SOC Prime Bias: Critico

13 Gen 2026 17:22
newspaper icon ASEC

Malware Mascherato come File Video Utilizzando Strumenti RMM (Syncro, SuperOps, NinjaOne, ecc)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Malware Mascherato come File Video Utilizzando Strumenti RMM (Syncro, SuperOps, NinjaOne, ecc)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Sommario

Gli attori delle minacce stanno utilizzando inviti PDF dannosi per indirizzare gli utenti verso pagine contraffatte di Google Drive che pubblicizzano download di “video”. Invece di file multimediali, i siti distribuiscono installatori RMM firmati, inclusi strumenti come Syncro, ScreenConnect, NinjaOne e SuperOps, che forniscono agli attaccanti un accesso remoto affidabile e una persistenza sugli endpoint compromessi.

Indagine

AhnLab ha osservato attività di phishing basata su PDF che sfruttava nomi file come Invoice_Details.PDF e reindirizzava le vittime verso domini come adobe-download-pdf.com o un portale drivegoogle.com simile. Gli installatori RMM consegnati erano firmati con un certificato riutilizzato e includevano parametri di installazione (ad esempio, una chiave e un ID cliente) coerenti con distribuzioni pianificate o automatizzate. Gli installatori sono stati realizzati utilizzando framework di packaging comuni come Advanced Installer o NSIS e, in alcuni casi, agivano come bootstrapper per recuperare payload aggiuntivi dopo l’esecuzione.

Mitigazione

Limitare o bloccare l’esecuzione di strumenti RMM non autorizzati, inclusi i binari che non sono firmati o firmati in modo sospetto, e applicare controlli più rigorosi per l’installazione di software di accesso remoto. Applicare ispezioni rigorose degli allegati email per rilevare inviti PDF e comportamenti di reindirizzamento sospetti, e bloccare i domini dannosi noti ai livelli del gateway e del proxy. Verificare i certificati di firma del codice e i dettagli dell’editore prima di consentire l’installazione, mantenere aggiornati i prodotti RMM approvati e restringere il loro uso ad amministratori esplicitamente autorizzati.

Risposta

Emettere un avviso quando gli installatori RMM vengono eseguiti da fonti inaffidabili e quando gli endpoint accedono ai nomi file, URL, o schemi di reindirizzamento identificati. Isolare gli host colpiti, raccogliere artefatti dell’installatore e telemetria di esecuzione, ed eseguire una triage forense per identificare eventuali payload secondari scaricati post-installazione. Rimuovere l’agente RMM canaglia, reimpostare le credenziali potenzialmente esposte ed espandere la ricerca per tentativi di distribuzione RMM correlati in tutto l’ambiente.

graph TB %% Definizione delle classi classDef action fill:#99ccff classDef file fill:#ffdd99 classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#dddddd %% Definizione dei nodi attack_phishing[“<b>Azione</b> – <b>T1566.001 Allegato di spearphishing</b><br/>La vittima riceve un’email con un allegato PDF malevolo”] class attack_phishing action file_pdf[“<b>File</b> – <b>T1204.002 Esecuzione da parte dell’utente</b><br/>La vittima apre il PDF malevolo”] class file_pdf file page_masquerade[“<b>Azione</b> – <b>T1036.008 Camuffamento (Masquerading)</b><br/>Il PDF reindirizza a una pagina Google Drive contraffatta”] class page_masquerade action installer_signed[“<b>File</b> – <b>T1553.002 Sovversione dei controlli di fiducia</b><br/>Installer firmato con un certificato dall’aspetto legittimo”] class installer_signed file exe_masquerade[“<b>File</b> – <b>T1036.001 Camuffamento</b><br/>L’installer si presenta come un eseguibile valido”] class exe_masquerade file nsis_payload[“<b>Malware</b> – <b>T1027.009 Payload incorporati</b><br/>Il pacchetto NSIS incorpora componenti malevoli aggiuntivi”] class nsis_payload malware rmm_tool[“<b>Strumento</b> – <b>T1219 Software di accesso remoto</b><br/>Vengono installati Syncro / NinjaOne / SuperOps / ScreenConnect”] class rmm_tool tool remote_desktop[“<b>Processo</b> – <b>T1219.002 Desktop remoto</b><br/>Fornisce capacità di accesso remoto all’attaccante”] class remote_desktop process %% Connessioni del flusso di attacco attack_phishing –>|consegna| file_pdf file_pdf –>|apre ed esegue| page_masquerade page_masquerade –>|offre il download di| installer_signed installer_signed –>|si maschera come| exe_masquerade exe_masquerade –>|contiene| nsis_payload nsis_payload –>|installa| rmm_tool rmm_tool –>|abilita| remote_desktop

Flusso di Attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo di Telemetria & Baseline Pre‑flight deve essere passato.

Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narrazione Attacco e Comandi:

    1. Consegnamento Phishing: L’avversario invia una email di spear-phishing con un PDF malevolo intitolato “Invoice #12345.pdf”. Il PDF contiene un payload di JavaScript dannoso che, una volta aperto, rilascia Syncro.exe in %TEMP%.

    2. Esecuzione: Il payload esegue un comando PowerShell per bypassare la policy di esecuzione e lanciare il binario:

      powershell -NoP -W Hidden -Exec Bypass -Command "Start-Process -FilePath "$env:TEMPSyncro.exe" -ArgumentList '/silent'"

    3. Telemetria Risultante: Windows registra un Event ID 4688 con Image = C:Users<user>AppDataLocalTempSyncro.exe, corrispondente alla regola Sigma Image|endswith: 'Syncro.exe'. L’allerta viene generata con Alta gravità.

  • Script di Test di Regressione: Il seguente script riproduce esattamente il comportamento in un ambiente di laboratorio controllato. Copia un binario RMM noto (per scopi di test) nella directory temporanea ed esegue il tutto con una flag benigna, assicurando che lo stesso evento di creazione del processo venga emesso.

    # -------------------------------------------------
# Simulation Script – Trigger RMM‑Tool Process Rule
# -------------------------------------------------
# Prerequisites:
#   - A copy of Syncro.exe placed in C:Tools (legitimate binary for testing)
#   - Administrative rights to write to %TEMP%
# -------------------------------------------------

$src  = "C:ToolsSyncro.exe"
$dest = "$env:TEMPSyncro.exe"

Write-Host "[*] Copying RMM binary to temporary location..."
Copy-Item -Path $src -Destination $dest -Force

Write-Host "[*] Executing the binary to generate process‑creation telemetry..."
Start-Process -FilePath $dest -ArgumentList '/silent' -WindowStyle Hidden

Write-Host "[+] Execution complete. Verify detection in SIEM."
# -------------------------------------------------

  • Comandi di Pulizia: Rimuovere il binario di test e terminare i processi rimanenti.

    # Terminate any stray Syncro processes
Get-Process -Name "Syncro" -ErrorAction SilentlyContinue | Stop-Process -Force

# Delete the temporary copy
Remove-Item -Path "$env:TEMPSyncro.exe" -Force -ErrorAction SilentlyContinue

Write-Host "[*] Cleanup completed."

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis