SOC Prime Bias: Alto

15 Jun 2026 15:51 UTC

Dalle Esche Fiscali all’Abuso di NinjaOne RMM

Author Photo
SOC Prime Team linkedin icon Segui
Dalle Esche Fiscali all’Abuso di NinjaOne RMM
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

Una campagna di phishing attiva sta prendendo di mira organizzazioni brasiliane imitando processi aziendali comuni come la documentazione fiscale e la gestione dei reclami. Anziché utilizzare malware convenzionali, gli attaccanti distribuiscono un agente legittimo di NinjaOne Remote Monitoring and Management (RMM) configurato per l’accesso controllato dagli avversari. Facendo affidamento sul software aziendale di fiducia, l’operazione riesce a bypassare molte difese tradizionali basate su malware.

Indagine

I ricercatori di Cato CTRL hanno scoperto la campagna attraverso l’analisi di pagine di phishing in lingua portoghese e una catena di reindirizzamenti che sfruttava l’infrastruttura ospitata da Google. La loro indagine ha rivelato diverse misure anti-analisi, tra cui geofencing focalizzato sul Brasile, fingerprinting del browser e logiche di rilevamento sandbox. Un pivot basato su un’immagine di sfondo a tema terrestre riutilizzata ha anche aiutato a collegare l’attività a ulteriori domini controllati dagli attaccanti.

Mitigazione

Le organizzazioni dovrebbero imporre controlli rigorosi sull’installazione di strumenti Remote Monitoring and Management non autorizzati. I team di sicurezza dovrebbero migliorare il monitoraggio per il deployment imprevisto del software e verificare attentamente le richieste legate a documenti fiscali o altri documenti aziendali. Bloccare i domini noti come malevoli e potenziare la sicurezza delle email per rilevare le catene di reindirizzamento del phishing può ridurre ulteriormente l’esposizione.

Risposta

Se viene rilevata questa attività, i team di sicurezza dovrebbero isolare immediatamente gli endpoint interessati per interrompere ulteriori accessi tramite l’agente RMM. Gli investigatori dovrebbero determinare come è stata avviata l’installazione di NinjaOne e rivedere i log di audit per azioni amministrative non autorizzate. Potrebbe essere necessaria anche la coordinazione con i fornitori di gestione degli endpoint per identificare e disabilitare i profili di gestione compromessi.

Flusso di Attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo Pre-volo della Telemetria e dello Stato di Base deve essere superato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

  • Narrativa dell’attacco e Comandi: Un avversario sta conducendo una campagna di spearphishing mirata contro utenti brasiliani. L’attaccante invia un’email con il soggetto “Documento Fiscal” contenente un link a un sito malevolo ospitato su sefaz.services. Il link reindirizza attraverso un googleusercontent.com URL per fornire infine un payload dell’agente NinjaOne RMM. Questa simulazione inserirà un’entrata di log sintetica nel flusso del proxy che imita questa specifica sequenza per validare la regola Sigma.

  • Script di Test di Regressione:

    # Script Python per simulare l'iniezione di un'entrata di log proxy malevola
    import datetime
    
    def generate_malicious_log():
        timestamp = datetime.datetime.utcnow().isoformat()
        # Imitando la logica 'selection_domains' e 'selection_url'
        log_entry = {
            "timestamp": timestamp,
            "src_ip": "192.168.1.50",
            "dest_ip": "104.21.45.12",
            "url": "https://storage.googleapis.com/googleusercontent.com/payloads/malware.exe",
            "domain": "sefaz.services",
            "subject": "Documento Fiscal - Urgente",
            "user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)"
        }
    
        print(f"INIEZIONI DI LOG PROXY SINTETICO: {log_entry}")
        # In uno scenario reale, questo verrebbe inviato a un endpoint syslog o ingurgitato via API
        return log_entry
    
    if __name__ == "__main__":
        generate_malicious_log()
  • Comandi di Pulizia:

    # Nessuna modifica persistente viene effettuata al sistema;
    # Se i log sono stati inviati a un SIEM in diretta, cancellare l'entrata di test specifica via SIEM API.
    echo "Simulazione completata. Nessuna pulizia host richiesta."