogni campagna. Una regola semplice ma efficace è mettere in quarantena automatica le email provenienti da domini con meno di 30 giorni di vita.
Su Exchange Online:
# Installa il modulo se non ce l'hai già
Install-Module -Name ExchangeOnlineManagement -Force
Connect-ExchangeOnline -UserPrincipalName admin@tuodominio.it
# Crea una transport rule che manda in quarantena email da domini giovani
# (richiede integrazione con Defender per il dato "domain age" —
# altrimenti usa un terzo servizio via connector)
New-TransportRule -Name "Quarantena domini giovani" `
-SenderDomainIs @("lista-domini-sospetti.txt") `
-SetSCL 9 `
-Comments "Regola anti-TA446: domini registrati di recente"Nota: Exchange Online nativo non espone direttamente l'età del dominio nelle transport rules. Se usi Defender for Office 365 Piano 2, puoi usare le Advanced Hunting queries per identificare i domini e aggiornare la lista periodicamente con uno script.
Alternativa più immediata: abilita il filtro First Contact Safety Tip e il Lookalike domain protection in Defender — non blocca, ma avvisa l'utente.
DarkSword è un exploit kit per iOS. Se i tuoi utenti accedono alla posta aziendale da iPhone, questo passaggio è critico.
Se hai Intune o Jamf:
<!-- Profilo MDM per limitare i browser su iOS ai soli Safari/managed -->
<!-- Da distribuire tramite Intune > Devices > Configuration profiles -->
<dict>
<key>PayloadType</key>
<string>com.apple.restrictions</string>
<key>safariAllowAutoFill</key>
<false/>
<key>safariAllowJavaScript</key>
<false/> <!-- valuta l'impatto operativo -->
<key>forceEncryptedBackup</key>
<true/>
</dict>La cosa più importante però è impedire che i link nelle email vengano aperti nel browser nativo non gestito. Con Microsoft Intune puoi configurare una App Protection Policy che forza l'apertura dei link di Outlook in Microsoft Edge (managed):
Intune > Apps > App protection policies > iOS/iPadOS
> Data protection > Receive data from other apps: Policy managed apps only
> Transfer telecommunication data to: A policy managed dialer appQuesto non blocca DarkSword direttamente, ma rompe la catena: il browser managed è aggiornato, monitorato e non espone le stesse superfici d'attacco.
Se un utente viene compromesso, le prime azioni di TA446 sono: leggere la posta, impostare regole di inoltro verso l'esterno, e raccogliere credenziali di altri contatti interni. Devi accorgertene prima che il danno si espanda.
Su Exchange Online / Defender:
# Alert per nuove regole di inbox forwarding create dagli utenti
New-ProtectionAlert -Name "Alert regole inoltro sospette" `
-Category ThreatManagement `
-Operation Set-InboxRule,New-InboxRule `
-NotifyUser admin@tuodominio.it `
-Severity High `
-AggregationType NoneSu Google Workspace, vai su Admin > Reporting > Audit > Gmail e imposta un alert per le modifiche ai filtri email.
Dopo aver applicato le configurazioni, verifica che tutto funzioni:
Test 1 — Simula un'email con Reply-To anomalo
Manda a te stesso un'email con un client esterno in cui Reply-To è diverso dal From. Controlla che venga taggata correttamente o finisca in quarantena.
Test 2 — Controlla il comportamento del gateway sui redirect
Usa un servizio come urlscan.io per analizzare manualmente una catena di redirect nota (prendi un esempio dai report pubblici di TA446 su CISA o CERT-EU) e verifica che il tuo gateway segua la catena e non si fermi al primo hop.
Test 3 — Verifica le app protection policies su iOS
Apri un'email con un link su un dispositivo iOS gestito e verifica che il link si apra in Edge (o nel browser managed) e non in Safari nativo.
Tool utili:
nslookup o dig per verificare l'età di un dominio tramite WHOISEmailEvents e UrlClickEvents// Advanced Hunting: cerca click su URL con redirect multipli nelle ultime 24h
UrlClickEvents
| where Timestamp > ago(24h)
| where ActionType == "ClickAllowed"
| where UrlChain has "redirect"
| project Timestamp, AccountUpn, Url, UrlChain, IPAddress
| order by Timestamp descIl gateway non segue le redirect chain, controlla solo il primo URL
Questa è la configurazione di default di molti prodotti base. Devi abilitare esplicitamente il "deep URL scanning" o "follow redirects". Se il tuo prodotto attuale non lo supporta, è un gap serio — valuta un gateway dedicato. MailSniper per esempio include URL analysis real-time con follow della catena completa.
Le transport rules per domini giovani generano troppi falsi positivi
Normale. Inizia con "quarantena" invece di "blocco" e affina la lista dei domini nel tempo. Puoi anche creare una whitelist dei tuoi partner principali che bypassa la regola.
Gli utenti iOS aprono i link fuori dall'app managed
Controlla che la App Protection Policy sia assegnata correttamente al gruppo giusto e che i device siano enrolled nell'MDM. Un device non enrolled non riceve le policy, anche se l'utente usa l'app Outlook.
Non ho Defender Piano 2, le Advanced Hunting queries non funzionano
Piani più bassi hanno query limitate. In alternativa, esporta i log via Graph API o usa PowerShell con Get-MessageTrace e Get-MailDetailATPReport per i dati base. Non è bello quanto KQL ma funziona.
Gli alert per le inbox rules scattano troppo spesso (rumore)
Riduci i falsi positivi escludendo le regole create tramite Outlook desktop standard (che hanno un pattern di user agent riconoscibile) e concentrati su quelle create via OWA o da IP non abituali.
TA446 non è una minaccia nuova, ma DarkSword alza il livello tecnico. Il punto debole che stanno sfruttando è la fiducia degli utenti nei dispositivi mobili: "uso il telefono, sono al sicuro". Non è così.
La buona notizia: tutta questa catena passa dalla posta. Se blocchi lì, blocchi tutto. Serve un gateway che segua le redirect chain, transport rules intelligenti, e MDM configurato per i device iOS aziendali.
Prossimi passi concreti:
Per approfondire come funziona la protezione email lato come-funziona tecnico, o se vuoi confrontare la tua configurazione attuale con un'alternativa, trovi tutto sul sito.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoUna nuova campagna di attacco sfrutta OAuth per rubare token di accesso a Microsoft 365, bypassando completamente l'autenticazione a più fattori. Ecco l'analisi tecnica completa con indicatori MITRE ATT&CK e mitigazioni prioritarie.
LeggiPer anni 'ho un iPhone' è sembrata una risposta sufficiente a qualsiasi preoccupazione sulla sicurezza. Poi è arrivato DarkSword — e quella certezza ha cominciato a scricchiolare.
LeggiMicrosoft ha confermato: le sue regole euristiche anti-phishing hanno bloccato email e messaggi Teams legittimi per giorni. Un caso pratico su come gestire i falsi positivi in Exchange Online e non farsi trovare impreparati.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.