SOC Prime Bias: Критичний

13 Jan 2026 14:22 UTC

Зловмисне програмне забезпечення, замасковане під відеофайли з використанням інструментів RMM (Syncro, SuperOps, NinjaOne і т.д.)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Зловмисне програмне забезпечення, замасковане під відеофайли з використанням інструментів RMM (Syncro, SuperOps, NinjaOne і т.д.)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Зловмисники використовують шкідливі PDF-файли у якості приманки, щоб перенаправляти користувачів на підроблені сторінки Google Drive, які рекламують завантаження “відео”. Замість медіафайлів сайти надають підписані RMM-інсталяційні пакети, включаючи такі інструменти, як Syncro, ScreenConnect, NinjaOne та SuperOps, які забезпечують зловмисникам надійний віддалений доступ та постійність на компрометованих кінцевих точках.

Розслідування

AhnLab спостерігали фішинг-активність на основі PDF з використанням імен файлів, таких як Invoice_Details.PDF, та перенаправленням жертв на домени, такі як adobe-download-pdf.com або подібний до drivegoogle.com портал. Доставлені RMM-інсталяційні пакети були підписані повторно використаним сертифікатом та мали параметри установки (наприклад, ключ та ID клієнта), які відповідали стадійним або автоматизованим розгортанням. Інсталятори були створені з використанням загальних пакетних фреймворків, таких як Advanced Installer чи NSIS і в деяких випадках служили завантажувачами для отримання додаткових корисних навантажень після виконання.

Захист

Обмежте або заблокуйте виконання неавторизованих RMM-інструментів, включаючи бінарні файли, які не підписані або неочікувано підписані, та введіть жорсткіші контроли для встановлення програм віддаленого доступу. Застосуйте сувору перевірку прикріплень електронної пошти для виявлення PDF-приманок та підозрілої поведінки перенаправлення, блокуйте відомі шкідливі домени на шлюзі та проксі-рівнях. Підтверджуйте підписи коду та деталі видавця перед дозволом на встановлення, тримайте схвалені RMM-продукти оновленими та обмежуйте їх використання лише до авторизованих адміністраторів.

Відповідь

Сповіщайте, коли RMM-інсталяційні пакети виконуються з ненадійних джерел та коли кінцеві точки отримують доступ до визначених імен файлів, URL або схем перенаправлення. Ізолюйте уражені хости, збирайте артефакти інсталяції та телеметрію виконання, та проводьте судову тріаж для виявлення будь-яких вторинних корисних навантажень, завантажених після встановлення. Видаліть підозрілий RMM-агент, скиньте потенційно скомпрометовані облікові дані та розширте полювання на спроби розгортання RMM по всьому середовищу.

Потік Атаки

Виявлення

Можлива Спроба Встановлення RMM Програмного Забезпечення Використанням MsiInstaller (через журнали додатків)

Команда SOC Prime
12 січня 2026

Альтернативне Програмне Забезпечення Віддаленого Доступу / Управління (через систему)

Команда SOC Prime
12 січня 2026

Альтернативне Програмне Забезпечення Віддаленого Доступу / Управління (через аудит)

Команда SOC Prime
12 січня 2026

Альтернативне Програмне Забезпечення Віддаленого Доступу / Управління (через створення процесу)

Команда SOC Prime
12 січня 2026

Можлива Активність Командного та Контрольного Центру Через Спробу Комунікації З Домейном Програмного Забезпечення Віддаленого Доступу (через DNS)

Команда SOC Prime
12 січня 2026

IOC (HashMd5) для виявлення: Зловмисне Програмне Забезпечення Замасковане під Відеофайли з Використанням RMM Засобів (Syncro, SuperOps, NinjaOne тощо)

SOC Prime AI Правила
12 січня 2026

Зловмисне Використання RMM Засобів через PDF Фішинг [Створення Процесу Windows]

SOC Prime AI Правила
12 січня 2026

Виконання Симуляції

Передумова: Повинна пройти Телеметрія та Перевірка Поточного Стану.

Обґрунтування: Цей розділ детально описує точне виконання техніки зловмисника (TTP), розробленої для активації правила виявлення. Команди та наратив МАЮТЬ точно відображати ідентифіковані TTPs і мати на меті згенерувати очікувану телеметрію, відповідну логіці виявлення. Абстрактні або не пов’язані приклади приведуть до помилкової діагностики.

  • Наратив Атаки та Команди:

    1. Доставка Фішингу: Зловмисник відправляє спірфішинговий електронний лист зі шкідливим PDF під назвою “Invoice #12345.pdf”. PDF містить шкідливе JavaScript навантаження, яке відкривши, зберігає Syncro.exe в %TEMP%.

    2. Виконання: Корисне навантаження запускає команду PowerShell для обходу політики виконання та запуску бінарника:

      powershell -NoP -W Hidden -Exec Bypass -Command "Start-Process -FilePath "$env:TEMPSyncro.exe" -ArgumentList '/silent'"
    3. Отримання Телеметрії: Windows фіксує подію ID 4688 з Image = C:Users<user>AppDataLocalTempSyncro.exe, відповідаючи правилу Sigma з Image|endswith: 'Syncro.exe'. Попередження генерується з Високою серйозністю.

  • Скрипт Тесту Регресії: Наступний скрипт відтворює точну поведінку в контрольованому середовищі. Він копіює відомий RMM бінарний файл (для тестових цілей) в тимчасову директорію та виконує його з безпечним прапором, забезпечуючи отримання тієї ж події створення процесу.

    # -------------------------------------------------
    # Симуляційний Скрипт – Активувати Правило Процесу RMM-Засобу
    # -------------------------------------------------
    # Передумови:
    #   - Копія Syncro.exe розміщена у C:Tools (легітимний бінарний файл для тестування)
    #   - Адміністративні права для запису в %TEMP%
    # -------------------------------------------------
    
    $src  = "C:ToolsSyncro.exe"
    $dest = "$env:TEMPSyncro.exe"
    
    Write-Host "[*] Копіювання RMM бінарного файлу в тимчасове місце розташування..."
    Copy-Item -Path $src -Destination $dest -Force
    
    Write-Host "[*] Виконання бінарного файлу для генерування телеметрії створення процесу..."
    Start-Process -FilePath $dest -ArgumentList '/silent' -WindowStyle Hidden
    
    Write-Host "[+] Виконання завершено. Перевірте виявлення у SIEM."
    # -------------------------------------------------
  • Команди Очищення: Видаліть тестовий бінарний файл та заверште будь-які залишкові процеси.

    # Завершити будь-які залишкові процеси Syncro
    Get-Process -Name "Syncro" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Видалити тимчасову копію
    Remove-Item -Path "$env:TEMPSyncro.exe" -Force -ErrorAction SilentlyContinue
    
    Write-Host "[*] Очищення завершено."