Impersonazione Digitale: Impersonation (T1656)

Simulare l'impersonazione in un esercizio red team significa replicare l'intera catena: ricognizione, preparazione dell'infrastruttura, contatto con il target. L'obiettivo non è truffare nessuno, ma misurare la resilienza dell'organizzazione contro attacchi di social engineering strutturati.

La fase di ricognizione è il fondamento. Si parte raccogliendo informazioni su organigramma, ruoli chiave e lessico aziendale. theHarvester (open source) consente di estrarre email e nomi da fonti OSINT in modo rapido:

theHarvester -d targetdomain.com -b all -l 200

Questo comando interroga più data source per raccogliere indirizzi email associati al dominio target. Il risultato fornisce la materia prima per costruire pretesti credibili: sapere chi è il CFO, chi gestisce i pagamenti, chi lavora all'help desk.

Per il setup dell'infrastruttura, GoPhish (open source) è lo standard de facto per campagne di phishing simulato. Permette di creare template email, landing page di credential harvesting e tracciare chi apre, clicca e inserisce credenziali. La configurazione di un profilo di invio con display name spoofato replica esattamente ciò che fanno gruppi come Scattered Spider, che durante la campagna C0027 si spacciava per personale IT legittimo via telefono e SMS per indirizzare le vittime verso siti di raccolta credenziali.

Per simulare l'impersonazione telefonica (vishing), come osservato nella campagna Salesforce Data Exfiltration (C0059) dove gli attaccanti chiamavano fingendosi supporto IT, si utilizza un copione pre-approvato dal cliente e si registra ogni interazione. Il framework SET — Social Engineering Toolkit (open source) include moduli per vettori di social engineering multipli, compresa la generazione di payload abbinati a pretesti credibili.

Un test particolarmente efficace replica lo scenario LAPSUS$: chiamare l'help desk spacciandosi per un dipendente legittimo, utilizzando informazioni precedentemente raccolte (nome, email, ultimo ticket aperto) per richiedere il reset di password o token MFA. Questo scenario valuta sia la resistenza procedurale dell'help desk sia la qualità delle policy di verifica dell'identità.

Per la componente email, è fondamentale verificare la configurazione DMARC, SPF e DKIM del dominio target prima del test. Nmap (open source) con script specifici può interrogare i record DNS:

nmap --script dns-txt-query -p 53 --script-args dns-txt-query.domain=targetdomain.com

In alternativa, un semplice dig txt targetdomain.com restituisce i record SPF e DMARC, rivelando se il dominio è protetto contro lo spoofing diretto. Documentare il risultato di ogni interazione — chi ha risposto, che informazioni ha fornito, se ha seguito la procedura di verifica — è più importante del "successo" della simulazione stessa.

Rilevare l'impersonazione è una sfida atipica per un SOC: l'attacco si manifesta spesso come un'email perfettamente formata inviata da un indirizzo apparentemente legittimo, o addirittura come una telefonata. Le detection devono operare su più livelli, combinando analisi tecnica dei flussi email con correlazione comportamentale.

Il primo strato di detection è il mismatch tra display name e indirizzo SMTP. Su ambienti Windows con Microsoft 365, i log m365:unified espongono eventi di invio dove il campo display name non corrisponde all'identità autenticata. L'analytic AN0792 si concentra proprio su questo: monitorare attività email anomala in cui il nome visualizzato dall'utente non coincide con l'indirizzo reale del mittente. Le keyword da tracciare — payment, wire transfer, ACH, invoice — vanno personalizzate sul lessico finanziario dell'organizzazione, aggiungendo termini specifici del settore.

Su piattaforme SaaS come Google Workspace, l'analytic AN0795 suggerisce di monitorare le operazioni SendAs e SendOnBehalfOf nei log gcp:workspaceaudit. Quando un account riceve permessi di delega inusuali o appena creati, è un segnale d'allarme significativo. Mantenere una baseline delle relazioni di delega normali è essenziale per ridurre i falsi positivi: molte organizzazioni hanno assistenti autorizzati a inviare per conto di dirigenti, e questi scenari legittimi devono essere whitelistati.

