Raccolta Automatizzata: Automated Collection (T1119)

La simulazione di Automated Collection in laboratorio richiede di costruire script che imitino il comportamento documentato dei gruppi APT: scansione ricorsiva del file system, filtro per estensione, archiviazione e staging per l'esfiltrazione. L'obiettivo non è copiare un singolo file, ma dimostrare che un attaccante con accesso locale può automatizzare la raccolta di centinaia di documenti senza generare alert visibili.

Su Windows, il punto di partenza è PowerShell. Uno script che replica il pattern di Winter Vivern — scansione ricorsiva per estensioni documentali — può essere costruito così:

Get-ChildItem -Path C:\Users\ -Recurse -Include .docx,.pdf,.xlsx,*.pptx -ErrorAction SilentlyContinue | Copy-Item -Destination C:\Temp\staging*

Per simulare il comportamento di Gamaredon Group, che usa script più semplici e si concentra su directory specifiche, è sufficiente un batch:

for /R "%USERPROFILE%\Documents" %f in (.doc *.xls .pdf) do copy "%f" "C:\Temp\collect" /Y

L'archiviazione automatica, tipica di malware come Zebrocy e Micropsia, si replica con 7-Zip (open source):

7z a -tzip C:\Temp\exfil.zip C:\Temp\staging* -p"RedTeam2024"

In ambienti cloud, il tool ROADTools (open source) permette di enumerare e scaricare dati da Azure AD tramite Graph API, replicando il pattern di HAFNIUM con MSGraph. L'installazione avviene via pip e il flusso prevede prima l'autenticazione, poi il dump:

roadrecon auth -u -p roadrecon gather

Per AWS, Pacu (open source) è il framework di riferimento. Il modulo iam__enum_permissions seguito da s3__download_bucket automatizza la raccolta da bucket S3, simulando ciò che attori come quelli di APT41 DUST effettuano con tool dedicati.

Su Linux, un one-liner con find e tar replica la raccolta automatizzata:

find /home -type f ( -name ".pdf" -o -name ".docx" -o -name ".csv" ) -newer /tmp/.timestamp -exec tar -rf /tmp/collect.tar {} ;*

Per il framework C2, Empire (open source) offre il modulo collection/file_finder che scansiona il file system dell'agente alla ricerca di pattern configurabili, mentre Mythic (open source) supporta lo scripting di download massivi dagli agent, consentendo di automatizzare l'intera catena raccolta-esfiltrazione. PoshC2 (open source) include un modulo specifico per il parsing ricorsivo di file e directory.

Il consiglio è testare in sequenza: prima la raccolta manuale per identificare i dati sensibili, poi automatizzare con script progressivamente più sofisticati, misurando a ogni iterazione quali alert scattano nel SIEM del blue team.

La detection di Automated Collection si gioca sulla capacità di distinguere l'accesso massivo e ripetitivo ai file — tipico dell'automazione malevola — dall'attività legittima di utenti, backup e indicizzazione. Il segreto sta nel correlare volume, velocità e contesto dei processi coinvolti.

Su Windows, la sorgente primaria è Sysmon (open source, richiede installazione e configurazione). L'analisi AN0531 indica di monitorare l'uso ripetuto di scripting engine (PowerShell, cmd, wscript) associato ad accesso massivo a file con estensioni sensibili. La configurazione Sysmon deve catturare Event ID 1 (Process Create) con la command line completa e Event ID 11 (FileCreate) per tracciare la copia di file nella directory di staging. Un alert efficace correla questi due segnali: un processo figlio di cmd.exe o powershell.exe che genera più di N file creati (soglia configurabile tramite il parametro ProcessCountThreshold) in una finestra temporale ristretta (TimeWindow).

La lista di estensioni da monitorare (SuspiciousFileExtensions) dovrebbe includere almeno: .doc, .docx, .xls, .xlsx, .pdf, .pptx, .csv, .mdb, .accdb. Questi sono esattamente i formati che malware come Micropsia, Zebrocy e Confucius' file stealer cercano in modo automatico.

