Adversaries may compromise email accounts that can be used during targeting. Adversaries can use compromised email accounts to further their operations, such as leveraging them to conduct Phishing for Information or Phishing. Utilizing an existing persona with a compromised email account may engender a level of trust in a potential victim if they have a relationship, or knowledge of, the compromised persona. Compromised email accounts can also be used in the acquisition of infrastructure (ex: Domains).

A variety of methods exist for compromising email accounts, such as gathering credentials via Phishing for Information, purchasing credentials from third-party sites, or by brute forcing credentials (ex: password reuse from breach credential dumps).^[1] Prior to compromising email accounts, adversaries may conduct Reconnaissance to inform decisions about which accounts to compromise to further their operation.

Adversaries can use a compromised email account to hijack existing email threads with targets of interest.

Angreifer können E-Mail-Konten kompromittieren, die für gezielte Angriffe genutzt werden können. Angreifer können kompromittierte E-Mail-Konten nutzen, um ihre Operationen voranzutreiben, z. B. um Phishing für Informationen oder Phishing durchzuführen. Die Nutzung einer bestehenden Persona mit einem kompromittierten E-Mail-Konto kann bei einem potenziellen Opfer ein gewisses Mass an Vertrauen schaffen, wenn es eine Beziehung zu der kompromittierten Persona hat oder diese kennt. Kompromittierte E-Mail-Konten können auch für die Beschaffung von Infrastruktur verwendet werden (z. B. Domains).

Es gibt eine Vielzahl von Methoden, um E-Mail-Konten zu kompromittieren, z. B. das Sammeln von Zugangsdaten über Phishing for Information, den Kauf von Zugangsdaten von Drittanbieter-Websites oder das Erzwingen von Zugangsdaten (z. B. die Wiederverwendung von Passwörtern aus Dumps von Zugangsdaten).(Zitat: AnonHBGary) Vor der Kompromittierung von E-Mail-Konten können Angreifer Aufklärungsarbeit leisten, um zu entscheiden, welche Konten sie für ihre Operation kompromittieren wollen.

Angreifer können ein kompromittiertes E-Mail-Konto nutzen, um bestehende E-Mail-Threads mit interessanten Zielen zu kapern.

Les adversaires peuvent compromettre des comptes de messagerie qui peuvent être utilisés lors du ciblage. Les adversaires peuvent utiliser des comptes de messagerie compromis pour faire avancer leurs opérations, par exemple en les utilisant pour effectuer du [Phishing for Information] (/techniques/T1598) ou du [Phishing] (/techniques/T1566). L'utilisation d'un personnage existant avec un compte de messagerie compromis peut engendrer un niveau de confiance chez une victime potentielle si elle a une relation ou une connaissance avec le personnage compromis. Les comptes de messagerie compromis peuvent également être utilisés pour l'acquisition d'infrastructures (ex : Domaines).

Il existe diverses méthodes pour compromettre des comptes de messagerie, comme la collecte d'informations d'identification par le biais du Phishing for Information, l'achat d'informations d'identification sur des sites tiers ou le forçage brutal d'informations d'identification (ex : réutilisation de mots de passe à partir de vidages d'informations d'identification de brèches). (Citation : AnonHBGary) Avant de compromettre des comptes de messagerie, les adversaires peuvent effectuer une reconnaissance afin de décider quels comptes compromettre pour poursuivre leur opération.

Les adversaires peuvent utiliser un compte de messagerie compromis pour détourner des fils de messagerie existants avec des cibles d'intérêt.

Gli avversari possono compromettere account di posta elettronica che possono essere usati durante il targeting. Gli avversari possono usare account email compromessi per promuovere le loro operazioni, ad esempio sfruttandoli per condurre Phishing for Information o Phishing. Utilizzare una persona esistente con un account email compromesso può generare un livello di fiducia in una vittima potenziale se ha una relazione o una conoscenza della persona compromessa. Gli account email compromessi possono anche essere usati nell'acquisizione di infrastrutture (ex: Domains).

Esistono vari metodi per compromettere gli account di posta elettronica, come raccogliere credenziali tramite Phishing for Information, acquistare credenziali da siti terzi o forzare le credenziali (ex: riutilizzo di password da dumps di credenziali di violazione).(Citazione: AnonHBGary) Prima di compromettere gli account di posta elettronica, gli avversari possono condurre una ricognizione per informare le decisioni su quali account compromettere per portare avanti la loro operazione.

Gli avversari possono usare un account email compromesso per dirottare thread di email esistenti con obiettivi di interesse.

ID: T1586.002

Sub-technique of: T1586

ⓘ

Tactic: Resource Development

ⓘ

Platforms: PRE

Version: 1.0

Created: 01 October 2020

Last Modified: 15 April 2021

Translations: DE FR IT EN

Provided by LAYER 8

Procedure Examples

ID	Name	Description
G0136	IndigoZebra	IndigoZebra has compromised legitimate email accounts to use in their spearphishing operations.^[2]
G0094	Kimsuky	Kimsuky has compromised email accounts to send spearphishing e-mails.^[3]^[4]
G0065	Leviathan	Leviathan has compromised email accounts to conduct social engineering attacks.^[5]
G0059	Magic Hound	Magic Hound has compromised personal email accounts through the use of legitimate credentials and gathered additional victim information.^[6]

Mitigations

ID	Mitigation	Description
M1056	Pre-compromise	This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls.

Detection

Much of this activity will take place outside the visibility of the target organization, making detection of this behavior difficult. Detection efforts may be focused on related stages of the adversary lifecycle, such as during Initial Access (ex: Phishing).

Ein Grossteil dieser Aktivitäten findet ausserhalb der Sichtweite des Zielunternehmens statt, was die Erkennung dieses Verhaltens erschwert. Die Entdeckungsbemühungen können sich auf verwandte Phasen des Lebenszyklus des Angreifers konzentrieren, z.B. während des Erstzugriffs (z.B. Phishing).

Une grande partie de cette activité aura lieu en dehors de la visibilité de l'organisation cible, ce qui rendra la détection de ce comportement difficile. Les efforts de détection peuvent se concentrer sur des étapes connexes du cycle de vie de l'adversaire, comme l'accès initial (ex : Phishing).

Gran parte di questa attività si svolgerà al di fuori della visibilità dell'organizzazione bersaglio, rendendo difficile il rilevamento di questo comportamento. Gli sforzi di rilevamento possono essere concentrati su fasi correlate del ciclo di vita dell'avversario, come durante l'accesso iniziale (ex: Phishing).

Compromise Accounts: Email Accounts

Other sub-techniques of Compromise Accounts (2)

Procedure Examples

Mitigations

Detection

References