De Iscas Fiscais ao Abuso do NinjaOne RMM
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Uma campanha de phishing ativa está direcionada a organizações brasileiras ao imitar processos de negócios comuns, como documentação fiscal e tratamento de reclamações. Em vez de implantar malware convencional, os atacantes entregam um agente legítimo de Monitoramento Remoto e Gerenciamento (RMM) NinjaOne configurado para acesso controlado por adversários. Ao confiar em software empresarial confiável, a operação consegue evitar muitas defesas tradicionais baseadas em malware.
Investigação
Pesquisadores da Cato CTRL descobriram a campanha por meio da análise de páginas de phishing em língua portuguesa e de uma cadeia de redirecionamento que utilizava infraestrutura hospedada no Google. Sua investigação expôs várias medidas de anti-análise, incluindo geofencing focado no Brasil, identificação de impressões digitais do navegador e lógica de detecção de sandbox. Um pivô baseado em uma imagem de papel de parede com tema da Terra reutilizada também ajudou a vincular a atividade a domínios adicionais controlados por atacantes.
Mitigação
As organizações devem impor controles rigorosos em torno da instalação de ferramentas não autorizadas de Monitoramento Remoto e Gerenciamento. As equipes de segurança devem melhorar o monitoramento para implantação inesperada de software e verificar cuidadosamente as solicitações vinculadas a registros fiscais ou outros documentos relacionados a negócios. Bloquear os domínios maliciosos conhecidos e fortalecer a segurança de e-mail para detectar cadeias de redirecionamento de phishing pode diminuir ainda mais a exposição.
Resposta
Se essa atividade for detectada, as equipes de segurança devem isolar imediatamente os endpoints afetados para impedir mais acesso através do agente RMM. Os investigadores devem determinar como a instalação do NinjaOne foi iniciada e revisar os logs de auditoria para ações administrativas não autorizadas. A coordenação com fornecedores de gerenciamento de endpoints também pode ser necessária para identificar e desativar perfis de gerenciamento comprometidos.
Fluxo de Ataque
Execução de Simulação
Pré-requisito: A Verificação Preliminar de Telemetria & Linha de Base deve ter sido aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa do Ataque & Comandos: Um adversário está conduzindo uma campanha de spearphishing direcionada contra usuários brasileiros. O atacante envia um e-mail com o assunto “Documento Fiscal” contendo um link para um site malicioso hospedado em
sefaz.services. O link redireciona através de umgoogleusercontent.comURL para entregar, finalmente, um payload do agente RMM NinjaOne. Esta simulação irá injetar uma entrada de log sintética na corrente de proxy que imita esta sequência específica para validar a regra Sigma. -
Script de Teste de Regressão:
# Script Python para simular a injeção de uma entrada de log de proxy maliciosa import datetime def generate_malicious_log(): timestamp = datetime.datetime.utcnow().isoformat() # Mimicando a lógica 'selection_domains' e 'selection_url' log_entry = { "timestamp": timestamp, "src_ip": "192.168.1.50", "dest_ip": "104.21.45.12", "url": "https://storage.googleapis.com/googleusercontent.com/payloads/malware.exe", "domain": "sefaz.services", "subject": "Documento Fiscal - Urgente", "user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)" } print(f"INJETANDO LOG DE PROXY SINTÉTICO: {log_entry}") # Em um cenário real, isso seria enviado para um endpoint syslog ou ingerido via API return log_entry if __name__ == "__main__": generate_malicious_log() -
Comandos de Limpeza:
# Nenhuma alteração persistente é feita no sistema; # Se os logs foram enviados para um SIEM ativo, exclua a entrada de teste específica via API do SIEM. echo "Simulação completa. Nenhuma limpeza de host necessária."