Spearphishing Link: Phishing a Link Malicious (T1566.002)

Replicare un attacco di spearphishing link in laboratorio richiede la comprensione delle catene d'attacco reali utilizzate dai gruppi APT. Il processo inizia sempre con la creazione di un'infrastruttura credibile.

Per simulare un IDN homograph attack, puoi registrare domini con caratteri Unicode che sembrano identici a quelli legittimi. Ad esempio, sostituire la "o" latina con la "о" cirillica in "google.com". Gli strumenti come dnstwist automatizzano la generazione di varianti:

python3 dnstwist.py -r microsoft.com

La preparazione del link malevolo può sfruttare diversi meccanismi di offuscamento. Un classico esempio è l'abuso del simbolo "@" negli URL che molti parser ignorano:

https://microsoft.com@evil-domain.com/payload.exe

APT29 ha dimostrato l'efficacia dei link a file ZIP ospitati su servizi legittimi. Puoi replicare questa catena creando un archivio con doppia estensione e caricandolo su Google Drive, ottenendo un link apparentemente innocuo che bypassa molti filtri.

Per testare OAuth consent phishing, strumenti come AADInternals permettono di creare flussi malevoli che richiedono permessi eccessivi. Il comando base per generare un URL di phishing OAuth:

New-AADIntPhishingEmail -Recipient "target@company.com" -Subject "Action Required" -ApplicationName "Office365 Security Update"

La fase di hosting del payload richiede particolare attenzione. Lazarus Group ha utilizzato con successo OneDrive per ospitare falsi annunci di lavoro. Replicare questa tecnica implica:

1. Creare un documento Word con macro malevole
2. Caricarlo su OneDrive con nome credibile
3. Generare un link di condivisione pubblico
4. Embedded il link in email HTML professionale

Per testare la resilienza contro URL shortener, concatena più servizi:

bit.ly → tinyurl.com → rebrand.ly → dominio finale

Questo approccio multi-hop complica l'analisi automatica dei link. FIN7 ha perfezionato questa tecnica usando domini typosquatted come "ip-sccanner[.]com" che sembrano tool legittimi di sicurezza.

La detection efficace di spearphishing link richiede correlazione multi-sorgente tra email gateway, proxy logs e endpoint telemetry. Il comportamento da monitorare segue pattern specifici che differiscono dal normale flusso aziendale.

Configura alert per catturare la sequenza: email ricevuta → link cliccato → browser spawna processo anomalo. In Splunk, una query di correlazione potrebbe apparire così:

index=email action=delivered url= | join user_email [search index=proxy action=allowed | where match(url, "(?:bit.ly|tinyurl|rebrand.ly)")] | join src_ip [search index=endpoint process_name=chrome.exe child_process=powershell.exe]*

I domini newly registered rappresentano un indicatore forte. Monitora certificati TLS emessi nelle ultime 48-72 ore correlati con navigazione utente. Mustang Panda spesso registra domini simili a servizi legittimi pochi giorni prima delle campagne.

Per OAuth phishing, monitora grant di consenso anomali in Azure AD. Alert critici includono:

• Applicazioni non verificate che richiedono permessi mail.read o files.readwrite
• Grant multipli dalla stessa app a utenti diversi in finestre temporali ristrette
• Consent da geolocalizzazioni inusuali per l'utente

La gestione dei falsi positivi richiede whitelist dinamiche. Servizi come Dropbox e Google Drive sono legittimi ma spesso abusati. Implementa logic che distingue:

Uso normale: singolo utente accede a file specifico Uso anomalo: multipli utenti accedono allo stesso link entro 30 minuti

Browser spawning processi è comportamento da investigare sempre. PowerShell o cmd lanciati da chrome.exe/firefox.exe indicano possibile exploit kit o download cradle. TA505 utilizza questa catena per distribuire malware bancario.

Implementa detection per URL obfuscation:

• Presenza di "@" nell'URL seguito da dominio diverso
• Uso di encoding esadecimale o decimale per hostname
• IDN con mix di script (latino + cirillico)

Il tuning degli alert deve considerare il contesto aziendale. Marketing potrebbe usare legittimamente URL shortener, mentre finance no. Crea baseline per reparto e genera anomalie basate su deviazioni statistiche.

La ricostruzione forense di un attacco spearphishing link richiede l'analisi coordinata di molteplici artefatti. Il punto di partenza è sempre l'email originale, ma la catena di evidenze si estende ben oltre.

