Suivre
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Des acteurs menaçants utilisent des leurres PDF malveillants pour diriger les utilisateurs vers des pages contrefaites de Google Drive qui annoncent des téléchargements de “vidéo”. Au lieu de fichiers multimédias, les sites livrent des installateurs RMM signés, y compris des outils tels que Syncro, ScreenConnect, NinjaOne et SuperOps, qui fournissent aux attaquants un accès à distance fiable et une persistance sur les endpoints compromis.
Enquête
AhnLab a observé une activité de phishing basée sur des PDF utilisant des noms de fichiers tels que Invoice_Details.PDF et redirigeant les victimes vers des domaines comme adobe-download-pdf.com ou un portail ressemblant à drivegoogle.com. Les installateurs RMM livrés étaient signés avec un certificat réutilisé et comprenaient des paramètres d’installation (par exemple, une clé et un ID client) compatibles avec des déploiements en étapes ou automatisés. Les installateurs ont été produits en utilisant des cadres de packaging courants tels que Advanced Installer ou NSIS et, dans certains cas, ont agi comme un bootstrapper pour récupérer des charges utiles supplémentaires après exécution.
Atténuation
Limiter ou bloquer l’exécution des outils RMM non autorisés, y compris les binaires non signés ou signés de manière inattendue, et appliquer des contrôles plus stricts pour l’installation de logiciels d’accès à distance. Appliquer une inspection stricte des pièces jointes des emails pour détecter les leurres PDF et le comportement suspect de redirection, et bloquer les domaines malveillants connus aux niveaux des passerelles et des proxys. Vérifier les certificats de signature de code et les détails de l’éditeur avant de permettre l’installation, maintenir les produits RMM approuvés à jour et restreindre leur utilisation aux administrateurs explicitement autorisés.
Réponse
Alerter lorsque des installateurs RMM s’exécutent à partir de sources non fiables et lorsque des endpoints accèdent aux noms de fichiers, URL ou modèles de redirection identifiés. Isoler les hôtes impactés, collecter les artefacts d’installation et la télémétrie d’exécution, et réaliser une évaluation judiciaire pour identifier les charges utiles secondaires téléchargées après l’installation. Retirer l’agent RMM malveillant, réinitialiser les identifiants potentiellement exposés et étendre la recherche pour les tentatives de déploiement RMM liées dans l’environnement.
« graph TB %% Class definitions classDef action fill:#99ccff classDef file fill:#ffdd99 classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#dddddd %% Node definitions attack_phishing[« <b>Action</b> – <b>T1566.001 Pièces jointes de l’hameçonnage ciblé</b><br/>La victime reçoit un email avec une pièce jointe PDF malveillante »] class attack_phishing action file_pdf[« <b>Fichier</b> – <b>T1204.002 Exécution utilisateur</b><br/>PDF malveillant ouvert par la victime »] class file_pdf file page_masquerade[« <b>Action</b> – <b>T1036.008 Déguisement</b><br/>Le PDF redirige vers une page contrefaite de Google Drive »] class page_masquerade action installer_signed[« <b>Fichier</b> – <b>T1553.002 Subvertir les contrôles de confiance</b><br/>Installateur signé avec un certificat ressemblant à un certificat légitime »] class installer_signed file exe_masquerade[« <b>Fichier</b> – <b>T1036.001 Déguisement</b><br/>L’installateur se déguise en un exécutable valide »] class exe_masquerade file nsis_payload[« <b>Malware</b> – <b>T1027.009 Charges utiles intégrées</b><br/>Le package NSIS intègre des composants malveillants supplémentaires »] class nsis_payload malware rmm_tool[« <b>Outil</b> – <b>T1219 Logiciel d’accès à distance</b><br/>Syncro / NinjaOne / SuperOps / ScreenConnect installé »] class rmm_tool tool remote_desktop[« <b>Processus</b> – <b>T1219.002 Bureau à distance</b><br/>Fournit des capacités de bureau à distance à l’attaquant »] class remote_desktop process %% Connections showing attack flow attack_phishing u002du002d>|delivers| file_pdf file_pdf u002du002d>|opens_and_triggers| page_masquerade page_masquerade u002du002d>|offers_download_of| installer_signed installer_signed u002du002d>|masquerades_as| exe_masquerade exe_masquerade u002du002d>|contains| nsis_payload nsis_payload u002du002d>|installs| rmm_tool rmm_tool u002du002d>|enables| remote_desktop «
Flux d’attaque
Détections
Tentative possible d’installation de logiciel RMM utilisant MsiInstaller (via les journaux d’application)
Voir
Logiciel alternatif d’accès/gestion à distance (via le système)
Voir
Logiciel alternatif d’accès/gestion à distance (via audit)
Voir
Logiciel alternatif d’accès/gestion à distance (via création de processus)
Voir
Activité possible de commande et contrôle par tentative de communication de domaine de logiciel d’accès à distance (via DNS)
Voir
IOCs (HashMd5) pour détecter: Malware déguisé en fichiers vidéo utilisant des outils RMM (Syncro, SuperOps, NinjaOne, etc.)
