Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Активна фішингова кампанія націлена на бразильські організації, імітуючи поширені бізнес-процеси, такі як фіскальна документація та обробка скарг. Замість розгортання звичайного шкідливого ПЗ, зловмисники доставляють легітимного агента NinjaOne Remote Monitoring and Management (RMM), що налаштований для доступу під контролем зловмисників. Використовуючи надійне корпоративне програмне забезпечення, операція може обійти багато традиційних засобів захисту, які базуються на шкідливому ПЗ.
Розслідування
Дослідники Cato CTRL виявили кампанію через аналіз фішингових сторінок португальською мовою та ланцюжка переадресації, який використовував інфраструктуру Google. Їхнє розслідування викрило кілька заходів протидії аналізу, включаючи геофенсинг, зосереджений на Бразилії, зняття відбитків браузера та логіку виявлення пісочниці. Поворот на основі повторно використаного шпалери з темою Землі також допоміг пов’язати активність з додатковими доменами під контролем зловмисників.
Пом’якшення
Організації повинні вжити строгих заходів контролю установлення несанкціонованих інструментів віддаленого моніторингу та управління. Команди безпеки повинні покращити моніторинг несподіваної розгортки програмного забезпечення та ретельно перевіряти запити, пов’язані з фіскальними записами або іншими бізнес-документами. Блокування відомих шкідливих доменів і підсилення безпеки електронної пошти для виявлення фішингових ланцюжків перенаправлення можуть ще більше знизити ризик.
Відповідь
Якщо виявлено цю активність, команди безпеки повинні негайно ізолювати уражені кінцеві точки, щоб зупинити подальший доступ через агента RMM. Дослідники повинні визначити, як було ініційовано встановлення NinjaOne, і переглянути журнали аудиту для виявлення несанкціонованих адміністративних дій. Можливо, також буде потрібно координація з постачальниками управління кінцевими точками для ідентифікації та відключення скомпрометованих профілів управління.
graph TB %% Розділ визначення класів classDef action fill:#99ccff classDef evasion fill:#ff99cc classDef tool fill:#cccccc classDef execution fill:#ccffcc classDef operator fill:#ff9900 %% Визначення вузлів %% Фаза початкового доступу action_phishing[“<b>Дія</b> – <b>T1566.002 Фішинг: Spearphishing Link</b><br/>Зловмисник надсилає електронні листи з посиланнями,<br/>прихованими за ланцюжком перенаправлень<br/>через bc.googleusercontent.com.”] class action_phishing action %% Фаза обходу захисту та контролю виконання evasion_geofencing[“<b>Дія</b> – <b>T1665 Приховування інфраструктури</b><br/>Використання геофенсингу для обмеження доставки<br/>корисного навантаження до визначених<br/>бразильських діапазонів IP-адрес.”] class evasion_geofencing evasion evasion_keying[“<b>Дія</b> – <b>T1480.001 Execution Guardrails: Environmental Keying</b><br/>Інфраструктура використовує перевірку середовища,<br/>щоб гарантувати виконання лише<br/>на цільових системах.”] class evasion_keying evasion evasion_browser[“<b>Дія</b> – <b>T1217 Виявлення інформації браузера</b><br/>Фішинговий портал збирає інформацію<br/>про браузер для полегшення обходу захисту.”] class evasion_browser evasion evasion_sandbox[“<b>Дія</b> – <b>T1497.002 Обхід віртуалізації/пісочниці: Перевірки активності користувача</b><br/>Перевіряє наявність фреймворків автоматизації,<br/>таких як Selenium або Puppeteer, і підтверджує<br/>присутність людини за рухами миші.”] class evasion_sandbox evasion op_check((“AND”)) class op_check operator %% Фаза виконання op_validation((“AND”)) class op_validation operator action_user_exec[“<b>Дія</b> – <b>T1204.002 Виконання користувачем: Шкідливий файл</b><br/>Жертву шляхом соціальної інженерії переконують<br/>завантажити файл, який виглядає<br/>як бізнес-документ.”] class action_user_exec execution tool_rmm_installer[“<b>Інструмент</b> – <b>Назва</b>: NinjaOne RMM Installer<br/><b>Опис</b>: Легітимний інсталятор RMM-агента<br/>(наприклад NinjaOne-Agent-DocumentoFiscal),<br/>який використовується для приховування шкідливої дії.”] class tool_rmm_installer tool %% Фаза закріплення та контролю action_software_ext[“<b>Дія</b> – <b>T1176 Розширення програмного забезпечення</b><br/>Встановлення RMM-агента для<br/>розширення можливостей системи.”] class action_software_ext execution tool_remote_access[“<b>Інструмент</b> – <b>T1219 Інструменти віддаленого доступу</b><br/>Використання встановленого RMM-агента<br/>для постійного віддаленого контролю,<br/>розвідки та виконання команд.”] class tool_remote_access tool %% З’єднання %% Початковий потік action_phishing –>|призводить_до| evasion_geofencing evasion_geofencing –>|призводить_до| evasion_keying evasion_keying –>|призводить_до| op_check %% Логіка обходу op_check –>|перевіряє| evasion_browser op_check –>|перевіряє| evasion_sandbox evasion_browser –>|призводить_до| op_validation evasion_sandbox –>|призводить_до| op_validation %% Потік виконання op_validation –>|якщо_легітимно| action_user_exec action_user_exec –>|завантажує| tool_rmm_installer tool_rmm_installer –>|сприяє| action_software_ext action_software_ext –>|активує| tool_remote_access
Потік атаки
Виконання Симуляції
Попередня умова: Перевірка Наявності Телеметрії та Базового Літака повинна пройти.
Пояснення: Цей розділ детально описує точне виконання техніки супротивника (TTP), розробленої для активації правила виявлення. Команди та нарис ПОВИННІ безпосередньо відображати виявлені TTP і мати на меті створення саме тієї телеметрії, яку очікує логіка виявлення. Абстрактні або не пов’язані приклади призведуть до помилкової діагностики.
-
Опис Атаки та Команди: Зловмисник проводить цілеспрямовану кампанію спарфішингу проти бразильських користувачів. Зловмисник надсилає електронний лист із темою “Documento Fiscal”, що містить посилання на шкідливий сайт, розміщений на
sefaz.services. Посилання перенаправляє через URLgoogleusercontent.comдля кінцевої доставки агентного корисного навантаження NinjaOne RMM. Ця симуляція введе синтетичний запис у потік проксі, що імітує цю конкретну послідовність для перевірки Sigma правила. -
Скрипт Ретроспективного Тестування:
# Python скрипт для симуляції введення шкідливого запису проксі логу import datetime def generate_malicious_log(): timestamp = datetime.datetime.utcnow().isoformat() # Імітація логіки 'selection_domains' та 'selection_url' log_entry = { "timestamp": timestamp, "src_ip": "192.168.1.50", "dest_ip": "104.21.45.12", "url": "https://storage.googleapis.com/googleusercontent.com/payloads/malware.exe", "domain": "sefaz.services", "subject": "Documento Fiscal - Urgente", "user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)" } print(f"ВВЕДЕННЯ СИНТЕТИЧНОГО ПРОКСІ ЛОГУ: {log_entry}") # В реальному сценарії це буде надіслано на syslog або інгестовано через API return log_entry if __name__ == "__main__": generate_malicious_log() -
Команди Очистки:
# Немає стійких змін у системі; # Якщо логі було надіслано на живу SIEM, видаліть конкретний тестовий запис через API SIEM. echo "Симуляція завершена. Очищення хоста не потрібно."