Analisi di “The Collector”, una piattaforma automatizzata di raccolta e analisi delle email
🇬🇧 English version here
Ho condotto un esperimento per vedere cosa succede a un’email inviata a un dominio “simile” ad uno reale, come gmeil[.]com o yahoo[.]com[.]cm (typosquatted).
Non solo è stata “letta”, ma ha innescato una risposta coordinata da una sofisticata piattaforma di threat intelligence. In questo articolo, ho riassunto le fasi di questa incredibile “conversazione” e cosa ci insegna sulla sicurezza.
1. Sintesi Esecutiva
Questo rapporto fornisce un’analisi tecnica di un sofisticato attore di minaccia, designato UNC-HEMAIL (detto anche “The Collector”), identificato attraverso un esperimento di ricognizione attiva a più fasi. UNC-HEMAIL gestisce un’ampia infrastruttura centralizzata per la raccolta di e-mail mal indirizzate e di phishing, sfruttando un cluster di domini typosquatted.
Il flusso di lavoro operativo dell’attore prevede una catena di sicurezza e analisi a più livelli, che utilizza un gateway di sicurezza commerciale di terze parti per la gestione iniziale delle minacce, seguito da un’analisi approfondita condotta da una piattaforma interna proprietaria.
Questa piattaforma mostra TTP avanzate, tra cui difesa adattiva, fingerprinting dell’infrastruttura e analisi dinamica del payload in più ambienti.
L’obiettivo di questo rapporto è documentare i TTP di UNC-HEMAIL e gli IoC associati per informare le attività di difesa della rete e di risposta alle minacce.
Key takeway: Ogni email inviata ad un dominio typosquatted può essere considerata come una potenziale fuga di dati
Email di phishing
Attore 1: Il protettore
Gateway di sicurezza Email “Threatwave”
Triage iniziale e mascheramento domini
Attore 2: UNC-HEMAIL
Piattaforma proprietaria di analisi “The Collector”
Analisi approfondita e strumenti personalizzati
Stanco di leggere? Prova ad ascoltare la versione AI podcast (grazie a Gemini):
2. Indicatori Chiave di Compromissione (IoCs)
I seguenti IoC sono associati con alta confidenza all’infrastruttura e alla piattaforma di analisi di UNC-HEMAIL.
| Tipo | Indicatore | Note |
|---|---|---|
| MX Record | mail.h-email.net | Colletore centrale di record MX |
| IP | 165.227.159.144 165.227.156.49 167.235.143.33 49.13.4.90 5.75.171.74 91.107.214.206 178.62.199.248 5.161.98.212 162.55.164.116 5.161.194.135 |
Infrastruttura di “The Collector” |
| Marcatore interno | Jackdavis@eureliosollutions.com | Utilizzato come sostituto delle email target durnate la fase di analisi tecnica |
| Cluster di domini | ygmail.com, gmaio.com, hotmail.com.xn--6frz82g, notmail.com, yabbo.com, gmeil.com, gmagl.com, gmai.com, gmaol.com, hotmaila.com, hotma8il.com, homaitl.com, hoptmail.com, chotmail.com, oultook.com, gmdil.com, gmailz.com, outklook.com, outlookt.com, outloek.com, yahoo.com.xn--6frz82g, y6ahoo.com, yahyoo.com, hotmailc.com, hotmailt.com, hotmaiol.com, yahoio.com, yaxoo.com, yahoo.com.cm | Domini confermati reattivi sotto il controllo dell’attore. |
| User-Agent | Aweme/29.3.0 | UA specifico per l’app Douyin/TikTok, che indica la capacità di testare diversi ambienti in-app specifici. |
| User-Agent | THDConsumer/7.45.0.1 | UA specifico per l’app The Home Depot, utilizzato per testare il rendering del browser in-app. |
3. Analisi delle Tattiche, Tecniche e Procedure (TTP)
La piattaforma di UNC-HEMAIL ha dimostrato un approccio strutturato e metodico all’analisi delle minacce. Le TTP osservate sono dettagliate di seguito.
- T1583: Acquisire Infrastruttura
- L’attore gestisce una significativa rete di domini typosquatted che imitano i principali provider di e-mail. Questa infrastruttura è gestita centralmente, puntando a un record MX comune, indicando un’operazione strategica a lungo termine per la raccolta passiva dei dati.
- T1027: File o Informazioni Offuscati
- La piattaforma di analisi utilizza sistematicamente una vasta gamma di User-Agent comuni (Chrome su Windows, Safari su iPhone) e proxy residenziali per mascherare la sua attività di scansione automatizzata, rendendola difficile da distinguere dal traffico utente legittimo.
- T1082: Scoperta delle Informazioni di Sistema
- È stato osservato che il payload JavaScript della piattaforma raccoglie informazioni a livello di browser, in particolare le impostazioni di lingua e fuso orario, per il fingerprinting dell’ambiente di analisi.
- T1497: Elusione di Virtualizzazione/Sandbox
- L’uso di User-Agent specifici per applicazioni mobili, come THDConsumer (The Home Depot) e Aweme (Douyin/TikTok), indica una sofisticata capacità di testare minacce sensibili al contesto in più ambienti in-app specifici. Questa tecnica viene utilizzata per determinare se un payload si comporta in modo diverso quando viene renderizzato all’interno di una webview di un’applicazione mobile di terze parti, un metodo per eludere semplici sandbox e rilevare minacce sensibili al contesto.
- TTP Personalizzata: Correlazione Interna delle Minacce
- La piattaforma riutilizza gli identificatori unici (UUID) forniti dall’attaccante dai collegamenti in entrata e li associa ai propri marcatori interni (ad es. Jackdavis@…) per correlare con precisione la sua analisi multistadio a un singolo, specifico artefatto di minaccia
4. Flusso di Lavoro Operativo e Attribuzione
L’analisi conferma una struttura operativa a due livelli, che consente una chiara distinzione tra l’attore principale e il suo provider di sicurezza.
- Attore 1: Gateway di Sicurezza E-mail (SEG) di Terze Parti “Threatwave”
- TTP: Esegue una redazione precisa e “chirurgica” degli URL, analizzando e sostituendo correttamente solo la stringa e-mail identificata. Questo comportamento è coerente con un prodotto di sicurezza commerciale maturo.
- Ruolo: Agisce come prima linea di difesa, eseguendo la gestione iniziale delle minacce sconosciute.
- Attore 2: UNC-HEMAIL (“The Collector”)
- Ruolo: La piattaforma principale di intelligence sulle minacce, che conduce analisi approfondite.
- TTP: Impiega un metodo di redazione meno preciso, basato su pattern, indicativo di uno strumento interno personalizzato. Utilizza marcatori interni unici e tecniche di analisi avanzate non osservate a livello di gateway.
Attribuzione: La significativa differenza nelle TTP di manipolazione degli URL fornisce alta confidenza che l’SEG esterno sia un fornitore di servizi commerciali, mentre UNC-HEMAIL è il cliente finale e l’attore principale che conduce l’analisi approfondita
5. Cronologia degli Eventi e Adattamento dell’Attore
- Fase 1: Probing Iniziale ed Evasione. I sistemi automatizzati dell’attore hanno risposto a una campagna iniziale. Entrambe le tecniche di redazione sono state osservate, confermando la catena di analisi a più livelli.
- Fase 2: Esaurimento dell’Infrastruttura. Una campagna di follow-up dalla stessa IP di origine ha prodotto nessuna risposta. Ciò indica che l’IP di origine è stato inserito nella blacklist dopo la Fase 1, dimostrando una postura di difesa efficace e adattiva.
- Fase 3: Bypass Riuscito e Analisi Approfondita. Una nuova campagna da un dominio e IP “puliti” ha bypassato il blocco iniziale. La piattaforma interna di UNC-HEMAIL si è impegnata direttamente, avviando la sua suite completa di TTP di analisi tecnica e comportamentale.
- Fase 4: Rilevamento Umano vs. Macchina. Il nuovo dominio è stato posto dietro Cloudflare. La risposta dell’attore è continuata, consentendo la raccolta di metriche che distinguevano chiaramente tra attività automatizzata (“robotica”) e potenziale attività guidata dall’uomo.
6. Metriche Quantitative e Analisi
Questa sezione fornisce dati quantitativi raccolti durante l’esperimento, che supportano ulteriormente la conclusione di analisi automatizzata piuttosto che di interazione umana.
Tassi di coinvolgimento
Emails inviate
980
Click registrati
41
Rateo di click
~4.18%
Analisi della latenza
Le latenze osservate non sono coerenti con il comportamento umano e indicano fortemente un’elaborazione automatizzata e in coda all’interno di un ambiente sandbox. La deviazione standard elevata, in particolare, indica un processo di analisi non uniforme e a più stadi.
