SOC Prime Bias: Hoch

15 Jun 2026 15:51 UTC

Von finanziellen Ködern zum Missbrauch von NinjaOne RMM

Author Photo
SOC Prime Team linkedin icon Folgen
Von finanziellen Ködern zum Missbrauch von NinjaOne RMM
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Eine aktive Phishing-Kampagne zielt auf brasilianische Organisationen ab, indem sie gängige Geschäftsprozesse wie die Bearbeitung von Steuerdokumenten und Beschwerden nachahmt. Statt herkömmliche Malware einzusetzen, liefern die Angreifer einen legitimen NinjaOne Remote Monitoring and Management (RMM) Agenten, der für den Angreifer-kontrollierten Zugriff konfiguriert ist. Durch den Einsatz vertrauenswürdiger Unternehmenssoftware kann die Operation viele traditionelle malware-basierte Abwehrmechanismen umgehen.

Untersuchung

Forscher von Cato CTRL entdeckten die Kampagne durch die Analyse von Phishing-Seiten in portugiesischer Sprache und einer Umleitungskette, die Google-gehostete Infrastruktur nutzte. Ihre Untersuchung deckte mehrere Anti-Analyse-Maßnahmen auf, darunter geographisches Abgrenzung, Browser-Fingerprinting und Sandbox-Detektionslogik, die sich auf Brasilien konzentrieren. Eine Pivot-Bautechnik, die auf einem wiederverwendeten, erdthemenbasierten Hintergrundbild basierte, half ebenfalls, die Aktivität mit weiteren von Angreifern kontrollierten Domains zu verknüpfen.

Eindämmung

Organisationen sollten strenge Kontrollen bezüglich der Installation nicht autorisierter Remote Monitoring und Management-Tools durchsetzen. Sicherheitsteams sollten die Überwachung unerwarteter Softwarebereitstellungen verbessern und Anfragen im Zusammenhang mit Steuerunterlagen oder anderen geschäftsbezogenen Dokumenten sorgfältig überprüfen. Das Blockieren der bekannten bösartigen Domains und die Stärkung der E-Mail-Sicherheit zur Erkennung von Phishing-Umleitungsketten können die Exposition weiter reduzieren.

Reaktion

Wenn diese Aktivität erkannt wird, sollten Sicherheitsteams die betroffenen Endpunkte sofort isolieren, um weiteren Zugriff über den RMM-Agenten zu stoppen. Ermittler sollten herausfinden, wie die Installation von NinjaOne initiiert wurde, und Prüfungsprotokolle auf nicht autorisierte administrative Aktionen überprüfen. Eine Zusammenarbeit mit Anbietern von Endpunktverwaltungsdiensten kann ebenfalls erforderlich sein, um kompromittierte Verwaltungsprofile zu identifizieren und zu deaktivieren.

Angriffsablauf

Simulationsdurchführung

Voraussetzung: Der Telemetrie- und Baseline-Pre-Flight-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Durchführung der gegnerischen Technik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und das Narrativ MÜSSEN direkt die identifizierten TTPs widerspiegeln und zielen darauf ab, die genau erwartete Telemetrie durch die Erkennungslogik zu erzeugen. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffsnarrativ & Befehle: Ein Angreifer führt eine gezielte Spearphishing-Kampagne gegen brasilianische Nutzer durch. Der Angreifer sendet eine E-Mail mit dem Betreff „Documento Fiscal“ mit einem Link zu einer bösartigen Seite, die auf sefaz.servicesgehostet wird. Der Link leitet über eine googleusercontent.com URL weiter, um letztendlich eine NinjaOne RMM-Agenten-Nutzlast zu liefern. Diese Simulation wird einen synthetischen Logeintrag in den Proxy-Stream einspeisen, der diese spezifische Abfolge nachahmt, um die Sigma-Regel zu validieren.

  • Regressionstest-Skript:

    # Python-Skript zur Simulation der Injektion eines bösartigen Proxy-Logeintrags
    import datetime
    
    def generate_malicious_log():
        timestamp = datetime.datetime.utcnow().isoformat()
        # Nachahmung der 'selection_domains'- und 'selection_url'-Logik
        log_entry = {
            "timestamp": timestamp,
            "src_ip": "192.168.1.50",
            "dest_ip": "104.21.45.12",
            "url": "https://storage.googleapis.com/googleusercontent.com/payloads/malware.exe",
            "domain": "sefaz.services",
            "subject": "Documento Fiscal - Urgente",
            "user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)"
        }
    
        print(f"INJEKTION DES SYNTHETISCHEN PROXY-LOGS: {log_entry}")
        # In einem realen Szenario würde dies an einen Syslog-Endpunkt gesendet oder über API aufgenommen
        return log_entry
    
    if __name__ == "__main__":
        generate_malicious_log()
  • Bereinigungskommandos:

    # Keine dauerhaften Änderungen werden am System vorgenommen;
    # Wenn die Logs an ein Live-SIEM gesendet wurden, lösche den spezifischen Testeintrag über die SIEM-API.
    echo "Simulation abgeschlossen. Keine Bereinigung am Host erforderlich."