Su Linux, l'analisi AN0532 punta su auditd con regole sulle syscall open e openat per path sensibili. Una regola efficace:

-w /home/ -p r -k autocollect

Questo genera log quando qualsiasi processo legge file nelle home directory. Il tuning avviene escludendo i processi noti (backup agent, antivirus, indicizzatori) tramite il campo exe nei log auditd. Il parametro ScriptInterpreterList — bash, python, perl — aiuta a filtrare solo le letture originate da interpreti di scripting.

Su macOS, i log unificati (AN0533) permettono di tracciare l'uso di pbpaste, osascript e Automator. Un accesso ripetuto alla clipboard (parametro ClipboardCheckRate) è indicatore di raccolta automatizzata, come quella eseguita da malware tipo Metamorfo.

Per gli ambienti SaaS e cloud, l'analisi AN0534 è fondamentale: i log di sign-in di Azure AD rivelano quando un'autenticazione avviene con User-Agent non standard (Python, PowerShell) da IP non gestiti. Questo è il pattern di HAFNIUM con MSGraph. Il filtro UserAgentFilter e ExpectedClientIPList riduce i falsi positivi escludendo le automazioni IT legittime.

Come controlli preventivi, le due mitigazioni documentate — Remote Data Storage (M1029) e Encrypt Sensitive Information (M1041) — agiscono riducendo la superficie esposta: la cifratura rende i file raccolti inutilizzabili senza le chiavi, mentre lo storage remoto con backup immutabili protegge i log forensi dalla manomissione.

L'analisi forense di un'Automated Collection richiede di ricostruire tre momenti: quando è stato deployato il meccanismo di raccolta, quali file sono stati toccati e dove sono stati accumulati prima dell'esfiltrazione. Gli artefatti variano significativamente tra Windows, Linux e ambienti cloud.

Su Windows, il punto di partenza sono i Prefetch e AmCache. Ogni esecuzione di script interpreter (powershell.exe, cmd.exe, wscript.exe, cscript.exe) genera una entry Prefetch che include il timestamp dell'ultima e delle ultime otto esecuzioni, oltre ai file referenziati. Se un batch script ha iterato su migliaia di documenti, il file .pf corrispondente conterrà riferimenti ai path acceduti. Il registro ShimCache (AppCompatCache) fornisce un'ulteriore conferma dell'esecuzione di binari come rar.exe o 7z.exe, spesso usati per la compressione automatica — un pattern documentato per Micropsia e StrongPity.

I journal NTFS ($UsnJrnl) e il $MFT sono essenziali per identificare la creazione massiva di file nella directory di staging. Un pattern tipico mostra decine di entry FILE_CREATE in rapida successione nella stessa cartella (spesso sotto %TEMP% o %APPDATA%), seguite da un singolo archivio compresso. Il campo $SI_LastModified nel $MFT rivela se i timestamp sono stati manipolati.

Per le campagne documentate, gli artefatti hanno firme specifiche. In Operation Wocao (C0014), gli attori usavano script di discovery che salvavano output in file di testo — cercate file .dat o .txt anomali in %TEMP%. In Frankenstein (C0001), Empire generava report con username, dominio e nome macchina, tipicamente serializzati in formato riconoscibile. Nella campagna SharePoint ToolShell Exploitation (C0058), gli attori iteravano su file web.config per estrarre machineKey — il filesystem dei server SharePoint on-premise mostrerà pattern di accesso ripetuto a questi file di configurazione.

Su Linux, i log auditd con syscall open, read e openat tracciano ogni accesso ai file. Il campo auid (audit UID) permette di risalire all'utente originale anche dopo privilege escalation. Per malware come PACEMAKER, che legge /proc/ ogni 2 secondi, i log auditd mostrano un pattern periodico inconfondibile sulla syscall openat con target /proc/<PID>/mem.

Gli artefatti del filesystem completano il quadro: la directory di staging contiene spesso archivi con naming convention automatico. VERMIN, ad esempio, usa il formato {dd-MM-yyyy}.txt, mentre LoFiSe crea archivi protetti da password ogni tre ore — il pattern temporale è visibile nei metadati del filesystem.

Per ambienti cloud, i CloudTrail di AWS registrano ogni chiamata API: cercate GetObject massivi su S3 o ListUsers/ListRoles in sequenza rapida. I log di Azure AD mostrano token OAuth emessi per scope Mail.Read o Files.Read.All verso applicazioni non registrate.

La raccolta automatizzata è una tecnica trasversale, adottata tanto da gruppi di spionaggio statale quanto da attori a motivazione finanziaria. L'analisi dei 20 gruppi documentati rivela pattern geografici e operativi che permettono di anticipare le mosse successive.

APT28 (G0007), attribuito alla Russia, ha utilizzato tool pubblicamente disponibili per raccogliere e comprimere documenti sulle reti del DCCC e del DNC. Il pattern è quello dello spionaggio politico: raccolta massiva di documenti Office seguita da esfiltrazione rapida. Quando APT28 appare nella vostra rete, aspettatevi raccolta focalizzata su comunicazioni interne, documenti strategici e materiale decisionale. Il gruppo opera spesso in parallelo con Gamaredon Group (G0047), anch'esso russo, che deploya script di scansione automatica per documenti "interessanti" — un approccio meno sofisticato ma persistente, tipico delle operazioni contro l'Ucraina.

Mustang Panda (G0129) e Threat Group-3390 (G0027) rappresentano il fronte cinese. Mustang Panda usa batch script custom per la raccolta automatizzata, mentre TG-3390 compila archivi di file per tipologia dalle directory utente. Quest'ultimo gruppo è stato recentemente coinvolto nella campagna SharePoint ToolShell Exploitation (C0058) del luglio 2025, dove la raccolta si è concentrata su file di configurazione SharePoint per estrarre machineKey — un shift tattico che indica interesse per credenziali infrastrutturali oltre ai documenti tradizionali. La campagna APT41 DUST (C0040), condotta tra il 2023 e il 2024 contro settori logistica, shipping e media in Europa, Asia e Medio Oriente, ha visto l'uso di SQLULDR2 e PINEGROVE per raccolta da database locali, confermando il trend cinese verso la raccolta strutturata da database oltre che da filesystem.

Sul fronte motivazione finanziaria, FIN5 (G0053) e FIN6 (G0037) mostrano approcci complementari. FIN5 scansiona i processi su tutti i sistemi vittima e usa script automatizzati per recuperare i risultati — un'operazione di ricognizione massiva che precede la raccolta mirata. FIN6 ha sviluppato script per iterare su sistemi PoS compromessi, copiando dati di pagamento in file di log — un pattern altamente specializzato per il furto di dati di carte di credito.

Agrius (G1030) merita attenzione per il suo tool custom sql.net4.exe, che interroga database SQL per estrarre PII. Questo indica un livello di targeting specifico: il gruppo non cerca documenti generici, ma dati personali identificabili, suggerendo obiettivi di intelligence o preparazione per operazioni successive.

Guardando ai tool, il software overlap è significativo: malware come Zebrocy (legato ad APT28), AppleSeed e Ramsay condividono il pattern di scansione per estensione con archiviazione automatica. L'emergere di stealer come Raccoon Stealer, Lumma Stealer e DarkGate — focalizzati su credenziali crypto e wallet — segnala una convergenza tra raccolta automatizzata e furto finanziario diretto, un trend in crescita che impatta anche organizzazioni non tradizionalmente nel mirino dello spionaggio.

La campagna ArcaneDoor (C0046) introduce un ulteriore vettore: la raccolta automatizzata da dispositivi di rete (Cisco e altri vendor), con cattura di pacchetti e configurazioni di sistema. Questo amplia la superficie di raccolta ben oltre endpoint e server, verso l'infrastruttura di rete stessa.

Framework MITRE ATT&CK v16 — Tecnica T1119 (Automated Collection), Tattica TA0009 (Collection). Campagne: C0014 (Operation Wocao), C0058 (SharePoint ToolShell Exploitation), C0040 (APT41 DUST), C0046 (ArcaneDoor), C0001 (Frankenstein). Mitigazioni M1029, M1041. Detection DET0186 (AN0531–AN0534). Integrato con conoscenza professionale per tool e procedure operative.