| Metrica | Ritardo Medio (s) | Ritardo Minimo (s) | Deviazione Standard (s) | Interpretazione |
| Ritardo Apertura | ~2182 s (~36 min) | 5 | ~1469 | La gamma estremamente ampia (da 5 secondi a oltre un’ora) suggerisce un sistema di queuing complesso. Alcune email vengono gestite istantaneamente, mentre altre attendono in coda per risorse di analisi disponibili. |
| Ritardo Clic | ~1782 s (~30 min) | 31 | ~1139 | L’elevato ritardo medio conferma il sandboxing automatizzato. L’elevata deviazione standard suggerisce percorsi di analisi o priorità diverse per i diversi link. |
| Ritardo Fingerprint JS | ~2449 s (~41 min) | 42 | ~1585 | Il ritardo significativo tra il clic e l’esecuzione di JS conferma un processo sandbox in più fasi: caricamento della pagina, rendering e successiva esecuzione dello script, con un’elevata variabilità nei tempi di elaborazione. |
Conclusioni sulle metriche: le elevate latenze medie, unite alla deviazione standard estremamente elevata, escludono definitivamente un’interazione umana coerente. Sono caratteristiche dei sistemi di sicurezza automatizzati che mettono in coda, attivano e analizzano i contenuti in un ambiente controllato, non in tempo reale e dipendente dalle risorse.
7. Conclusioni
L’esperimento ha identificato e profilato con successo le operazioni di un sofisticato attore di threat intelligence, UNC-HEMAIL. Le conclusioni principali sono le seguenti:
- 1. Il Rischio Sottovalutato: Un’email inviata a un dominio sbagliato (es.
utente@gmgil.cominvece diutente@gmail.com) non è un messaggio “perso nel vuoto”. Il nostro esperimento ha dimostrato che è l’esatto contrario. Quel “vuoto” è in realtà un laboratorio di analisi che si attiva immediatamente. Il contenuto dell’email inviata per errore è ora nelle mani di un’entità sconosciuta, portando ad una fuga di dati a tutti gli effetti
- 2. Esistenza di una piattaforma di intelligence coordinata: le prove confermano l’esistenza di un singolo attore che gestisce un’ampia infrastruttura centralizzata (h-email.net) per la raccolta e l’analisi passiva delle minacce provenienti da domini typosquat.
- 3. Sicurezza operativa multilivello: UNC-HEMAIL impiega un modello operativo maturo a due livelli, utilizzando un SEG commerciale di terze parti per lo screening iniziale delle minacce e la propria piattaforma proprietaria per l’analisi approfondita. Ciò dimostra un elevato livello di consapevolezza della sicurezza operativa.
- 4. Capacità di difesa adattiva: la piattaforma dell’attore non è statica; apprende dalle interazioni. Ha dimostrato la capacità di creare firme da un attacco iniziale (Fase 1) e di utilizzarle per bloccare minacce successive simili a livello di infrastruttura (Fase 2).
TTP di analisi avanzata: le capacità della piattaforma vanno oltre la semplice detonazione dei link. Esegue una ricognizione attiva sull’infrastruttura delle minacce, testa i payload context-aware (tramite emulazione UA in-app) e utilizza metodi di correlazione interna (riutilizzo di UUID, marcatori personalizzati) per un tracciamento preciso delle minacce.
- 5. Interazione automatizzata e non umana: i dati quantitativi sulla latenza, in particolare le medie e le deviazioni standard elevate, dimostrano in modo conclusivo che l’attività osservata è completamente automatizzata e caratteristica di un flusso di lavoro di analisi sandbox non in tempo reale.
- 6. Nella sua configurazione SPF (Sender Policy Framework), mail.h-email.net permette l’invio solo da un range IPv6
fd96:1c8a:43ad::/48appartiene allo spazio degli Unique Local Addresses (ULA). Questi indirizzi sono l’equivalente IPv6 degli indirizzi privati RFC 1918 (come192.168.x.x) e non sono instradabili su Internet. Autorizzare un range di IP privati a inviare email pubbliche è una configurazione estremamente insolita. Potrebbe indicare una complessa rete interna basata su IPv6 o una misconfigurazione. Il fatto che questa policy esista, nonostante sia tecnicamente errata per la posta pubblica, è un forte indizio di un ambiente di rete non standard.
8. Raccomandazioni per i team di Sicurezza
- Monitoraggio di IoC simili: i team di sicurezza dovrebbero monitorare il traffico (soprattutto in uscita) relativo al record MX h-email.net, ai suoi IP e al marcatore Jackdavis@eureliosollutions.com come indicatori di potenziale raccolta di informazioni.
- Presumere un’analisi multilivello: quando si organizzano red-team o si analizzano campagne di phishing, si presuppone che le interazioni iniziali possano provenire da un SEG commerciale, mentre analisi più sofisticate possono derivare da una piattaforma interna separata.
- Diversificare l’infrastruttura: per aggirare le difese adattive, l’emulazione delle minacce deve comportare la rotazione non solo degli IP e dei domini sorgente, ma anche della struttura e del contenuto dei payload per evitare il rilevamento basato sulle firme.