Intercettazione MFA: Multi-Factor Authentication Interception (T1111)

L'intercettazione MFA in un esercizio red team si articola lungo tre vettori principali: il keylogging per smart card e token hardware, il proxying delle sessioni autenticate e l'intercettazione dei codici OTP out-of-band. Vediamoli in modo pratico.

Keylogging del PIN smart card. Quando un utente inserisce la smart card e digita il PIN, quel PIN transita dalla tastiera al sistema operativo. Su Windows, il tool Evilginx2 (open source) è pensato per scenari di phishing con cattura di sessione MFA, ma per il keylogging puro è più diretto lavorare con un payload Meterpreter. In una sessione Meterpreter già ottenuta:

keyscan_start keyscan_dump

Questi comandi avviano e scaricano il buffer del keylogger integrato in Meterpreter (Metasploit Framework, open source). In ambiente lab, l'operatore attende che l'utente simulato inserisca la smart card e digiti il PIN. Il dump restituirà la sequenza di tasti, incluso il codice numerico.

Proxy di autenticazione smart card. Una volta ottenuto il PIN e con la smart card fisicamente inserita nel sistema compromesso, l'attaccante può instradare l'autenticazione verso risorse di rete remote. Con Impacket (open source), lo script smbclient.py consente di autenticarsi verso share SMB utilizzando le credenziali della sessione corrente, ma il vero valore operativo sta nel creare un tunnel SOCKS attraverso il sistema vittima per fare proxy dell'intera sessione autenticata. In Meterpreter:

run autoroute -s use auxiliary/server/socks_proxy

Questo replica esattamente ciò che il malware Sykipot fa in produzione: sfruttare il token hardware inserito per raggiungere risorse di rete altrimenti inaccessibili.

Intercettazione token OTP e sessioni MFA. Per simulare l'intercettazione di codici one-time, Evilginx2 (open source) è lo strumento di riferimento. Funziona come reverse proxy tra la vittima e il sito legittimo, catturando sia le credenziali sia i cookie di sessione post-MFA. La configurazione base richiede un dominio di phishing e un phishlet adeguato al target:

evilginx2 -p

All'interno della console, si configura il dominio e il phishlet desiderato. Quando la vittima completa il login MFA sul sito clonato, Evilginx2 cattura il session token — esattamente il vettore utilizzato da LAPSUS$ e APT42 nelle loro operazioni documentate.

Per simulare l'MFA fatigue (bombardamento di prompt di approvazione), in un lab con Azure AD/Entra ID si può usare uno script Python che chiama ripetutamente l'endpoint di autenticazione con credenziali valide, generando notifiche push successive sul dispositivo della vittima. Questo replica la tattica di LAPSUS$.

La detection dell'intercettazione MFA richiede un approccio stratificato: non esiste un singolo evento che gridi "stanno rubando il token". È la correlazione di comportamenti anomali a fare la differenza.

Windows: la catena keylogger + smart card. L'analytic AN0687 definisce una behavior chain precisa. I log da abilitare sono Sysmon e il Security Event Log. Il primo indicatore è il caricamento di driver sospetti: Sysmon EventCode 6 (Driver Loaded) segnala ogni driver caricato nel kernel, e un keylogger hardware o software spesso richiede un driver non firmato o firmato con certificato anomalo. Il secondo anello è la cattura dell'input: EventCode 8 (CreateRemoteThread) o EventCode 10 (ProcessAccess) con AccessMask 0x10 (lettura della memoria) verso processi come lsass.exe o winlogon.exe.

La correlazione critica è temporale: se nello stesso intervallo di 60-120 secondi si osserva un accesso a memoria + una modifica al registro (Sysmon EventCode 13 su chiavi legate a smart card) + un logon remoto con smart card (EventCode 4768 con tipo di pre-autenticazione smart card), l'alert ha alta affidabilità.

Per il tuning dei falsi positivi, escludere i tool di accessibilità legittimi come Magnifier.exe e Narrator.exe che utilizzano API di input monitoring simili. Il campo ProcessNameExclusions va popolato con una whitelist validata periodicamente.

Linux: accesso a /dev/input e moduli kernel. L'analytic AN0688 si concentra su due artefatti. Il primo è l'accesso ai device di input: qualsiasi processo non interattivo che legga da /dev/input/eventX è sospetto. Sui sistemi con auditd configurato:

auditctl -w /dev/input/ -p r -k mfa_keylog

Questo crea una regola audit che logga ogni lettura sui device di input. Il secondo indicatore è il caricamento di moduli kernel non autorizzati tramite insmod o modprobe: mantenere una whitelist di moduli consentiti e generare alert su ogni deviazione.

macOS: TCC e API di accessibilità. L'analytic AN0689 punta su processi che richiedono accesso alle API CGEventTap o al framework IOHIDManager senza interazione utente. I log Unified Log di macOS registrano le richieste TCC (Transparency, Consent and Control). Un alert efficace monitora tentativi di alterazione del database TCC in /Library/Application Support/com.apple.TCC/TCC.db e l'uso di binari non firmati che richiedono privilegi di input monitoring.

Controllo preventivo trasversale. Implementare notifiche push con number matching anziché simple-approval: questo neutralizza completamente l'MFA fatigue che LAPSUS$ ha sfruttato con successo.

L'analisi forense di un'intercettazione MFA parte da un presupposto: il secondo fattore è stato catturato o aggirato, quindi cercherai tracce sia dello strumento di cattura sia dell'uso anomalo delle credenziali ottenute.

