Proofpoint 研究人员注意到,在基于电子邮件的网络攻击中,使用合法的远程监控和管理 (RMM) 工具作为第一阶段有效载荷的情况显着增加。
该研究强调了与使用大型加载程序和僵尸网络的传统方法的显着转变,这一趋势可能受到 Operation Endgame 造成的破坏的影响,Operation Endgame 是一项执法行动,在 2024 年拆除了 IcedID、Trickbot 和 Bumblebee 等主要恶意软件基础设施。
远程监控和管理 (RMM) 工具,例如 ScreenConnect 和 Atera,专为 IT 管理员远程管理计算机系统而设计。然而,网络犯罪分子越来越多地利用这些工具来获得未经授权的访问、窃取数据和部署勒索软件。RMM 使用量的增加与初始访问代理通常使用的传统加载程序和僵尸网络恶意软件的下降相对应。
Proofpoint 研究人员观察到,在整个 2024 年,RMM 工具在各种网络犯罪活动中的使用大幅增加,经常使用 ScreenConnect、Fleetdeck 和 Atera 等工具。虽然 NetSupport 以前是观察最多的 RMM,但它的使用量已显着下降,而其他 RMM 软件则越来越突出,这一趋势一直持续到 2025 年。
一旦获得初始访问权限,RMM 工具通常被用作勒索软件作中更广泛的攻击链的一部分。它们的使用可能涉及在受感染的环境中利用现有的远程管理功能,或安装新的 RMM 软件以实现持久性和横向移动。一些威胁行为者在面向电话的攻击传递 (TOAD) 攻击期间使用 RMM 工具,其中受害者被指示拨打一个电话号码,从而导致恶意软件安装。
在 2024 年之前,直接通过电子邮件将 RMM 工具作为第一阶段有效载荷的增加使用是罕见的,但这种情况在 2024 年年中开始发生变化,ScreenConnect 出现的频率更高。这种转变与初始访问代理使用的加载程序和僵尸网络的减少相吻合,其中许多代理在“终局行动”之后已显著减少或停止了其活动。
一个新指定的威胁行为者 TA583 显着增加了对 RMM 工具的使用,主要在冒充美国社会保障局等组织的活动中使用 ScreenConnect。这些活动的规模从数千条消息到针对特定个人的较小数量不等。自 2024 年年中以来,TA583 已转向使用 ScreenConnect 作为其初始访问有效载荷。
另一个威胁行为者 TA2725 自 2022 年开始运营,于 2025 年 1 月开始使用 ScreenConnect,通过能源账单诱饵提供恶意软件的活动以墨西哥的组织为目标。
Proofpoint 指出,随着在网络攻击中使用合法 RMM 工具的增加,意识和防御措施需要进行调整。建议组织限制下载和安装未经批准的 RMM 工具,实施网络检测,并培训用户识别和报告可疑活动。这种方法旨在减轻合法软件被威胁行为者恶意利用所带来的风险。
Proofpoint 预计,使用 RMM 工具作为第一阶段有效载荷的趋势将继续增长。这些工具通常比其他恶意软件更容易被最终用户接受,并且由于其合法使用和签名安装程序,可以逃避防病毒或网络检测。
发表评论
您还未登录,请先登录。
登录