Su sistemi Windows, il browser history fornisce timestamp precisi del click iniziale. Chrome stores in \AppData\Local\Google\Chrome\User Data\Default\History come database SQLite. La query per estrarre visite sospette:

SELECT url, title, visit_time FROM urls JOIN visits ON urls.id = visits.url ORDER BY visit_time

Zone.Identifier alternate data streams rivelano l'origine dei file scaricati. Ogni file scaricato da Internet mantiene metadata sulla fonte:

Get-Content -Path "malicious.docx" -Stream Zone.Identifier

Questo artefatto persiste anche se il file viene rinominato, fornendo evidenza forense duratura. APT32 spesso rinomina i payload, ma Zone.Identifier tradisce l'origine.

La timeline di esecuzione post-click è critica. Prefetch files in \Windows\Prefetch documentano quando PowerShell o altri tool sono stati lanciati dopo l'infezione iniziale. Correlazione temporale tra click su link e prima esecuzione di processi anomali tipicamente mostra finestre di 30-300 secondi.

Per OAuth phishing, i token rubati lasciano tracce in:

• Token cache del browser (*\AppData\Local\Microsoft\Edge\User Data\Default\Storage*)
• Event logs di autenticazione (EventID 4624 con logon type 9)
• Azure AD sign-in logs con applicazioni sospette

Linux systems richiedono analisi di /var/log/auth.log per sudo escalation post-compromissione e .bash_history per comandi eseguiti. Turla often clears history, ma journal systemd in /var/log/journal/ può contenere evidenze residue.

L'analisi di campagne come Operation Dream Job mostra pattern ricorrenti:

1. Email inviata con link OneDrive (timestamp in headers)
2. Click utente (browser history + proxy logs)
3. Download ZIP da cloud (browser downloads + ADS)
4. Estrazione archivio (Shellbags + USN Journal)
5. Esecuzione payload (Prefetch + AmCache)

Memory forensics con Volatility può recuperare URL visitati anche dopo pulizia del browser. Il plugin iehistory estrae cronologia da processi Internet Explorer/Edge in memoria.

L'analisi dei pattern di spearphishing link rivela signature distintive per profilare i threat actor. Ogni gruppo APT mantiene preferenze tecniche e tematiche che permettono attribution e predizione.

APT29 (Cozy Bear) mostra sofisticazione estrema nelle campagne. Utilizzano link unici per vittima per tracking granulare, spesso incorporati in email che simulano comunicazioni governative legittime. I loro domini seguono pattern: registrazione 48-72 ore prima dell'uso, SSL certificates da Let's Encrypt, hosting su VPS in Olanda o Germania. La campagna C0021 del novembre 2018 ha targetizzato think tank di Washington DC con link a false survey policy.

Lazarus Group preferisce temi di recruitment. Operation Dream Job ha sfruttato link OneDrive a finte job offer per aerospace e defense contractors. Pattern ricorrente: PDF con job description allettanti → link a ZIP protetto da password → password nel corpo email. Targeting geografico: 60% USA, 20% Israele, 15% Australia, 5% India.

FIN7 opera con motivazioni puramente finanziarie. I loro link puntano sempre a documenti Office con macro, mai eseguibili diretti. Preferenza per typosquatting di security tools ("ip-sccanner[.]com") per sembrare legittimi. Campagne concentrate martedì-giovedì, mai weekend. Target: retail e hospitality con revenue >$100M annui.

Kimsuky (Nord Korea) mostra pattern evolutivi interessanti. Dal 2019 migrazione da attachment a link verso servizi cloud. Temi costanti: COVID-19, tensioni geopolitiche Corea, documenti militari leaked. Infrastructure: 70% domini registrati in Cina, 30% Russia. Riutilizzano stessa infrastruttura per 2-3 campagne poi abbandonano.

MuddyWater targeting medio orientale con focus Iran e paesi del Golfo. Link sempre verso archivi RAR/ZIP, mai eseguibili diretti. Lingua: 40% inglese, 35% arabo, 25% farsi. Hosting preferito: servizi cloud compromessi di università regionali.

Trend emergenti 2024:

• Abuso crescente di OAuth flow per persistence senza malware
• QR code in email che portano a phishing site mobile-optimized
• Weaponizzazione di AI per generare spear-phishing ultra-personalizzati
• Supply chain targeting via phishing di MSP e cloud provider

La predizione richiede monitoring di registrazioni domini simili a target di interesse. Se APT targeting finance registra domini simili a nuovo servizio crypto, probabile campagna in 5-7 giorni.

Framework MITRE ATT&CK T1566.002. Campagne documentate: Operation Dream Job (Lazarus), C0021 (APT29), RedDelta (Mustang Panda). Risorse detection: Splunk Security Essentials, Azure AD Identity Protection, Chronicle YARA-L.