假PayPal通知的網絡釣魚攻擊
近期,一波利用合法遠端監控和管理(RMM)工具的新型網絡釣魚攻擊被紀錄,駭客使用假PayPal警告來獲得個人及企業的訪問權限。根據Cyberproof於週二發布的報告,此活動從季節性誘餌轉向緊急財務主題,強調受信任的遠端存取軟體被持續武器化以逃避偵測。
侵入過程:從個人帳戶到企業網絡
CyberProof研究人員檢查了六起客戶環境中的事件,包括一起事件中,員工的個人PayPal帳戶成為初始入侵點。2026年1月5日,公司的管理檢測和響應(MDR)團隊識別出可疑活動,隨後升級為企業訪問。攻擊以偽造的PayPal電子郵件開始,接著是電話社交工程。攻擊者冒充客服人員,說服受害者安裝合法的遠端存取軟體。起初部署了LogMeIn Rescue,之後威脅行為者轉用AnyDesk以維持訪問。入侵過程中沒有觸發任何端點偵測與響應(EDR)警報。
RMM工具的濫用與安全建議
駭客使用一個RMM工具來安裝另一個工具的模式最近在Broadcom的研究中也有提及。此方法似乎旨在降低被偵測的可能性,並可能循環使用試用許可證以避免到期。這些攻擊的證據包括多個LogMeIn Rescue二進制文件和一個活躍的遠端會話確認。通過排程任務和偽裝成Gmail樣式名稱的啟動快捷方式來實現持續性,該策略旨在融入常規系統活動中,避免在例行檢查中引起懷疑。
“儘管這個活動的直接動機看似財務,但長期風險卻相當大。”Cyberproof警告道。“通過這些RMM‘後門’獲得的訪問權限可以出售給高級持續性威脅(APT)行為者,導致全面的企業妥協或勒索軟體部署。”
為應對類似威脅,該網絡安全公司建議加強網絡釣魚控制,限制對常見RMM埠的網絡訪問,並避免暴露遠端服務如RDP。它還敦促組織維護離線備份,評估第三方RMM工具的風險,保持安全軟體的更新,並加強用戶培訓作為零信任安全模型的一部分。