Malware Mascherato come File Video Utilizzando Strumenti RMM (Syncro, SuperOps, NinjaOne, ecc)
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Gli attori delle minacce stanno utilizzando inviti PDF dannosi per indirizzare gli utenti verso pagine contraffatte di Google Drive che pubblicizzano download di “video”. Invece di file multimediali, i siti distribuiscono installatori RMM firmati, inclusi strumenti come Syncro, ScreenConnect, NinjaOne e SuperOps, che forniscono agli attaccanti un accesso remoto affidabile e una persistenza sugli endpoint compromessi.
Indagine
AhnLab ha osservato attività di phishing basata su PDF che sfruttava nomi file come Invoice_Details.PDF e reindirizzava le vittime verso domini come adobe-download-pdf.com o un portale drivegoogle.com simile. Gli installatori RMM consegnati erano firmati con un certificato riutilizzato e includevano parametri di installazione (ad esempio, una chiave e un ID cliente) coerenti con distribuzioni pianificate o automatizzate. Gli installatori sono stati realizzati utilizzando framework di packaging comuni come Advanced Installer o NSIS e, in alcuni casi, agivano come bootstrapper per recuperare payload aggiuntivi dopo l’esecuzione.
Mitigazione
Limitare o bloccare l’esecuzione di strumenti RMM non autorizzati, inclusi i binari che non sono firmati o firmati in modo sospetto, e applicare controlli più rigorosi per l’installazione di software di accesso remoto. Applicare ispezioni rigorose degli allegati email per rilevare inviti PDF e comportamenti di reindirizzamento sospetti, e bloccare i domini dannosi noti ai livelli del gateway e del proxy. Verificare i certificati di firma del codice e i dettagli dell’editore prima di consentire l’installazione, mantenere aggiornati i prodotti RMM approvati e restringere il loro uso ad amministratori esplicitamente autorizzati.
Risposta
Emettere un avviso quando gli installatori RMM vengono eseguiti da fonti inaffidabili e quando gli endpoint accedono ai nomi file, URL, o schemi di reindirizzamento identificati. Isolare gli host colpiti, raccogliere artefatti dell’installatore e telemetria di esecuzione, ed eseguire una triage forense per identificare eventuali payload secondari scaricati post-installazione. Rimuovere l’agente RMM canaglia, reimpostare le credenziali potenzialmente esposte ed espandere la ricerca per tentativi di distribuzione RMM correlati in tutto l’ambiente.
Flusso di Attacco
Rilevazioni
Tentativo possibile di installazione di software RMM utilizzando MsiInstaller (tramite log applicazione)
Visualizza
Software di Accesso Remoto / Gestione Alternativo (tramite sistema)
Visualizza
Software di Accesso Remoto / Gestione Alternativo (tramite audit)
Visualizza
Software di Accesso Remoto / Gestione Alternativo (tramite process_creation)
Visualizza
Possibile Attività di Comando e Controllo da Tentativo di Comunicazione al Dominio di Software di Accesso Remoto (tramite dns)
Visualizza
IOC (HashMd5) da rilevare: Malware Mascherato come File Video Utilizzando Strumenti RMM (Syncro, SuperOps, NinjaOne, ecc.)
Visualizza
Uso Malevolo di Strumenti RMM tramite Phishing PDF [Creazione Processo Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo di Telemetria & Baseline Pre‑flight deve essere passato.
Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrazione Attacco e Comandi:
-
Consegnamento Phishing: L’avversario invia una email di spear-phishing con un PDF malevolo intitolato “Invoice #12345.pdf”. Il PDF contiene un payload di JavaScript dannoso che, una volta aperto, rilascia
Syncro.exein%TEMP%. -
Esecuzione: Il payload esegue un comando PowerShell per bypassare la policy di esecuzione e lanciare il binario:
powershell -NoP -W Hidden -Exec Bypass -Command "Start-Process -FilePath "$env:TEMPSyncro.exe" -ArgumentList '/silent'" -
Telemetria Risultante: Windows registra un Event ID 4688 con
Image = C:Users<user>AppDataLocalTempSyncro.exe, corrispondente alla regola SigmaImage|endswith: 'Syncro.exe'. L’allerta viene generata con Alta gravità.
-
-
Script di Test di Regressione: Il seguente script riproduce esattamente il comportamento in un ambiente di laboratorio controllato. Copia un binario RMM noto (per scopi di test) nella directory temporanea ed esegue il tutto con una flag benigna, assicurando che lo stesso evento di creazione del processo venga emesso.
# ------------------------------------------------- # Simulation Script – Trigger RMM‑Tool Process Rule # ------------------------------------------------- # Prerequisites: # - A copy of Syncro.exe placed in C:Tools (legitimate binary for testing) # - Administrative rights to write to %TEMP% # ------------------------------------------------- $src = "C:ToolsSyncro.exe" $dest = "$env:TEMPSyncro.exe" Write-Host "[*] Copying RMM binary to temporary location..." Copy-Item -Path $src -Destination $dest -Force Write-Host "[*] Executing the binary to generate process‑creation telemetry..." Start-Process -FilePath $dest -ArgumentList '/silent' -WindowStyle Hidden Write-Host "[+] Execution complete. Verify detection in SIEM." # ------------------------------------------------- -
Comandi di Pulizia: Rimuovere il binario di test e terminare i processi rimanenti.
# Terminate any stray Syncro processes Get-Process -Name "Syncro" -ErrorAction SilentlyContinue | Stop-Process -Force # Delete the temporary copy Remove-Item -Path "$env:TEMPSyncro.exe" -Force -ErrorAction SilentlyContinue Write-Host "[*] Cleanup completed."