SOC Prime Bias: Alto

15 Jun 2026 15:51 UTC

De Iscas Fiscais ao Abuso do NinjaOne RMM

Author Photo
SOC Prime Team linkedin icon Seguir
De Iscas Fiscais ao Abuso do NinjaOne RMM
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Uma campanha de phishing ativa está direcionada a organizações brasileiras ao imitar processos de negócios comuns, como documentação fiscal e tratamento de reclamações. Em vez de implantar malware convencional, os atacantes entregam um agente legítimo de Monitoramento Remoto e Gerenciamento (RMM) NinjaOne configurado para acesso controlado por adversários. Ao confiar em software empresarial confiável, a operação consegue evitar muitas defesas tradicionais baseadas em malware.

Investigação

Pesquisadores da Cato CTRL descobriram a campanha por meio da análise de páginas de phishing em língua portuguesa e de uma cadeia de redirecionamento que utilizava infraestrutura hospedada no Google. Sua investigação expôs várias medidas de anti-análise, incluindo geofencing focado no Brasil, identificação de impressões digitais do navegador e lógica de detecção de sandbox. Um pivô baseado em uma imagem de papel de parede com tema da Terra reutilizada também ajudou a vincular a atividade a domínios adicionais controlados por atacantes.

Mitigação

As organizações devem impor controles rigorosos em torno da instalação de ferramentas não autorizadas de Monitoramento Remoto e Gerenciamento. As equipes de segurança devem melhorar o monitoramento para implantação inesperada de software e verificar cuidadosamente as solicitações vinculadas a registros fiscais ou outros documentos relacionados a negócios. Bloquear os domínios maliciosos conhecidos e fortalecer a segurança de e-mail para detectar cadeias de redirecionamento de phishing pode diminuir ainda mais a exposição.

Resposta

Se essa atividade for detectada, as equipes de segurança devem isolar imediatamente os endpoints afetados para impedir mais acesso através do agente RMM. Os investigadores devem determinar como a instalação do NinjaOne foi iniciada e revisar os logs de auditoria para ações administrativas não autorizadas. A coordenação com fornecedores de gerenciamento de endpoints também pode ser necessária para identificar e desativar perfis de gerenciamento comprometidos.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação Preliminar de Telemetria & Linha de Base deve ter sido aprovada.

Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa do Ataque & Comandos: Um adversário está conduzindo uma campanha de spearphishing direcionada contra usuários brasileiros. O atacante envia um e-mail com o assunto “Documento Fiscal” contendo um link para um site malicioso hospedado em sefaz.services. O link redireciona através de um googleusercontent.com URL para entregar, finalmente, um payload do agente RMM NinjaOne. Esta simulação irá injetar uma entrada de log sintética na corrente de proxy que imita esta sequência específica para validar a regra Sigma.

  • Script de Teste de Regressão:

    # Script Python para simular a injeção de uma entrada de log de proxy maliciosa
    import datetime
    
    def generate_malicious_log():
        timestamp = datetime.datetime.utcnow().isoformat()
        # Mimicando a lógica 'selection_domains' e 'selection_url'
        log_entry = {
            "timestamp": timestamp,
            "src_ip": "192.168.1.50",
            "dest_ip": "104.21.45.12",
            "url": "https://storage.googleapis.com/googleusercontent.com/payloads/malware.exe",
            "domain": "sefaz.services",
            "subject": "Documento Fiscal - Urgente",
            "user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)"
        }
    
        print(f"INJETANDO LOG DE PROXY SINTÉTICO: {log_entry}")
        # Em um cenário real, isso seria enviado para um endpoint syslog ou ingerido via API
        return log_entry
    
    if __name__ == "__main__":
        generate_malicious_log()
  • Comandos de Limpeza:

    # Nenhuma alteração persistente é feita no sistema; 
    # Se os logs foram enviados para um SIEM ativo, exclua a entrada de teste específica via API do SIEM.
    echo "Simulação completa. Nenhuma limpeza de host necessária."