Spearphishing con Allegati: Phishing for Information via Attachment (T1598.002)

La simulazione di un attacco spearphishing richiede la creazione di un'infrastruttura credibile. Inizia configurando un dominio simile a quello del target utilizzando servizi come Namecheap o GoDaddy, prestando attenzione alle tecniche di typosquatting.

Per generare l'email di phishing, utilizza PowerShell per creare un template HTML con form embedded:

$html = @"

$html | Out-File -FilePath "invoice.html"

Il gruppo Star Blizzard utilizza una strategia multi-fase: prima stabilisce un rapporto via email legittime, poi invia l'allegato malevolo. Replica questa tattica creando una sequenza di comunicazioni credibili prima dell'attacco vero e proprio.

Per bypassare i filtri antispam, configura correttamente SPF e DKIM sul dominio malevolo. Usa mxtoolbox.com per verificare la configurazione DNS. Sidewinder ha dimostrato che domini con buona reputation passano più facilmente i controlli.

Crea un documento Office con macro che reindirizza verso un sito di harvesting:

Sub Document_Open() ActiveDocument.FollowHyperlink "https://phishing-site.com/login" End Sub

Il testing in laboratorio richiede una sandbox isolata con macchine virtuali Windows 10/11. Configura Burp Suite per intercettare le credenziali inviate dal form di phishing. Dragonfly ha utilizzato tecniche simili per raccogliere credenziali da vittime nel settore energetico.

Monitora l'efficacia dell'attacco tracciando aperture email, click sui link e submission di credenziali. Tool come GoPhish permettono di automatizzare queste campagne mantenendo statistiche dettagliate per il report finale.

Il rilevamento efficace richiede un approccio multi-livello che combini analisi del traffico email e monitoraggio comportamentale. Configura regole SIEM per identificare pattern anomali nelle comunicazioni email, particolarmente messaggi con allegati inviati a multipli destinatari da mittenti nuovi.

Implementa detection basate su DKIM/SPF falliti utilizzando questa query Splunk:

index=email dkim_result="fail" OR spf_result="fail" attachment_count>0 | stats count by sender_domain

L'analisi comportamentale deve focalizzarsi su utenti che improvvisamente accedono a portali esterni dopo aver aperto allegati. SideCopy ha dimostrato che le vittime tipicamente visitano siti di harvesting entro 5 minuti dall'apertura dell'allegato.

Configura alert per rilevare:

• Apertura di file Office seguita da connessioni HTTP/HTTPS verso domini non categorizzati
• Invio di credenziali via POST a domini registrati da meno di 30 giorni
• Download di allegati HTML contenenti form o JavaScript offuscato

Per ridurre i falsi positivi, implementa whitelist basate sul comportamento storico degli utenti. Un dipendente che regolarmente compila form online genererà molti alert non necessari. Crea baseline personalizzate per ruoli ad alto rischio come C-level e amministratori IT.

Il monitoraggio del traffico di rete (DET0865) richiede l'analisi di flussi anomali post-apertura allegati. Configura NetFlow per catturare comunicazioni verso IP non precedentemente contattati dall'organizzazione.

L'analisi forense di un attacco spearphishing inizia dall'identificazione dell'email originale nei log del mail server. Exchange memorizza i metadata in MessageTrackingLog con dettagli su mittente, destinatari e allegati.

Recupera l'email originale dal sistema della vittima esaminando il file PST/OST. Gli allegati aperti lasciano tracce in:

• %APPDATA%\Microsoft\Office\Recent per documenti Office
• Browser cache per allegati HTML
• Prefetch files che mostrano l'esecuzione di applicazioni associate

Star Blizzard tipicamente invia allegati che creano connessioni persistenti verso siti di harvesting. Cerca nel registro di Windows chiavi create sotto HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings per proxy configurations anomale.

La timeline reconstruction deve correlare:

1. Timestamp ricezione email (mail server logs)
2. Apertura allegato (file access times)
3. Connessione al sito malevolo (proxy/firewall logs)
4. Invio credenziali (PCAP analysis)

Utilizza Timeline Explorer per visualizzare la sequenza temporale degli eventi. I gruppi APT mantengono tipicamente una finestra operativa di 15-30 minuti tra l'invio dell'email e la raccolta delle credenziali.

L'analisi della memoria volatile può rivelare processi spawned dall'apertura dell'allegato. Volatility3 con il plugin pstree mostra le relazioni parent-child tra processi, evidenziando esecuzioni anomale originate da applicazioni Office.

Dragonfly (G0035) rappresenta il caso studio primario per spearphishing mirato al settore energetico. Il gruppo utilizza allegati Office contenenti macro che stabiliscono backdoor persistenti per future operazioni di lateral movement. La loro firma distintiva include l'uso di template aziendali autentici modificati con contenuti malevoli.

Sidewinder (G0121) opera principalmente contro target governativi e militari in Asia meridionale. La caratteristica peculiare consiste nell'utilizzo di siti di harvesting che imitano perfettamente portali istituzionali. Monitorare registrazioni di domini simili a quelli governativi può fornire early warning di campagne imminenti.

SideCopy (G1008) dimostra un approccio volume-based con campagne spam generiche per raccogliere credenziali in massa. L'analisi delle loro infrastrutture rivela l'uso ricorrente di hosting provider in Europa dell'Est e domini registrati con dati falsi tramite servizi di privacy protection.

Star Blizzard (G1033) adotta una strategia patient-zero, investendo settimane nel costruire relazioni via email prima dell'invio dell'allegato malevolo. Il targeting si concentra su think tank, università e organizzazioni di policy making. La previsione delle prossime mosse richiede il monitoraggio di conferenze e eventi dove questi target si riuniscono.

L'overlap infrastrutturale tra questi gruppi è minimo, suggerendo operazioni indipendenti. Tuttavia, tutti condividono l'uso di servizi cloud legittimi (Office 365, Google Workspace) per ospitare form di phishing, rendendo il blocking basato su IP inefficace. La strategia di difesa deve quindi focalizzarsi su behavioral detection piuttosto che su IoC statici.

Framework MITRE ATT&CK fornisce la tassonomia completa per la tecnica T1598.002. Le campagne documentate dei gruppi Dragonfly, Sidewinder, SideCopy e Star Blizzard offrono insight operativi per costruire difese efficaci. Risorse aggiuntive per detection includono Splunk Security Essentials e Sigma rules repository.