SOC Prime Bias: Élevé

15 Jun 2026 15:51 UTC

Des Appâts Fiscaux à l’Abus de NinjaOne RMM

Author Photo
SOC Prime Team linkedin icon Suivre
Des Appâts Fiscaux à l’Abus de NinjaOne RMM
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Une campagne de phishing active cible les organisations brésiliennes en imitant des processus commerciaux courants tels que la documentation fiscale et la gestion des plaintes. Plutôt que de déployer des logiciels malveillants conventionnels, les attaquants livrent un agent légitime de gestion et de surveillance à distance (RMM) NinjaOne configuré pour l’accès contrôlé par l’adversaire. En s’appuyant sur des logiciels d’entreprise de confiance, l’opération parvient à contourner de nombreuses défenses traditionnelles basées sur les logiciels malveillants.

Enquête

Les chercheurs de Cato CTRL ont découvert la campagne par l’analyse de pages de phishing en langue portugaise et d’une chaîne de redirection utilisant une infrastructure hébergée par Google. Leur enquête a révélé plusieurs mesures anti-analyse, notamment le géofencing orienté vers le Brésil, le fingerprinting du navigateur et la logique de détection de sandbox. Un pivot basé sur une image de fond avec un thème terrestre réutilisé a également aidé à lier l’activité à d’autres domaines contrôlés par les attaquants.

Atténuation

Les organisations doivent appliquer des contrôles stricts autour de l’installation d’outils de gestion et de surveillance à distance non autorisés. Les équipes de sécurité doivent améliorer la surveillance des déploiements logiciels inattendus et vérifier attentivement les demandes liées aux dossiers fiscaux ou à d’autres documents liés aux affaires. Bloquer les domaines malveillants connus et renforcer la sécurité des emails pour détecter les chaînes de redirection de phishing peut réduire encore l’exposition.

Réponse

Si cette activité est détectée, les équipes de sécurité doivent isoler immédiatement les points d’extrémité affectés pour stopper l’accès supplémentaire via l’agent RMM. Les enquêteurs doivent déterminer comment l’installation de NinjaOne a été initiée et examiner les journaux d’audit pour des actions administratives non autorisées. Une coordination avec les fournisseurs de gestion des points d’extrémité peut également être nécessaire pour identifier et désactiver les profils de gestion compromis.

Flux d’Attaque

Exécution de Simulation

Prérequis : La vérification préalable de Télémétrie & de Référence doit avoir réussi.

Rationnel : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT directement refléter les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés conduiront à une mauvaise interprétation.

  • Narratif d’Attaque & Commandes : Un adversaire mène une campagne de spearphishing ciblée contre des utilisateurs brésiliens. L’attaquant envoie un email avec le sujet « Documento Fiscal » contenant un lien vers un site malveillant hébergé sur sefaz.services. Le lien redirige à travers un googleusercontent.com URL pour finalement livrer une charge utile de l’agent RMM NinjaOne. Cette simulation injectera une entrée de journal synthétique dans le flux de proxy qui imite cette séquence spécifique afin de valider la règle Sigma.

  • Script de Test de Régression :

    # Script Python pour simuler l'injection d'une entrée de journal proxy malveillante
    import datetime
    
    def generate_malicious_log():
        timestamp = datetime.datetime.utcnow().isoformat()
        # Imitation de la logique 'selection_domains' et 'selection_url'
        log_entry = {
            "timestamp": timestamp,
            "src_ip": "192.168.1.50",
            "dest_ip": "104.21.45.12",
            "url": "https://storage.googleapis.com/googleusercontent.com/payloads/malware.exe",
            "domain": "sefaz.services",
            "subject": "Documento Fiscal - Urgente",
            "user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)"
        }
    
        print(f"INJECTING SYNTHETIC PROXY LOG: {log_entry}")
        # Dans un scénario réel, cela serait envoyé à un point de terminaison syslog ou ingéré via API
        return log_entry
    
    if __name__ == "__main__":
        generate_malicious_log()
  • Commandes de Nettoyage :

    # Aucune modification persistante n'est apportée au système; 
    # Si les journaux ont été envoyés à un SIEM en direct, supprimez l'entrée de test spécifique via l'API SIEM.
    echo "Simulation complète. Aucun nettoyage de l'hôte requis."