Manipolazione dei Dati in Transito: Transmitted Data Manipulation (T1565.002)

La simulazione di questa tecnica in laboratorio si articola su tre scenari realistici, ciascuno ispirato al comportamento dei malware documentati.

Scenario 1 — Clipboard hijacking per cryptocurrency. Questo è il caso più semplice da replicare e riflette il comportamento di Melcoz e Metamorfo, che monitorano la clipboard alla ricerca di indirizzi Bitcoin per sostituirli con wallet controllati dall'attaccante. In un ambiente lab Windows, puoi scrivere un semplice script PowerShell che interroga la clipboard a intervalli regolari e, se rileva un pattern compatibile con un indirizzo BTC (stringa alfanumerica che inizia per 1, 3 o bc1), lo sostituisce:

while($true) { $cb = Get-Clipboard; if($cb -match '^(1|3|bc1)[a-zA-Z0-9]{25,39}$') { Set-Clipboard -Value "1attackerWalletSimulated" }; Start-Sleep -Seconds 2 }

Su Linux l'equivalente si ottiene con xclip (open source, incluso nella maggior parte delle distribuzioni):

while true; do CB=$(xclip -selection clipboard -o 2>/dev/null); if echo "$CB" | grep -qE '^(1|3|bc1)[a-zA-Z0-9]{25,39}$'; then echo "1attackerWalletSimulated" | xclip -selection clipboard; fi; sleep 2; done

Scenario 2 — Manipolazione di dati in transito sulla rete. Per simulare l'intercettazione e modifica di traffico HTTP in chiaro, mitmproxy (open source) è lo strumento di riferimento. Dopo averlo installato, puoi lanciare un proxy trasparente e caricare un addon Python che altera il corpo delle risposte HTTP in transito. Il framework supporta scripting completo: ogni request e response passa attraverso il tuo codice prima di raggiungere il client.

Per ambienti più complessi, Bettercap (open source) permette di combinare ARP spoofing e proxy HTTP nella stessa sessione, simulando un man-in-the-middle completo su rete LAN. Il modulo http.proxy accetta script JavaScript capaci di riscrivere il contenuto delle risposte in tempo reale.

Scenario 3 — Manipolazione email in transito. Il comportamento di LightNeuron, che modifica header, corpo e allegati delle email durante il transito sul mail server, è il più complesso da replicare. In laboratorio puoi configurare un server Postfix con un filtro Milter personalizzato in Python, usando la libreria pymilter (open source), che intercetta ogni email e ne altera il contenuto prima della consegna. Questo simula fedelmente un impianto installato a livello di mail transport agent.

Per la validazione, verifica sempre che la modifica sia trasparente al destinatario confrontando hash SHA-256 del dato originale e di quello ricevuto.

Il rilevamento della manipolazione dati in transito è insidioso perché l'alterazione avviene nel flusso stesso — non lascia tracce evidenti su disco. La strategia vincente combina integrità end-to-end e monitoraggio comportamentale dei processi che toccano i dati.

Log source e baseline di integrità. Su Windows, Sysmon è il pilastro: gli eventi EventCode 1 (Process Create) catturano la nascita di processi che interagiscono con la clipboard o con API di rete, mentre EventCode 3 (Network Connection) traccia connessioni anomale da processi che normalmente non generano traffico. Costruisci una baseline di hash per i dati critici trasmessi e confronta periodicamente i valori all'origine e alla destinazione. Ogni mismatch è un indicatore forte.

Su Linux, auditd fornisce visibilità granulare sulle syscall send, recv e write. Configura regole di audit mirate ai processi autorizzati a gestire dati in transito — sshd, nginx, postfix — e genera alert quando processi non in whitelist invocano le stesse syscall su socket di rete. Il tuning è essenziale: definisci un elenco [WatchedProcesses] e una frequenza [HashCheckInterval] per le verifiche di integrità out-of-band.

Su macOS, lo Unified Log offre visibilità sulle API CFNetwork e SecureTransport. Cerca anomalie nei flussi TLS: tentativi di downgrade da TLS 1.3 a versioni precedenti, certificati inattesi, o connessioni che bypassano il framework SecureTransport nativo. Osquery (open source) consente query schedulate sullo stato delle connessioni di rete e dei processi associati.

Detection comportamentale per clipboard hijacking. Il pattern di Melcoz e Metamorfo è riconoscibile: un processo non interattivo che accede ripetutamente alla clipboard con alta frequenza. Su Windows, Sysmon EventCode 1 combinato con EventCode 10 (Process Access) può rivelare un processo che apre handle verso il subsystem della clipboard. Costruisci una regola SIGMA che cerchi processi con accesso clipboard superiore a una soglia definita per minuto. I falsi positivi principali provengono da password manager e tool di produttività — escludili per percorso e firma digitale.

Gestione dei falsi positivi. L'integrity check sui dati trasmessi genera rumore quando sistemi legittimi applicano compressione, encoding o normalizzazione che altera gli hash. Documenta ogni trasformazione lecita nel tuning parameter [IntegrityBaseline] e applica il confronto solo dopo la decodifica. Per il traffico email, le modifiche agli header da parte di relay intermedi sono fisiologiche: concentra il monitoraggio su body e allegati, dove la manipolazione ha impatto reale.

Ricostruire una manipolazione dati in transito richiede un approccio comparativo: il dato all'origine deve essere confrontato con il dato alla destinazione, e le divergenze diventano i pivot della timeline.

Artefatti Windows. Per il clipboard hijacking, la memoria del processo sospetto è la fonte primaria. Un dump della RAM con Volatility 3 (open source) consente di cercare stringhe compatibili con indirizzi cryptocurrency nel contesto di processi residenti. Se il malware è persistente, cerca chiavi di avvio in HKCU\Software\Microsoft\Windows\CurrentVersion\Run e analizza il binario con FLOSS (open source) per estrarre stringhe offuscate, inclusi gli indirizzi wallet dell'attaccante.

I log Sysmon, se erano attivi durante l'intrusione, forniscono la sequenza cronologica: EventCode 1 per l'avvio del processo malevolo, EventCode 3 per eventuali connessioni C2, EventCode 11 (File Create) per artefatti scritti su disco. Correla il timestamp di primo avvio con i record delle transazioni finanziarie alterate per stabilire la finestra di compromissione.

Artefatti Linux. I log auditd con le syscall send e write permettono di ricostruire quali processi hanno toccato i dati durante il transito. Cerca discrepanze tra i log del servizio originante (es. un application server) e quelli del servizio ricevente (es. un database o un relay SMTP). Se il malware operava come filtro Milter o modulo del mail server — come nel caso di LightNeuron — analizza i file di configurazione di Postfix o Exchange per individuare moduli di trasporto non standard. La directory dei filtri e i riferimenti a librerie condivise anomale (.so) sono indicatori forensi chiave.

Artefatti email per LightNeuron. La manipolazione delle email in transito lascia tracce nei log del mail transport agent: esamina i log di Exchange Transport o Postfix per timestamp di elaborazione anomali, dove il gap tra ricezione e consegna è superiore alla norma — segno che un filtro intermedio ha processato il messaggio. Confronta le copie del messaggio nel journal di posta o nei backup con le versioni consegnate ai destinatari: differenze in header, body o allegati confermano la manipolazione.

Artefatti finanziari (caso APT38). Il caso di APT38 con DYEPACK che alterava messaggi SWIFT diretti alla stampante è peculiare: l'artefatto forense è la discrepanza tra il messaggio nel database SWIFT e la copia cartacea stampata. La ricostruzione richiede accesso ai log dell'applicazione SWIFT Alliance, ai job di stampa del sistema operativo e alla memoria del processo che gestiva l'interfaccia tra il software bancario e la coda di stampa.

Il panorama degli attori che impiegano T1565.002 si distribuisce su due livelli di sofisticazione nettamente distinti, con un unico gruppo APT documentato e tre malware che coprono il versante criminale finanziario.

APT38 è l'attore di riferimento per la manipolazione dati in transito nel settore bancario. Il gruppo ha impiegato il tool DYEPACK per intercettare e modificare messaggi SWIFT en route verso la stampante, alterando le conferme cartacee delle transazioni per nascondere trasferimenti fraudolenti. Questo modus operandi richiede una conoscenza profonda dell'infrastruttura SWIFT e dei flussi interni delle istituzioni finanziarie — competenze che APT38 sviluppa tipicamente attraverso campagne di ricognizione prolungate. Il settore finanziario rimane il bersaglio primario, con un focus geografico che storicamente ha privilegiato istituzioni nel Sud-Est asiatico, in America Latina e in Africa.

Sul versante crimeware, Melcoz e Metamorfo condividono lo stesso pattern operativo: clipboard hijacking per dirottare transazioni in criptovaluta. La tecnica è semplice ma efficace — monitora la clipboard, riconosce un indirizzo wallet e lo sostituisce silenziosamente. È un attacco completamente automatizzato che non richiede interazione post-compromise. Entrambi i malware hanno radici nell'ecosistema cybercriminale latinoamericano, con campagne che hanno colpito prevalentemente utenti in Brasile e Messico prima di espandersi verso l'Europa.

LightNeuron rappresenta un livello di sofisticazione intermedio: opera come backdoor a livello di mail transport agent, con la capacità di modificare contenuto, header e allegati delle email in transito. Questa posizione privilegiata nell'infrastruttura di posta lo rende estremamente difficile da rilevare e gli consente sia l'esfiltrazione che la manipolazione attiva delle comunicazioni.

Il pattern emergente mostra una convergenza: gli attori state-sponsored puntano alla manipolazione di sistemi finanziari e comunicazioni strategiche, mentre il crimeware si concentra sul dirottamento automatizzato di transazioni crypto. La mitigazione chiave — crittografia end-to-end con verifica di integrità — è efficace contro entrambi i vettori, ma la sua implementazione su sistemi legacy come le interfacce SWIFT-stampante resta una sfida operativa significativa per molte organizzazioni finanziarie.

Framework MITRE ATT&CK: tecnica T1565.002, tattica TA0040, mitigazione M1041, gruppo G0082 (APT38), software S0530 (Melcoz), S0395 (LightNeuron), S0455 (Metamorfo), strategia di detection DET0254 con analytic AN0702/AN0703/AN0704. Integrato con conoscenza professionale per tool e procedure operative.