SOC Prime Bias: Alto

15 Jun 2026 15:51 UTC
newspaper icon Cato Networks

De Iscas Fiscais ao Abuso do NinjaOne RMM

Author Photo
SOC Prime Team linkedin icon Seguir
De Iscas Fiscais ao Abuso do NinjaOne RMM
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

Uma campanha de phishing ativa está direcionada a organizações brasileiras ao imitar processos de negócios comuns, como documentação fiscal e tratamento de reclamações. Em vez de implantar malware convencional, os atacantes entregam um agente legítimo de Monitoramento Remoto e Gerenciamento (RMM) NinjaOne configurado para acesso controlado por adversários. Ao confiar em software empresarial confiável, a operação consegue evitar muitas defesas tradicionais baseadas em malware.

Investigação

Pesquisadores da Cato CTRL descobriram a campanha por meio da análise de páginas de phishing em língua portuguesa e de uma cadeia de redirecionamento que utilizava infraestrutura hospedada no Google. Sua investigação expôs várias medidas de anti-análise, incluindo geofencing focado no Brasil, identificação de impressões digitais do navegador e lógica de detecção de sandbox. Um pivô baseado em uma imagem de papel de parede com tema da Terra reutilizada também ajudou a vincular a atividade a domínios adicionais controlados por atacantes.

Mitigação

As organizações devem impor controles rigorosos em torno da instalação de ferramentas não autorizadas de Monitoramento Remoto e Gerenciamento. As equipes de segurança devem melhorar o monitoramento para implantação inesperada de software e verificar cuidadosamente as solicitações vinculadas a registros fiscais ou outros documentos relacionados a negócios. Bloquear os domínios maliciosos conhecidos e fortalecer a segurança de e-mail para detectar cadeias de redirecionamento de phishing pode diminuir ainda mais a exposição.

Resposta

Se essa atividade for detectada, as equipes de segurança devem isolar imediatamente os endpoints afetados para impedir mais acesso através do agente RMM. Os investigadores devem determinar como a instalação do NinjaOne foi iniciada e revisar os logs de auditoria para ações administrativas não autorizadas. A coordenação com fornecedores de gerenciamento de endpoints também pode ser necessária para identificar e desativar perfis de gerenciamento comprometidos.

graph TB %% Seção de definição das classes classDef action fill:#99ccff classDef evasion fill:#ff99cc classDef tool fill:#cccccc classDef execution fill:#ccffcc classDef operator fill:#ff9900 %% Definição dos nós %% Fase de acesso inicial action_phishing[“<b>Ação</b> – <b>T1566.002 Phishing: Link de Spearphishing</b><br/>O atacante envia e-mails contendo links<br/>ocultos atrás de uma cadeia de redirecionamento<br/>por meio de bc.googleusercontent.com.”] class action_phishing action %% Fase de evasão e controles de execução evasion_geofencing[“<b>Ação</b> – <b>T1665 Ocultar Infraestrutura</b><br/>Uso de geofencing para restringir a entrega<br/>da carga útil a intervalos específicos<br/>de endereços IP brasileiros.”] class evasion_geofencing evasion evasion_keying[“<b>Ação</b> – <b>T1480.001 Controles de Execução: Chave Ambiental</b><br/>A infraestrutura utiliza verificação ambiental<br/>para garantir que a execução ocorra<br/>somente nos sistemas-alvo.”] class evasion_keying evasion evasion_browser[“<b>Ação</b> – <b>T1217 Descoberta de Informações do Navegador</b><br/>O portal de phishing coleta informações<br/>do navegador para facilitar a evasão.”] class evasion_browser evasion evasion_sandbox[“<b>Ação</b> – <b>T1497.002 Evasão de Virtualização/Sandbox: Verificações Baseadas em Atividade do Usuário</b><br/>Verifica frameworks de automação como<br/>Selenium ou Puppeteer e valida a presença<br/>humana por meio do movimento do mouse.”] class evasion_sandbox evasion op_check((“AND”)) class op_check operator %% Fase de execução op_validation((“AND”)) class op_validation operator action_user_exec[“<b>Ação</b> – <b>T1204.002 Execução pelo Usuário: Arquivo Malicioso</b><br/>A vítima é manipulada por engenharia social<br/>para baixar um arquivo que aparenta ser<br/>um documento comercial.”] class action_user_exec execution tool_rmm_installer[“<b>Ferramenta</b> – <b>Nome</b>: Instalador NinjaOne RMM<br/><b>Descrição</b>: Um instalador legítimo de agente RMM<br/>(por exemplo, NinjaOne-Agent-DocumentoFiscal),<br/>usado para mascarar a intenção maliciosa.”] class tool_rmm_installer tool %% Fase de persistência e controle action_software_ext[“<b>Ação</b> – <b>T1176 Extensões de Software</b><br/>Instalação do agente RMM para<br/>ampliar as capacidades do sistema.”] class action_software_ext execution tool_remote_access[“<b>Ferramenta</b> – <b>T1219 Ferramentas de Acesso Remoto</b><br/>Uso do agente RMM instalado para<br/>manter controle remoto persistente,<br/>realizar reconhecimento e executar comandos.”] class tool_remote_access tool %% Conexões %% Fluxo inicial action_phishing –>|leva_a| evasion_geofencing evasion_geofencing –>|leva_a| evasion_keying evasion_keying –>|leva_a| op_check %% Ramo lógico de evasão op_check –>|verifica| evasion_browser op_check –>|verifica| evasion_sandbox evasion_browser –>|leva_a| op_validation evasion_sandbox –>|leva_a| op_validation %% Fluxo de execução op_validation –>|se_legítimo| action_user_exec action_user_exec –>|baixa| tool_rmm_installer tool_rmm_installer –>|facilita| action_software_ext action_software_ext –>|habilita| tool_remote_access

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação Preliminar de Telemetria & Linha de Base deve ter sido aprovada.

Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa do Ataque & Comandos: Um adversário está conduzindo uma campanha de spearphishing direcionada contra usuários brasileiros. O atacante envia um e-mail com o assunto “Documento Fiscal” contendo um link para um site malicioso hospedado em sefaz.services. O link redireciona através de um googleusercontent.com URL para entregar, finalmente, um payload do agente RMM NinjaOne. Esta simulação irá injetar uma entrada de log sintética na corrente de proxy que imita esta sequência específica para validar a regra Sigma.

  • Script de Teste de Regressão:

    # Script Python para simular a injeção de uma entrada de log de proxy maliciosa
import datetime

def generate_malicious_log():
    timestamp = datetime.datetime.utcnow().isoformat()
    # Mimicando a lógica 'selection_domains' e 'selection_url'
    log_entry = {
        "timestamp": timestamp,
        "src_ip": "192.168.1.50",
        "dest_ip": "104.21.45.12",
        "url": "https://storage.googleapis.com/googleusercontent.com/payloads/malware.exe",
        "domain": "sefaz.services",
        "subject": "Documento Fiscal - Urgente",
        "user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)"
    }

    print(f"INJETANDO LOG DE PROXY SINTÉTICO: {log_entry}")
    # Em um cenário real, isso seria enviado para um endpoint syslog ou ingerido via API
    return log_entry

if __name__ == "__main__":
    generate_malicious_log()

  • Comandos de Limpeza:

    # Nenhuma alteração persistente é feita no sistema; 
# Se os logs foram enviados para um SIEM ativo, exclua a entrada de teste específica via API do SIEM.
echo "Simulação completa. Nenhuma limpeza de host necessária."

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente