SOC Prime Bias: Kritisch

13 Jan 2026 14:22 UTC

Malware getarnt als Videodateien nutzt RMM-Tools (Syncro, SuperOps, NinjaOne, etc.)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Malware getarnt als Videodateien nutzt RMM-Tools (Syncro, SuperOps, NinjaOne, etc.)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Bedrohungsakteure verwenden bösartige PDF-Köder, um Benutzer auf gefälschte Google Drive-Seiten zu leiten, die „Video“-Downloads bewerben. Statt Mediendateien liefern die Seiten signierte RMM-Installationsprogramme, einschließlich Tools wie Syncro, ScreenConnect, NinjaOne und SuperOps, die Angreifern zuverlässigen Fernzugriff und Persistenz auf kompromittierten Endpunkten bieten.

Untersuchung

AhnLab beobachtete phishing-gestützte Aktivitäten mit PDF-Dateinamen wie Invoice_Details.PDF, die Opfer auf Domains wie adobe-download-pdf.com oder ein nachgeahmtes drivegoogle.com-Portal umleiteten. Die gelieferten RMM-Installationsprogramme waren mit einem wiederverwendeten Zertifikat signiert und enthielten Installationsparameter (z.B. einen Schlüssel und eine Kunden-ID), die mit gestaffelten oder automatisierten Bereitstellungen übereinstimmen. Die Installationsprogramme wurden mit gängigen Verpackungs-Frameworks wie Advanced Installer oder NSIS produziert und fungierten in einigen Fällen als Bootstrapper, um nach der Ausführung zusätzliche Nutzlasten abzurufen.

Abschwächung

Begrenzen oder blockieren Sie die Ausführung nicht autorisierter RMM-Werkzeuge, einschließlich Binärdateien, die nicht signiert oder unerwartet signiert sind, und erzwingen Sie stärkere Kontrollen für die Installation von Fernzugriffssoftware. Wenden Sie strenge E-Mail-Anhangsinspektionen an, um PDF-Köder und verdächtiges Umleitungsverhalten zu erkennen, und blockieren Sie bekannte bösartige Domains auf Gateway- und Proxy-Ebenen. Überprüfen Sie Code-Signatur-Zertifikate und Publisher-Details, bevor Sie die Installation zulassen, halten Sie genehmigte RMM-Produkte gepatcht, und beschränken Sie deren Verwendung auf explizit autorisierte Administratoren.

Reaktion

Alarmieren Sie, wenn RMM-Installationsprogramme aus unzuverlässigen Quellen ausgeführt werden und wenn Endpunkte auf die identifizierten Dateinamen, URLs oder Umleitungsmuster zugreifen. Isolieren Sie betroffene Hosts, sammeln Sie Installationsartefakte und Ausführungstelemetrie und führen Sie ein forensisches Triaging durch, um sekundäre Nutzlasten zu identifizieren, die nach der Installation heruntergeladen wurden. Entfernen Sie den schurkischen RMM-Agenten, setzen Sie möglicherweise exponierte Zugangsdaten zurück und erweitern Sie die Jagd nach verwandten RMM-Bereitstellungsversuchen in der Umgebung.

Angriffsfluss

Ausführung der Simulation

Voraussetzung: Der Telemetrie- & Base-Pre‑Flight-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), um die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue erwartete Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht im Zusammenhang stehende Beispiele führen zu Fehldiagnosen.

  • Angriffsablauf & Befehle:

    1. Phishing-Zustellung: Der Gegner sendet eine Spear‑Phishing-Email mit einem bösartigen PDF mit dem Titel „Invoice #12345.pdf“. Das PDF enthält eine bösartige JavaScript-Nutzlast, die beim Öffnen Syncro.exe in %TEMP%.

    2. Ausführung: Die Nutzlast führt einen PowerShell-Befehl aus, um die Ausführungsrichtlinie zu umgehen und die Binärdatei zu starten:

      powershell -NoP -W Hidden -Exec Bypass -Command "Start-Process -FilePath "$env:TEMPSyncro.exe" -ArgumentList '/silent'"
    3. Ergebnis-Telemetrie: Windows zeichnet ein Ereignis ID 4688 mit Bild = C:Users<user>AppDataLocalTempSyncro.exe, was mit der Sigma-Regel übereinstimmt Image|endswith: 'Syncro.exe'. Der Alarm wird mit Hoch Schweregrad generiert.

  • Regressionstest-Skript: Das folgende Skript reproduziert das genaue Verhalten in einer kontrollierten Laborumgebung. Es kopiert eine bekannte RMM-Binärdatei (zu Testzwecken) in das temporäre Verzeichnis und führt sie mit einem harmlosen Flag aus, um sicherzustellen, dass dasselbe Prozess-Erstellungsereignis ausgegeben wird.

    # -------------------------------------------------
    # Simulationsskript – Trigger RMM‑Tool-Prozessregel
    # -------------------------------------------------
    # Voraussetzungen:
    #   - Eine Kopie von Syncro.exe in C:Tools (legitime Binärdatei für Tests)
    #   - Administrationsrechte, um auf %TEMP% zu schreiben
    # -------------------------------------------------
    
    $src  = "C:ToolsSyncro.exe"
    $dest = "$env:TEMPSyncro.exe"
    
    Write-Host "[*] RMM-Binärdatei an temporären Speicherort kopieren..."
    Copy-Item -Path $src -Destination $dest -Force
    
    Write-Host "[*] Ausführung der Binärdatei zum Generieren von Prozess-Erstellungstelemetrie..."
    Start-Process -FilePath $dest -ArgumentList '/silent' -WindowStyle Hidden
    
    Write-Host "[+] Ausführung abgeschlossen. Überprüfung der Erkennung im SIEM."
    # -------------------------------------------------
  • Aufräumbefehle: Entfernen Sie die Test-Binärdatei und beenden Sie alle verbleibenden Prozesse.

    # Beenden Sie alle verbleibenden Syncro-Prozesse
    Get-Process -Name "Syncro" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Löschen Sie die temporäre Kopie
    Remove-Item -Path "$env:TEMPSyncro.exe" -Force -ErrorAction SilentlyContinue
    
    Write-Host "[*] Bereinigung abgeschlossen."