Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Os agentes de ameaça estão usando iscas de PDF maliciosas para direcionar os usuários a páginas falsas do Google Drive que anunciam downloads de “vídeo”. Em vez de arquivos de mídia, os sites entregam instaladores RMM assinados — incluindo ferramentas como Syncro, ScreenConnect, NinjaOne e SuperOps — que fornecem aos atacantes acesso remoto confiável e persistência em endpoints comprometidos.
Investigação
AhnLab observou atividade de phishing baseada em PDF usando nomes de arquivos como Invoice_Details.PDF e redirecionando vítimas para domínios como adobe-download-pdf.com ou um portal de drivegoogle.com semelhante. Os instaladores RMM entregues foram assinados com um certificado reutilizado e incluíam parâmetros de instalação (por exemplo, uma chave e ID de cliente) consistentes com implantações em estágios ou automatizadas. Os instaladores foram produzidos usando frameworks comuns de empacotamento, como Advanced Installer ou NSIS e, em alguns casos, atuavam como um bootstrapper para recuperar cargas adicionais após a execução.
Mitigação
Limite ou bloqueie a execução de ferramentas RMM não autorizadas, incluindo binários que não são assinados ou inesperadamente assinados, e aplique controles mais rígidos para a instalação de software de acesso remoto. Aplique uma inspeção rigorosa de anexos de e-mail para detectar iscas em PDF e comportamentos de redirecionamento suspeitos, e bloqueie domínios maliciosos conhecidos nas camadas de gateway e proxy. Verifique certificados de assinatura de código e detalhes do editor antes de permitir a instalação, mantenha produtos RMM aprovados atualizados e restrinja seu uso a administradores explicitamente autorizados.
Resposta
Alerta quando instaladores RMM executam de fontes não confiáveis e quando endpoints acessam os nomes de arquivo, URLs ou padrões de redirecionamento identificados. Isole hosts impactados, colete artefatos dos instaladores e telemetria de execução, e realize triagem forense para identificar quaisquer cargas secundárias baixadas após a instalação. Remova o agente RMM desonesto, redefina credenciais potencialmente expostas e expanda a caça para tentativas de implantação de RMM relacionadas em todo o ambiente.
“graph TB %% Class definitions classDef action fill:#99ccff classDef file fill:#ffdd99 classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#dddddd %% Node definitions attack_phishing[“<b>Ação</b> – <b>T1566.001 Spearphishing Attachment</b><br/>A vítima recebe e-mail com anexo PDF malicioso”] class attack_phishing action file_pdf[“<b>Arquivo</b> – <b>T1204.002 Execução do Usuário</b><br/>PDF malicioso aberto pela vítima”] class file_pdf file page_masquerade[“<b>Ação</b> – <b>T1036.008 Masquerading</b><br/>PDF redireciona para página falsa do Google Drive”] class page_masquerade action installer_signed[“<b>Arquivo</b> – <b>T1553.002 Subverter Controles de Confiança</b><br/>Instalador assinado com certificado parecendo legítimo”] class installer_signed file exe_masquerade[“<b>Arquivo</b> – <b>T1036.001 Masquerading</b><br/>Instalador se disfarça como um executável válido”] class exe_masquerade file nsis_payload[“<b>Malware</b> – <b>T1027.009 Embedding Payloads</b><br/>Pacote NSIS embute componentes maliciosos adicionais”] class nsis_payload malware rmm_tool[“<b>Ferramenta</b> – <b>T1219 Software de Acesso Remoto</b><br/>Syncro / NinjaOne / SuperOps / ScreenConnect instalado”] class rmm_tool tool remote_desktop[“<b>Processo</b> – <b>T1219.002 Área de Trabalho Remota</b><br/>Fornece capacidades de área de trabalho remota ao atacante”] class remote_desktop process %% Connections showing attack flow attack_phishing u002du002d>|entrega| file_pdf file_pdf u002du002d>|abre_e_aciona| page_masquerade page_masquerade u002du002d>|oferece_download_de| installer_signed installer_signed u002du002d>|disfarça_como| exe_masquerade exe_masquerade u002du002d>|contém| nsis_payload nsis_payload u002du002d>|instala| rmm_tool rmm_tool u002du002d>|habilita| remote_desktop “
Fluxo de Ataque
Detecções
Possível tentativa de instalação de software RMM usando MsiInstaller (via logs de aplicação)
Visualizar
Software Alternativo de Acesso / Gestão Remota (via sistema)
Visualizar
Software Alternativo de Acesso / Gestão Remota (via auditoria)
Visualizar
Software Alternativo de Acesso / Gestão Remota (via criação de processos)
Visualizar
Possível Atividade de Comando e Controle por Tentativa de Comunicação de Domínio de Software de Acesso Remoto (via dns)
Visualizar
IOCs (HashMd5) para detectar: Malware disfarçado como arquivos de vídeo usando ferramentas RMM (Syncro, SuperOps, NinjaOne, etc)
Visualizar
Uso Malicioso de Ferramentas RMM via PDF Phishing [Criação de Processos do Windows]
Visualizar
Execução de Simulação
Pré-requisito: O Pré-verificação de Telemetria & Baseline deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.
-
Narrativa de Ataque & Comandos:
-
Entrega de Phishing: O adversário envia um e-mail de spear‑phishing com um PDF malicioso intitulado “Invoice #12345.pdf”. O PDF contém uma carga de JavaScript maliciosa que, quando aberta, solta
Syncro.exeem%TEMP%. -
Execução: A carga executa um comando PowerShell para ignorar a política de execução e lançar o binário:
powershell -NoP -W Hidden -Exec Bypass -Command "Start-Process -FilePath "$env:TEMPSyncro.exe" -ArgumentList '/silent'" -
Telemetria Resultante: O Windows registra um Evento ID 4688 com
Imagem = C:Users<usuário>AppDataLocalTempSyncro.exe, correspondendo à regra SigmaImagem|endswith: 'Syncro.exe'. O alerta é gerado com Alta gravidade.
-
-
Script de Teste de Regressão: O seguinte script reproduz o comportamento exato em um ambiente de laboratório controlado. Ele copia um binário RMM conhecido (para fins de teste) para o diretório temporário e o executa com um sinalizador benigno, garantindo que o mesmo evento de criação de processo seja emitido.
# ------------------------------------------------- # Script de Simulação – Disparar Regra de Processo da Ferramenta RMM # ------------------------------------------------- # Pré-requisitos: # - Uma cópia de Syncro.exe colocada em C:Tools (binário legítimo para teste) # - Direitos administrativos para escrever em %TEMP% # ------------------------------------------------- $src = "C:ToolsSyncro.exe" $dest = "$env:TEMPSyncro.exe" Write-Host "[*] Copiando binário RMM para local temporário..." Copy-Item -Path $src -Destination $dest -Force Write-Host "[*] Executando o binário para gerar telemetria de criação de processo..." Start-Process -FilePath $dest -ArgumentList '/silent' -WindowStyle Hidden Write-Host "[+] Execução completa. Verifique a detecção no SIEM." # ------------------------------------------------- -
Comandos de Limpeza: Remova o binário de teste e termine quaisquer processos remanescentes.
# Termine quaisquer processos de Syncro remanescentes Get-Process -Name "Syncro" -ErrorAction SilentlyContinue | Stop-Process -Force # Delete a cópia temporária Remove-Item -Path "$env:TEMPSyncro.exe" -Force -ErrorAction SilentlyContinue Write-Host "[*] Limpeza concluída."