SOC Prime Bias: Kritisch

13 Jan. 2026 17:22
newspaper icon ASEC

Malware getarnt als Videodateien nutzt RMM-Tools (Syncro, SuperOps, NinjaOne, etc.)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Malware getarnt als Videodateien nutzt RMM-Tools (Syncro, SuperOps, NinjaOne, etc.)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Bedrohungsakteure verwenden bösartige PDF-Köder, um Benutzer auf gefälschte Google Drive-Seiten zu leiten, die „Video“-Downloads bewerben. Statt Mediendateien liefern die Seiten signierte RMM-Installationsprogramme, einschließlich Tools wie Syncro, ScreenConnect, NinjaOne und SuperOps, die Angreifern zuverlässigen Fernzugriff und Persistenz auf kompromittierten Endpunkten bieten.

Untersuchung

AhnLab beobachtete phishing-gestützte Aktivitäten mit PDF-Dateinamen wie Invoice_Details.PDF, die Opfer auf Domains wie adobe-download-pdf.com oder ein nachgeahmtes drivegoogle.com-Portal umleiteten. Die gelieferten RMM-Installationsprogramme waren mit einem wiederverwendeten Zertifikat signiert und enthielten Installationsparameter (z.B. einen Schlüssel und eine Kunden-ID), die mit gestaffelten oder automatisierten Bereitstellungen übereinstimmen. Die Installationsprogramme wurden mit gängigen Verpackungs-Frameworks wie Advanced Installer oder NSIS produziert und fungierten in einigen Fällen als Bootstrapper, um nach der Ausführung zusätzliche Nutzlasten abzurufen.

Abschwächung

Begrenzen oder blockieren Sie die Ausführung nicht autorisierter RMM-Werkzeuge, einschließlich Binärdateien, die nicht signiert oder unerwartet signiert sind, und erzwingen Sie stärkere Kontrollen für die Installation von Fernzugriffssoftware. Wenden Sie strenge E-Mail-Anhangsinspektionen an, um PDF-Köder und verdächtiges Umleitungsverhalten zu erkennen, und blockieren Sie bekannte bösartige Domains auf Gateway- und Proxy-Ebenen. Überprüfen Sie Code-Signatur-Zertifikate und Publisher-Details, bevor Sie die Installation zulassen, halten Sie genehmigte RMM-Produkte gepatcht, und beschränken Sie deren Verwendung auf explizit autorisierte Administratoren.

Reaktion

Alarmieren Sie, wenn RMM-Installationsprogramme aus unzuverlässigen Quellen ausgeführt werden und wenn Endpunkte auf die identifizierten Dateinamen, URLs oder Umleitungsmuster zugreifen. Isolieren Sie betroffene Hosts, sammeln Sie Installationsartefakte und Ausführungstelemetrie und führen Sie ein forensisches Triaging durch, um sekundäre Nutzlasten zu identifizieren, die nach der Installation heruntergeladen wurden. Entfernen Sie den schurkischen RMM-Agenten, setzen Sie möglicherweise exponierte Zugangsdaten zurück und erweitern Sie die Jagd nach verwandten RMM-Bereitstellungsversuchen in der Umgebung.

