Dalle Esche Fiscali all’Abuso di NinjaOne RMM
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Una campagna di phishing attiva sta prendendo di mira organizzazioni brasiliane imitando processi aziendali comuni come la documentazione fiscale e la gestione dei reclami. Anziché utilizzare malware convenzionali, gli attaccanti distribuiscono un agente legittimo di NinjaOne Remote Monitoring and Management (RMM) configurato per l’accesso controllato dagli avversari. Facendo affidamento sul software aziendale di fiducia, l’operazione riesce a bypassare molte difese tradizionali basate su malware.
Indagine
I ricercatori di Cato CTRL hanno scoperto la campagna attraverso l’analisi di pagine di phishing in lingua portoghese e una catena di reindirizzamenti che sfruttava l’infrastruttura ospitata da Google. La loro indagine ha rivelato diverse misure anti-analisi, tra cui geofencing focalizzato sul Brasile, fingerprinting del browser e logiche di rilevamento sandbox. Un pivot basato su un’immagine di sfondo a tema terrestre riutilizzata ha anche aiutato a collegare l’attività a ulteriori domini controllati dagli attaccanti.
Mitigazione
Le organizzazioni dovrebbero imporre controlli rigorosi sull’installazione di strumenti Remote Monitoring and Management non autorizzati. I team di sicurezza dovrebbero migliorare il monitoraggio per il deployment imprevisto del software e verificare attentamente le richieste legate a documenti fiscali o altri documenti aziendali. Bloccare i domini noti come malevoli e potenziare la sicurezza delle email per rilevare le catene di reindirizzamento del phishing può ridurre ulteriormente l’esposizione.
Risposta
Se viene rilevata questa attività, i team di sicurezza dovrebbero isolare immediatamente gli endpoint interessati per interrompere ulteriori accessi tramite l’agente RMM. Gli investigatori dovrebbero determinare come è stata avviata l’installazione di NinjaOne e rivedere i log di audit per azioni amministrative non autorizzate. Potrebbe essere necessaria anche la coordinazione con i fornitori di gestione degli endpoint per identificare e disabilitare i profili di gestione compromessi.
Flusso di Attacco
Esecuzione della Simulazione
Prerequisito: Il Controllo Pre-volo della Telemetria e dello Stato di Base deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrativa dell’attacco e Comandi: Un avversario sta conducendo una campagna di spearphishing mirata contro utenti brasiliani. L’attaccante invia un’email con il soggetto “Documento Fiscal” contenente un link a un sito malevolo ospitato su
sefaz.services. Il link reindirizza attraverso ungoogleusercontent.comURL per fornire infine un payload dell’agente NinjaOne RMM. Questa simulazione inserirà un’entrata di log sintetica nel flusso del proxy che imita questa specifica sequenza per validare la regola Sigma. -
Script di Test di Regressione:
# Script Python per simulare l'iniezione di un'entrata di log proxy malevola import datetime def generate_malicious_log(): timestamp = datetime.datetime.utcnow().isoformat() # Imitando la logica 'selection_domains' e 'selection_url' log_entry = { "timestamp": timestamp, "src_ip": "192.168.1.50", "dest_ip": "104.21.45.12", "url": "https://storage.googleapis.com/googleusercontent.com/payloads/malware.exe", "domain": "sefaz.services", "subject": "Documento Fiscal - Urgente", "user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)" } print(f"INIEZIONI DI LOG PROXY SINTETICO: {log_entry}") # In uno scenario reale, questo verrebbe inviato a un endpoint syslog o ingurgitato via API return log_entry if __name__ == "__main__": generate_malicious_log() -
Comandi di Pulizia:
# Nessuna modifica persistente viene effettuata al sistema; # Se i log sono stati inviati a un SIEM in diretta, cancellare l'entrata di test specifica via SIEM API. echo "Simulazione completata. Nessuna pulizia host richiesta."