SOC Prime Bias: Critico

13 Jan 2026 14:22 UTC

Malware Mascherato come File Video Utilizzando Strumenti RMM (Syncro, SuperOps, NinjaOne, ecc)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Malware Mascherato come File Video Utilizzando Strumenti RMM (Syncro, SuperOps, NinjaOne, ecc)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

Gli attori delle minacce stanno utilizzando inviti PDF dannosi per indirizzare gli utenti verso pagine contraffatte di Google Drive che pubblicizzano download di “video”. Invece di file multimediali, i siti distribuiscono installatori RMM firmati, inclusi strumenti come Syncro, ScreenConnect, NinjaOne e SuperOps, che forniscono agli attaccanti un accesso remoto affidabile e una persistenza sugli endpoint compromessi.

Indagine

AhnLab ha osservato attività di phishing basata su PDF che sfruttava nomi file come Invoice_Details.PDF e reindirizzava le vittime verso domini come adobe-download-pdf.com o un portale drivegoogle.com simile. Gli installatori RMM consegnati erano firmati con un certificato riutilizzato e includevano parametri di installazione (ad esempio, una chiave e un ID cliente) coerenti con distribuzioni pianificate o automatizzate. Gli installatori sono stati realizzati utilizzando framework di packaging comuni come Advanced Installer o NSIS e, in alcuni casi, agivano come bootstrapper per recuperare payload aggiuntivi dopo l’esecuzione.

Mitigazione

Limitare o bloccare l’esecuzione di strumenti RMM non autorizzati, inclusi i binari che non sono firmati o firmati in modo sospetto, e applicare controlli più rigorosi per l’installazione di software di accesso remoto. Applicare ispezioni rigorose degli allegati email per rilevare inviti PDF e comportamenti di reindirizzamento sospetti, e bloccare i domini dannosi noti ai livelli del gateway e del proxy. Verificare i certificati di firma del codice e i dettagli dell’editore prima di consentire l’installazione, mantenere aggiornati i prodotti RMM approvati e restringere il loro uso ad amministratori esplicitamente autorizzati.

Risposta

Emettere un avviso quando gli installatori RMM vengono eseguiti da fonti inaffidabili e quando gli endpoint accedono ai nomi file, URL, o schemi di reindirizzamento identificati. Isolare gli host colpiti, raccogliere artefatti dell’installatore e telemetria di esecuzione, ed eseguire una triage forense per identificare eventuali payload secondari scaricati post-installazione. Rimuovere l’agente RMM canaglia, reimpostare le credenziali potenzialmente esposte ed espandere la ricerca per tentativi di distribuzione RMM correlati in tutto l’ambiente.

Flusso di Attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo di Telemetria & Baseline Pre‑flight deve essere passato.

Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narrazione Attacco e Comandi:

    1. Consegnamento Phishing: L’avversario invia una email di spear-phishing con un PDF malevolo intitolato “Invoice #12345.pdf”. Il PDF contiene un payload di JavaScript dannoso che, una volta aperto, rilascia Syncro.exe in %TEMP%.

    2. Esecuzione: Il payload esegue un comando PowerShell per bypassare la policy di esecuzione e lanciare il binario:

      powershell -NoP -W Hidden -Exec Bypass -Command "Start-Process -FilePath "$env:TEMPSyncro.exe" -ArgumentList '/silent'"
    3. Telemetria Risultante: Windows registra un Event ID 4688 con Image = C:Users<user>AppDataLocalTempSyncro.exe, corrispondente alla regola Sigma Image|endswith: 'Syncro.exe'. L’allerta viene generata con Alta gravità.

  • Script di Test di Regressione: Il seguente script riproduce esattamente il comportamento in un ambiente di laboratorio controllato. Copia un binario RMM noto (per scopi di test) nella directory temporanea ed esegue il tutto con una flag benigna, assicurando che lo stesso evento di creazione del processo venga emesso.

    # -------------------------------------------------
    # Simulation Script – Trigger RMM‑Tool Process Rule
    # -------------------------------------------------
    # Prerequisites:
    #   - A copy of Syncro.exe placed in C:Tools (legitimate binary for testing)
    #   - Administrative rights to write to %TEMP%
    # -------------------------------------------------
    
    $src  = "C:ToolsSyncro.exe"
    $dest = "$env:TEMPSyncro.exe"
    
    Write-Host "[*] Copying RMM binary to temporary location..."
    Copy-Item -Path $src -Destination $dest -Force
    
    Write-Host "[*] Executing the binary to generate process‑creation telemetry..."
    Start-Process -FilePath $dest -ArgumentList '/silent' -WindowStyle Hidden
    
    Write-Host "[+] Execution complete. Verify detection in SIEM."
    # -------------------------------------------------
  • Comandi di Pulizia: Rimuovere il binario di test e terminare i processi rimanenti.

    # Terminate any stray Syncro processes
    Get-Process -Name "Syncro" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Delete the temporary copy
    Remove-Item -Path "$env:TEMPSyncro.exe" -Force -ErrorAction SilentlyContinue
    
    Write-Host "[*] Cleanup completed."