„graph TB %% Class definitions classDef action fill:#99ccff classDef file fill:#ffdd99 classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#dddddd %% Node definitions attack_phishing[„<b>Aktion</b> – <b>T1566.001 Spearphishing-Anhang</b><br/>Opfer erhält E-Mail mit bösartigem PDF-Anhang“] class attack_phishing action file_pdf[„<b>Datei</b> – <b>T1204.002 Benutzer-Ausführung</b><br/>Bösartige PDF vom Opfer geöffnet“] class file_pdf file page_masquerade[„<b>Aktion</b> – <b>T1036.008 Maskierung</b><br/>PDF leitet zu gefälschter Google Drive-Seite um“] class page_masquerade action installer_signed[„<b>Datei</b> – <b>T1553.002 Vertrauens-Kontrollen unterwandern</b><br/>Installer mit vertrauenswürdig aussehenden Zertifikat signiert“] class installer_signed file exe_masquerade[„<b>Datei</b> – <b>T1036.001 Maskierung</b><br/>Installer gibt sich als gültige ausführbare Datei aus“] class exe_masquerade file nsis_payload[„<b>Malware</b> – <b>T1027.009 Eingebettete Nutzlasten</b><br/>NSIS-Paket enthält zusätzliche bösartige Komponenten“] class nsis_payload malware rmm_tool[„<b>Werkzeug</b> – <b>T1219 Fernzugriffssoftware</b><br/>Syncro / NinjaOne / SuperOps / ScreenConnect installiert“] class rmm_tool tool remote_desktop[„<b>Prozess</b> – <b>T1219.002 Fernzugriff</b><br/>Bietet Angreifern Fernzugriff-Funktionen“] class remote_desktop process %% Connections showing attack flow attack_phishing u002du002d>|liefert| file_pdf file_pdf u002du002d>|öffnet und löst aus| page_masquerade page_masquerade u002du002d>|bietet Download von| installer_signed installer_signed u002du002d>|gibt sich als| exe_masquerade exe_masquerade u002du002d>|enthält| nsis_payload nsis_payload u002du002d>|installiert| rmm_tool rmm_tool u002du002d>|ermöglicht| remote_desktop „

Angriffsfluss

Ausführung der Simulation

Voraussetzung: Der Telemetrie- & Base-Pre‑Flight-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), um die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue erwartete Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht im Zusammenhang stehende Beispiele führen zu Fehldiagnosen.

  • Angriffsablauf & Befehle:

    1. Phishing-Zustellung: Der Gegner sendet eine Spear‑Phishing-Email mit einem bösartigen PDF mit dem Titel „Invoice #12345.pdf“. Das PDF enthält eine bösartige JavaScript-Nutzlast, die beim Öffnen Syncro.exe in %TEMP%.

    2. Ausführung: Die Nutzlast führt einen PowerShell-Befehl aus, um die Ausführungsrichtlinie zu umgehen und die Binärdatei zu starten:

      powershell -NoP -W Hidden -Exec Bypass -Command "Start-Process -FilePath "$env:TEMPSyncro.exe" -ArgumentList '/silent'"

    3. Ergebnis-Telemetrie: Windows zeichnet ein Ereignis ID 4688 mit Bild = C:Users<user>AppDataLocalTempSyncro.exe, was mit der Sigma-Regel übereinstimmt Image|endswith: 'Syncro.exe'. Der Alarm wird mit Hoch Schweregrad generiert.

  • Regressionstest-Skript: Das folgende Skript reproduziert das genaue Verhalten in einer kontrollierten Laborumgebung. Es kopiert eine bekannte RMM-Binärdatei (zu Testzwecken) in das temporäre Verzeichnis und führt sie mit einem harmlosen Flag aus, um sicherzustellen, dass dasselbe Prozess-Erstellungsereignis ausgegeben wird.

    # -------------------------------------------------
# Simulationsskript – Trigger RMM‑Tool-Prozessregel
# -------------------------------------------------
# Voraussetzungen:
#   - Eine Kopie von Syncro.exe in C:Tools (legitime Binärdatei für Tests)
#   - Administrationsrechte, um auf %TEMP% zu schreiben
# -------------------------------------------------

$src  = "C:ToolsSyncro.exe"
$dest = "$env:TEMPSyncro.exe"

Write-Host "[*] RMM-Binärdatei an temporären Speicherort kopieren..."
Copy-Item -Path $src -Destination $dest -Force

Write-Host "[*] Ausführung der Binärdatei zum Generieren von Prozess-Erstellungstelemetrie..."
Start-Process -FilePath $dest -ArgumentList '/silent' -WindowStyle Hidden

Write-Host "[+] Ausführung abgeschlossen. Überprüfung der Erkennung im SIEM."
# -------------------------------------------------

  • Aufräumbefehle: Entfernen Sie die Test-Binärdatei und beenden Sie alle verbleibenden Prozesse.

    # Beenden Sie alle verbleibenden Syncro-Prozesse
Get-Process -Name "Syncro" -ErrorAction SilentlyContinue | Stop-Process -Force

# Löschen Sie die temporäre Kopie
Remove-Item -Path "$env:TEMPSyncro.exe" -Force -ErrorAction SilentlyContinue

Write-Host "[*] Bereinigung abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten