Von finanziellen Ködern zum Missbrauch von NinjaOne RMM
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine aktive Phishing-Kampagne zielt auf brasilianische Organisationen ab, indem sie gängige Geschäftsprozesse wie die Bearbeitung von Steuerdokumenten und Beschwerden nachahmt. Statt herkömmliche Malware einzusetzen, liefern die Angreifer einen legitimen NinjaOne Remote Monitoring and Management (RMM) Agenten, der für den Angreifer-kontrollierten Zugriff konfiguriert ist. Durch den Einsatz vertrauenswürdiger Unternehmenssoftware kann die Operation viele traditionelle malware-basierte Abwehrmechanismen umgehen.
Untersuchung
Forscher von Cato CTRL entdeckten die Kampagne durch die Analyse von Phishing-Seiten in portugiesischer Sprache und einer Umleitungskette, die Google-gehostete Infrastruktur nutzte. Ihre Untersuchung deckte mehrere Anti-Analyse-Maßnahmen auf, darunter geographisches Abgrenzung, Browser-Fingerprinting und Sandbox-Detektionslogik, die sich auf Brasilien konzentrieren. Eine Pivot-Bautechnik, die auf einem wiederverwendeten, erdthemenbasierten Hintergrundbild basierte, half ebenfalls, die Aktivität mit weiteren von Angreifern kontrollierten Domains zu verknüpfen.
Eindämmung
Organisationen sollten strenge Kontrollen bezüglich der Installation nicht autorisierter Remote Monitoring und Management-Tools durchsetzen. Sicherheitsteams sollten die Überwachung unerwarteter Softwarebereitstellungen verbessern und Anfragen im Zusammenhang mit Steuerunterlagen oder anderen geschäftsbezogenen Dokumenten sorgfältig überprüfen. Das Blockieren der bekannten bösartigen Domains und die Stärkung der E-Mail-Sicherheit zur Erkennung von Phishing-Umleitungsketten können die Exposition weiter reduzieren.
Reaktion
Wenn diese Aktivität erkannt wird, sollten Sicherheitsteams die betroffenen Endpunkte sofort isolieren, um weiteren Zugriff über den RMM-Agenten zu stoppen. Ermittler sollten herausfinden, wie die Installation von NinjaOne initiiert wurde, und Prüfungsprotokolle auf nicht autorisierte administrative Aktionen überprüfen. Eine Zusammenarbeit mit Anbietern von Endpunktverwaltungsdiensten kann ebenfalls erforderlich sein, um kompromittierte Verwaltungsprofile zu identifizieren und zu deaktivieren.
Angriffsablauf
Simulationsdurchführung
Voraussetzung: Der Telemetrie- und Baseline-Pre-Flight-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Durchführung der gegnerischen Technik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und das Narrativ MÜSSEN direkt die identifizierten TTPs widerspiegeln und zielen darauf ab, die genau erwartete Telemetrie durch die Erkennungslogik zu erzeugen. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffsnarrativ & Befehle: Ein Angreifer führt eine gezielte Spearphishing-Kampagne gegen brasilianische Nutzer durch. Der Angreifer sendet eine E-Mail mit dem Betreff „Documento Fiscal“ mit einem Link zu einer bösartigen Seite, die auf
sefaz.servicesgehostet wird. Der Link leitet über einegoogleusercontent.comURL weiter, um letztendlich eine NinjaOne RMM-Agenten-Nutzlast zu liefern. Diese Simulation wird einen synthetischen Logeintrag in den Proxy-Stream einspeisen, der diese spezifische Abfolge nachahmt, um die Sigma-Regel zu validieren. -
Regressionstest-Skript:
# Python-Skript zur Simulation der Injektion eines bösartigen Proxy-Logeintrags import datetime def generate_malicious_log(): timestamp = datetime.datetime.utcnow().isoformat() # Nachahmung der 'selection_domains'- und 'selection_url'-Logik log_entry = { "timestamp": timestamp, "src_ip": "192.168.1.50", "dest_ip": "104.21.45.12", "url": "https://storage.googleapis.com/googleusercontent.com/payloads/malware.exe", "domain": "sefaz.services", "subject": "Documento Fiscal - Urgente", "user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)" } print(f"INJEKTION DES SYNTHETISCHEN PROXY-LOGS: {log_entry}") # In einem realen Szenario würde dies an einen Syslog-Endpunkt gesendet oder über API aufgenommen return log_entry if __name__ == "__main__": generate_malicious_log() -
Bereinigungskommandos:
# Keine dauerhaften Änderungen werden am System vorgenommen; # Wenn die Logs an ein Live-SIEM gesendet wurden, lösche den spezifischen Testeintrag über die SIEM-API. echo "Simulation abgeschlossen. Keine Bereinigung am Host erforderlich."