Per i mail server Linux — Postfix, Sendmail, Exim — l'analytic AN0793 indica di controllare i log per header From che non corrispondono all'identità SMTP autenticata, tentativi di relay anomali e campagne massive verso utenti interni. I relay noti e i sistemi di notifica automatica vanno filtrati per evitare un flusso insostenibile di alert.

Su macOS (AN0794), i log unificati permettono di identificare applicazioni mail di terze parti che tentano di inviare per conto di identità corporate, un pattern rilevante in ambienti BYOD. Infine, l'analytic AN0796 copre lo scenario Office Suite: macro di Word o Excel che attivano l'invio automatico di email, specialmente quando il contenuto presenta linguaggio tipico dell'impersonazione combinato con esecuzione anomala di macro.

La gestione dei falsi positivi è critica. I tre assi di tuning principali sono:

• KeywordList: adattare le keyword di impersonation al contesto aziendale, aggiungendo termini di settore e rimuovendo quelli che generano rumore
• GeoLocationBaseline: definire le regioni geografiche trusted per l'attività email, segnalando login da località inattese
• DelegationBaseline: documentare le relazioni di delega legittime per isolare le anomalie reali

Un alert efficace correla almeno due segnali: keyword sospetta + geolocalizzazione anomala, oppure delega nuova + volume di invio elevato.

L'analisi forense dell'impersonazione si muove su un terreno ibrido: parte degli artefatti sono tecnici e risiedono nei log, parte sono "sociali" e richiedono la ricostruzione del flusso conversazionale tra attaccante e vittima. La timeline deve catturare entrambi gli aspetti.

Il punto di partenza su ambienti Microsoft 365 è il Unified Audit Log, che registra eventi di invio email, modifiche alle regole di posta e operazioni di delega. Cercare eventi SendAs, SendOnBehalf e creazione di regole di inoltro automatico (New-InboxRule) è fondamentale. Quando l'attaccante compromette un account per usarlo come trampolino di impersonazione — come descritto nella tecnica stessa — le inbox rules sono spesso il primo artefatto: regole che spostano le risposte in cartelle nascoste o le eliminano per impedire alla vittima di accorgersi della corrispondenza.

Search-UnifiedAuditLog -StartDate "2025-01-01" -EndDate "2025-01-31" -Operations "New-InboxRule","Set-InboxRule","SendAs","SendOnBehalf"

Questo comando PowerShell estrae gli eventi rilevanti dal log unificato di M365. Ogni record include timestamp, IP sorgente e user agent, tre elementi essenziali per la correlazione.

Su endpoint Windows, i log Security (EventCode 4624, 4625, 4648) permettono di tracciare login anomali sull'account compromesso. Se l'impersonazione coinvolge il software NPPSPY, l'artefatto chiave è la chiave di registro HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order: la presenza del valore logincontroll (con doppia 'l' errata) segnala l'installazione di un network provider malevolo che intercetta credenziali in chiaro durante il logon. Questo artefatto è particolarmente insidioso perché sopravvive ai riavvii.

Per i server di posta Linux, i log di Postfix o Sendmail contengono l'intera catena SMTP: EHLO, MAIL FROM, RCPT TO, con timestamp e IP. Correlando questi dati con i log auditd (syscall connect, sendto) si può tracciare quale processo ha originato la connessione SMTP. Un pattern significativo è la presenza di tentativi di relay con envelope-from spoofato da IP non appartenenti ai relay autorizzati.

La ricostruzione della timeline nella campagna Operation Dream Job (C0022) illustra bene la sequenza tipica: il Lazarus Group impersonava recruiter HR attraverso messaggi LinkedIn, conducendo colloqui con le vittime per convincerle a scaricare malware. Gli artefatti includono la cronologia del browser con le sessioni LinkedIn, i file scaricati (con metadata di creazione e hash), e gli eventi di esecuzione nei log Sysmon (EventID 1 — Process Create). La correlazione temporale tra il contatto iniziale e la prima esecuzione del payload definisce la finestra di compromissione.

Per il vishing, come nella campagna Salesforce Data Exfiltration (C0059), gli artefatti tradizionali sono scarsi: si lavora con i log del centralino VoIP, i ticket dell'help desk e le registrazioni delle chiamate, se disponibili. Ogni reset di password o modifica MFA effettuata dall'help desk deve essere correlata con le richieste ricevute.

L'impersonazione è una tecnica condivisa da gruppi con motivazioni, capacità e obiettivi profondamente diversi. Mappare i pattern d'uso consente di anticipare le campagne future e calibrare le difese su scenari concreti.

Scattered Spider (G1015) rappresenta il profilo più operativamente aggressivo nell'uso dell'impersonazione. Il gruppo utilizza social engineering diretto — telefonate e messaggi Microsoft Teams — per costringere il personale help desk a resettare password e token MFA. La campagna C0027 (giugno-dicembre 2022) ha colpito telecomunicazioni e BPO, combinando impersonazione telefonica con SIM swapping e tool di Remote Monitoring and Management (RMM). L'evoluzione verso l'uso di Teams come vettore d'impersonazione interna segna un salto qualitativo: l'attaccante non si limita a ingannare dall'esterno ma opera all'interno dei canali di comunicazione aziendali.

LAPSUS$ (G1004) condivide con Scattered Spider il focus sull'help desk come punto di ingresso. La differenza è nella preparazione: LAPSUS$ raccoglie preventivamente informazioni dettagliate sulle vittime per superare le verifiche d'identità telefoniche. Questo pattern suggerisce una fase di ricognizione più strutturata rispetto ad altri gruppi.

APT42 (G1044) e Kimsuky (G0094) rappresentano il versante spionistico dell'impersonazione. APT42 impersona persone reali nelle email di phishing per ottenere credenziali, mentre Kimsuky si finge istituzioni accademiche e ONG per raccogliere intelligence sulla Corea del Nord. Entrambi i gruppi operano con obiettivi di raccolta informativa a lungo termine, il che implica impersonazioni più sofisticate e relazioni prolungate con le vittime.

Saint Bear (G1031) estende l'impersonazione oltre l'email, sviluppando siti web che mimano risorse governative legittime con link malevoli. Questo approccio multi-canale — email più web — aumenta la credibilità del pretesto e merita attenzione nella modellazione delle minacce per enti governativi.

APT41 (G0096) offre un caso studio settoriale: ha impersonato un dipendente di un'azienda di videogiochi per inviare phishing. Il pattern indica che il gruppo investe nella comprensione della cultura interna del target, scegliendo identità da impersonare che risultino plausibili nel contesto specifico.

Contagious Interview (G1052) replica una dinamica simile a Operation Dream Job (C0022): impersonazione di recruiter HR tramite social media e job board, con colloqui fittizi che conducono al download di malware mascherato da applicazioni legittime o script da repository di codice. L'overlap con la campagna del Lazarus Group suggerisce un pattern consolidato nell'ecosistema nordcoreano.

La campagna Salesforce Data Exfiltration (C0059) introduce l'impersonazione vocale come vettore primario per la compromissione di istanze Salesforce enterprise, seguita da estorsione. Le sovrapposizioni infrastrutturali con l'ecosistema noto come "The Com" indicano una contaminazione tattica tra gruppi finanziari.

Il trend convergente è chiaro: l'impersonazione si sta spostando dai canali email tradizionali verso piattaforme di comunicazione interna (Teams), voce (vishing) e social media professionali (LinkedIn, job board). Le organizzazioni che difendono solo il perimetro email restano esposte a vettori che aggirano completamente i gateway di posta.

Framework MITRE ATT&CK v16 — Tecnica T1656 (Impersonation), Tattica TA0005. Campagne: C0022 (Operation Dream Job), C0027, C0059 (Salesforce Data Exfiltration). Mitigazioni M1017, M1019. Software S1131 (NPPSPY). Tool di detection e simulazione: GoPhish (open source), theHarvester (open source), SET — Social Engineering Toolkit (open source). Integrato con conoscenza professionale per tool e procedure operative.