Voir
Utilisation malveillante des outils RMM via le phishing PDF [Création de processus Windows]
Voir
Exécution de simulation
Prérequis : La vérification préalable de la télémétrie et de la base doit avoir réussi.
Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer exactement la télémétrie attendue par la logique de détection. Les exemples abstraits ou non liés entraîneront un diagnostic erroné.
-
Narratif d’attaque & Commandes :
-
Livraison de phishing : L’adversaire envoie un email d’hameçonnage ciblé avec un PDF malveillant intitulé “Invoice #12345.pdf”. Le PDF contient une charge utile JavaScript malveillante qui, une fois ouverte, dépose
Syncro.exedans%TEMP%. -
Exécution : La charge utile exécute une commande PowerShell pour contourner la politique d’exécution et lancer le binaire :
powershell -NoP -W Hidden -Exec Bypass -Command "Start-Process -FilePath "$env:TEMPSyncro.exe" -ArgumentList '/silent'" -
Télémétrie résultante : Windows enregistre un Event ID 4688 avec
Image = C:Users<user>AppDataLocalTempSyncro.exe, correspondant à la règle SigmaImage|endswith: 'Syncro.exe'. L’alerte est générée avec une gravité Élevée .
-
-
Script de test de régression : Le script suivant reproduit exactement le comportement dans un environnement de laboratoire contrôlé. Il copie un binaire RMM connu (à des fins de test) vers le répertoire temporaire et l’exécute avec un indicateur bénin, garantissant que le même événement de création de processus est émis.
# ------------------------------------------------- # Script de simulation – Déclencher la règle de processus de l'outil RMM # ------------------------------------------------- # Prérequis : # - Une copie de Syncro.exe placée dans C:Tools (binaire légitime pour les tests) # - Droits administratifs pour écrire dans %TEMP% # ------------------------------------------------- $src = "C:ToolsSyncro.exe" $dest = "$env:TEMPSyncro.exe" Write-Host "[*] Copie du binaire RMM à l'emplacement temporaire..." Copy-Item -Path $src -Destination $dest -Force Write-Host "[*] Exécution du binaire pour générer la télémétrie de création de processus..." Start-Process -FilePath $dest -ArgumentList '/silent' -WindowStyle Hidden Write-Host "[+] Exécution terminée. Vérifiez la détection dans le SIEM." # ------------------------------------------------- -
Commandes de nettoyage : Supprimez le binaire de test et terminez tous les processus résiduels.
# Terminer tous les processus Syncro égarés Get-Process -Name "Syncro" -ErrorAction SilentlyContinue | Stop-Process -Force # Supprimer la copie temporaire Remove-Item -Path "$env:TEMPSyncro.exe" -Force -ErrorAction SilentlyContinue Write-Host "[*] Nettoyage terminé."