Artefatti Windows — il keylogger e la smart card. La prima tappa è il registro eventi Sysmon. Cerca EventCode 1 (Process Create) per processi con nomi generici lanciati da percorsi inusuali (%TEMP%, %APPDATA%) che persistono oltre il riavvio. Un keylogger deve registrarsi per ricevere eventi tastiera: nel registro di sistema, esamina la chiave HKLM\SYSTEM\CurrentControlSet\Services per driver installati di recente e incrocia il timestamp con HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify per DLL di notifica del logon.

Per la componente smart card, gli artefatti chiave sono i log del servizio SCardSvr (Smart Card Resource Manager). Il file di log in %SystemRoot%\debug può contenere tracce di accessi anomali al lettore. Più affidabili sono gli EventCode 4768 e 4769 del Security Log: una richiesta TGT con pre-autenticazione smart card da una sessione RDP o da un processo non standard indica proxy dell'autenticazione — esattamente il pattern di Sykipot.

Costruisci la timeline incrociando tre assi temporali: installazione del keylogger (Sysmon EventCode 1 e EventCode 6 per il driver), cattura del PIN (finestra di attività del keylogger), e primo utilizzo delle credenziali smart card da sessione anomala (EventCode 4624 di tipo 10 con certificato smart card).

Artefatti Linux — device input e moduli. Il file /var/log/audit/audit.log è la fonte primaria. Cerca record di tipo SYSCALL con syscall init_module o finit_module: indicano il caricamento di moduli kernel, potenzialmente un keylogger a livello kernel. Per i keylogger userspace, cerca accessi a /dev/input/event* con openat syscall da processi non terminali.

La persistenza di un keylogger Linux spesso transita da crontab, systemd unit o file in /etc/profile.d/. Verifica i timestamp di modifica di questi file con stat e incrocia con i log di autenticazione in /var/log/auth.log per identificare il primo accesso con credenziali intercettate.

Artefatti di campagne reali. Nell'Operation Wocao (C0014), gli attori hanno usato un metodo di raccolta custom per intercettare soft token 2FA — l'artefatto da cercare è un eseguibile o script non riconosciuto che interagisce con il software token installato (ad esempio processi che leggono la memoria dell'applicazione RSA SecurID). Nella campagna Leviathan Australian Intrusions (C0049), l'accesso compromesso agli appliance è stato il vettore: qui gli artefatti risiedono nei log dell'appliance VPN/gateway, dove sessioni amministrative anomale precedono la raccolta dei valori token MFA.

L'intercettazione MFA è trasversale a motivazioni e geografie diverse. I quattro gruppi documentati coprono cyberspionaggio statale e criminalità organizzata, con tecniche che vanno dal keylogging sofisticato alla semplice ingegneria sociale sui prompt di approvazione.

Kimsuky (G0094) è il gruppo nordcoreano che ha sviluppato un tool proprietario per intercettare one-time password richieste dalla 2FA. Il dettaglio "proprietario" è significativo: indica investimento dedicato nello sviluppo di capability MFA-specific, non semplice riuso di strumenti pubblici. Kimsuky opera prevalentemente contro think tank, organizzazioni diplomatiche e settore accademico legato alla geopolitica coreana. L'intercettazione MFA si inserisce nella loro catena di compromissione delle e-mail, dove l'accesso alla casella di posta è il vero obiettivo.

Chimera (G0114) ha adottato un approccio diverso e più insidioso: registrare numeri di telefono alternativi sugli account compromessi per ricevere direttamente i codici SMS 2FA. Questa tecnica non richiede malware sull'endpoint ma accesso amministrativo al sistema di gestione utenti, e lascia tracce nei log di modifica profilo piuttosto che nei log endpoint. Il target di Chimera nel settore aeronautico e dei semiconduttori suggerisce che questa tecnica venga usata per mantenere persistenza su ambienti cloud enterprise.

APT42 (G1044) rappresenta l'approccio più completo: intercettazione SMS OTP, configurazione di 2FA sotto il proprio controllo su account compromessi, e — elemento distintivo — uso di siti web clonati o fake per catturare token MFA in tempo reale. Questa triplice capacità posiziona APT42 come il gruppo con il toolkit MFA-interception più maturo. La loro operatività è focalizzata su attivisti, giornalisti e dissidenti, con un pattern geografico che riflette gli interessi strategici iraniani.

LAPSUS$ (G1004) ha dimostrato che non serve sofisticazione tecnica per superare l'MFA: il replay di session token rubati combinato con il bombardamento di prompt simple-approval (MFA fatigue) ha funzionato contro organizzazioni con difese mature. La lezione per il threat intelligence è chiara — la robustezza dell'MFA dipende dal metodo di approvazione, non solo dalla sua presenza.

Sul piano dei tool, SLOWPULSE (S1104) merita attenzione particolare: un malware che si innesta nel processo di autenticazione ACE-2FA delle VPN Pulse Secure, loggando credenziali durante la verifica. Questo indica capacità di compromissione della supply chain di autenticazione stessa. Sykipot (S0018) resta il riferimento storico per il proxy di smart card, con la capacità di sfruttare token hardware inseriti per navigare lateralmente nella rete.

Le campagne Operation Wocao (C0014) e Leviathan Australian Intrusions (C0049) confermano il trend: l'intercettazione MFA è un enabler per operazioni di cyberspionaggio a lungo termine, dove l'accesso persistente vale più del singolo dato esfiltrato.

Framework MITRE ATT&CK v16 — T1111 Multi-Factor Authentication Interception, TA0006. Campagne: C0014 (Operation Wocao), C0049 (Leviathan Australian Intrusions). Detection: DET0246, analytics AN0687/AN0688/AN0689. Integrato con conoscenza professionale per tool e procedure operative (Metasploit Framework, Evilginx2, Impacket, auditd).