ビデオファイルに偽装したマルウェアとRMMツール(Syncro、SuperOps、NinjaOneなど)
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
脅威アクターは、悪意のあるPDFを使用してユーザーを偽のGoogleドライブページに誘導し、「ビデオ」ダウンロードを宣伝しています。メディアファイルの代わりに、サイトは署名されたRMMインストーラーを配信しており、Syncro、ScreenConnect、NinjaOne、SuperOpsなどのツールを含み、攻撃者に信頼性のあるリモートアクセスを提供し、侵害されたエンドポイントの持続性を確立します。
調査
AhnLabは、Invoice_Details.PDFのようなファイル名を利用し、被害者をadobe-download-pdf.comやドライブgoogle.comそっくりのポータルにリダイレクトするPDFベースのフィッシング活動を観察しました。配信されたRMMインストーラーは使い回しの証明書で署名され、ステージングや自動展開と一致するインストールパラメータ(例: キーや顧客ID)を含んでいました。インストーラーはAdvanced InstallerやNSISのような一般的なパッケージ化フレームワークを使用して作成され、場合によっては実行後に追加のペイロードを取得するブートストラッパーとして機能しました。
緩和策
許可されていないRMMツールの実行を制限またはブロックし、署名されていないまたは予期しない署名のバイナリを含むRMMツールに、リモートアクセスソフトウェアのインストールに対する強化された制御を適用します。PDFの誘導や不審なリダイレクト挙動を検出するために厳格なメール添付ファイル検査を適用し、ゲートウェイおよびプロキシレイヤーで既知の悪意あるドメインをブロックします。インストールを許可する前にコード署名証明書と発行者の詳細を確認し、承認されたRMM製品を最新の状態に保ち、明示的に許可された管理者に使用を制限します。
対応
信頼されていないソースからRMMインストーラーが実行された場合や、特定のファイル名、URL、リダイレクトパターンにエンドポイントがアクセスした場合にアラートを発します。被害を受けたホストを隔離し、インストーラーのアーティファクトと実行テレメトリーを収集し、インストール後にダウンロードされたセカンダリペイロードを特定するためのフォレンジックトリアージを行います。不正なRMMエージェントを削除し、潜在的に露出した資格情報をリセットし、環境全体で関連するRMM展開試行について捜索を拡大します。
攻撃の流れ
検出
MsiInstallerを使用したRMMソフトウェアインストール試行の可能性(アプリケーションログ経由)
表示
代替リモートアクセス/管理ソフトウェア(システム経由)
表示
代替リモートアクセス/管理ソフトウェア(監査経由)
表示
代替リモートアクセス/管理ソフトウェア(プロセス作成経由)
表示
リモートアクセスソフトウェアドメイン通信試行によるコマンド&コントロール活動の可能性(DNS経由)
表示
IOC(HashMd5)で検出する:RMMツール(Syncro、SuperOps、NinjaOneなど)を使用してビデオファイルとして偽装されたマルウェア
表示
PDFフィッシングを介したRMMツールの悪意ある使用 [Windowsプロセス作成]
表示
シミュレーション実行
前提条件:テレメトリとベースラインの事前チェックが完了していること。
根拠:このセクションは、検出ルールをトリガーするように設計された敵対的手法(TTP)の正確な実行について詳述しています。コマンドと説明は、確認されたTTPを直接反映し、検出ロジックにより期待される正確なテレメトリを生成することを目的としています。抽象的または無関係な例は誤診につながります。
-
攻撃の経緯とコマンド:
-
フィッシング配信: 敵対者は、「Invoice #12345.pdf」という悪意のあるPDFを含むスピアフィッシングメールを送信します。PDFには、開かれると
Syncro.exeをドロップする悪意のあるJavaScriptペイロードが含まれています%TEMP%. -
実行: ペイロードはPowerShellコマンドを実行して実行ポリシーをバイパスし、バイナリを起動します:
powershell -NoP -W Hidden -Exec Bypass -Command "Start-Process -FilePath "$env:TEMPSyncro.exe" -ArgumentList '/silent'" -
結果のテレメトリ: WindowsはEvent ID 4688を
Image = C:Users<user>AppDataLocalTempSyncro.exeで記録し、SigmaルールのImage|endswith: 'Syncro.exe'と一致します。警告は 高 い重みで発生します。
-
-
回帰テストスクリプト: 以下のスクリプトは、制御されたラボ環境で正確な動作を再現します。既知のRMMバイナリ(テスト目的)のコピーを一時ディレクトリに移動し、良性のフラグで実行して、同じプロセス作成イベントを挿入します。
# ------------------------------------------------- # シミュレーションスクリプト – RMM-ツールプロセスルールのトリガー # ------------------------------------------------- # 前提条件: # - C:ToolsにSyncro.exeのコピーを配置(テスト用有効なバイナリ) # - %TEMP%への書き込み権限のある管理者権限 # ------------------------------------------------- $src = "C:ToolsSyncro.exe" $dest = "$env:TEMPSyncro.exe" Write-Host "[*] RMMバイナリを一時的に移動しています..." Copy-Item -Path $src -Destination $dest -Force Write-Host "[*] バイナリを実行してプロセス作成のテレメトリを生成しています..." Start-Process -FilePath $dest -ArgumentList '/silent' -WindowStyle Hidden Write-Host "[+] 実行完了。SIEMでの検出を確認してください。" # ------------------------------------------------- -
クリーンアップコマンド: テストバイナリを削除し、残っているプロセスを終了します。
# 残っているSyncroプロセスを終了 Get-Process -Name "Syncro" -ErrorAction SilentlyContinue | Stop-Process -Force # 一時的なコピーを削除 Remove-Item -Path "$env:TEMPSyncro.exe" -Force -ErrorAction SilentlyContinue Write-Host "[*] クリーンアップ完了。"