SOC Prime Bias: Високий

15 Jun 2026 15:51 UTC

Від Фіскальних Приманок до Зловживання NinjaOne RMM

Author Photo
SOC Prime Team linkedin icon Стежити
Від Фіскальних Приманок до Зловживання NinjaOne RMM
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Активна фішингова кампанія націлена на бразильські організації, імітуючи поширені бізнес-процеси, такі як фіскальна документація та обробка скарг. Замість розгортання звичайного шкідливого ПЗ, зловмисники доставляють легітимного агента NinjaOne Remote Monitoring and Management (RMM), що налаштований для доступу під контролем зловмисників. Використовуючи надійне корпоративне програмне забезпечення, операція може обійти багато традиційних засобів захисту, які базуються на шкідливому ПЗ.

Розслідування

Дослідники Cato CTRL виявили кампанію через аналіз фішингових сторінок португальською мовою та ланцюжка переадресації, який використовував інфраструктуру Google. Їхнє розслідування викрило кілька заходів протидії аналізу, включаючи геофенсинг, зосереджений на Бразилії, зняття відбитків браузера та логіку виявлення пісочниці. Поворот на основі повторно використаного шпалери з темою Землі також допоміг пов’язати активність з додатковими доменами під контролем зловмисників.

Пом’якшення

Організації повинні вжити строгих заходів контролю установлення несанкціонованих інструментів віддаленого моніторингу та управління. Команди безпеки повинні покращити моніторинг несподіваної розгортки програмного забезпечення та ретельно перевіряти запити, пов’язані з фіскальними записами або іншими бізнес-документами. Блокування відомих шкідливих доменів і підсилення безпеки електронної пошти для виявлення фішингових ланцюжків перенаправлення можуть ще більше знизити ризик.

Відповідь

Якщо виявлено цю активність, команди безпеки повинні негайно ізолювати уражені кінцеві точки, щоб зупинити подальший доступ через агента RMM. Дослідники повинні визначити, як було ініційовано встановлення NinjaOne, і переглянути журнали аудиту для виявлення несанкціонованих адміністративних дій. Можливо, також буде потрібно координація з постачальниками управління кінцевими точками для ідентифікації та відключення скомпрометованих профілів управління.

Потік атаки

Виконання Симуляції

Попередня умова: Перевірка Наявності Телеметрії та Базового Літака повинна пройти.

Пояснення: Цей розділ детально описує точне виконання техніки супротивника (TTP), розробленої для активації правила виявлення. Команди та нарис ПОВИННІ безпосередньо відображати виявлені TTP і мати на меті створення саме тієї телеметрії, яку очікує логіка виявлення. Абстрактні або не пов’язані приклади призведуть до помилкової діагностики.

  • Опис Атаки та Команди: Зловмисник проводить цілеспрямовану кампанію спарфішингу проти бразильських користувачів. Зловмисник надсилає електронний лист із темою “Documento Fiscal”, що містить посилання на шкідливий сайт, розміщений на sefaz.services. Посилання перенаправляє через URL googleusercontent.com для кінцевої доставки агентного корисного навантаження NinjaOne RMM. Ця симуляція введе синтетичний запис у потік проксі, що імітує цю конкретну послідовність для перевірки Sigma правила.

  • Скрипт Ретроспективного Тестування:

    # Python скрипт для симуляції введення шкідливого запису проксі логу
    import datetime
    
    def generate_malicious_log():
        timestamp = datetime.datetime.utcnow().isoformat()
        # Імітація логіки 'selection_domains' та 'selection_url'
        log_entry = {
            "timestamp": timestamp,
            "src_ip": "192.168.1.50",
            "dest_ip": "104.21.45.12",
            "url": "https://storage.googleapis.com/googleusercontent.com/payloads/malware.exe",
            "domain": "sefaz.services",
            "subject": "Documento Fiscal - Urgente",
            "user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)"
        }
    
        print(f"ВВЕДЕННЯ СИНТЕТИЧНОГО ПРОКСІ ЛОГУ: {log_entry}")
        # В реальному сценарії це буде надіслано на syslog або інгестовано через API
        return log_entry
    
    if __name__ == "__main__":
        generate_malicious_log()
  • Команди Очистки:

    # Немає стійких змін у системі;
    # Якщо логі було надіслано на живу SIEM, видаліть конкретний тестовий запис через API SIEM.
    echo "Симуляція завершена. Очищення хоста не потрібно."