针对合法RMM软件的网络威胁警报

关键要点

• 先进的网络攻击者正在通过网络钓鱼攻击合法的远程监控与管理（RMM）软件。
• 攻击者利用RMM软件作为后门访问受害者网络。
• 攻击手法包括发送伪造的帮助台邮件，诱骗用户下载恶意软件。
• 安全机构呼吁用户采取措施，保护其系统不受侵犯。

网络攻击者正在对合法的远程监控和管理（RMM）软件发起网络钓鱼攻击。根据最新的 ，这一警报是由于针对两个与 相关的联邦民事执行部门网络的攻击而发出的。

如果被攻击者利用，合法的RMM软件可能成为命令与控制或持久性植入受害者网络的后门。

这起FCEB（联邦民事执行部门）入侵事件是由网络安全和基础设施安全局（CISA）在10月的第三方回顾分析期间发现的，该分析涉及EINSTEIN系统，这是由CISA运营并监控的一个联邦民事执行部门范围的入侵检测系统，结果发现两个FCEB网络上存在可疑的恶意活动。

第一次事件发生在6月中旬，攻击者发送了一封包含电话号码的钓鱼邮件至FCEB员工的政府邮箱。该员工拨打了这个号码，从而访问了恶意域名myhelpcare”，包括受管服务提供商（MSPs）和IT帮助台，这些组织通常使用合法的RMM软件提供技术和安全支持、网络管理、终端监控以及远程与主机进行IT支持功能的互动。

攻击者的目标是“利用MSP网络中的信任关系，获取大量受害者MSP客户的访问权限。”警报补充称，“MSP的被攻击可能会给MSP的客户带来重大的风险，例如勒索软件和网络间谍活动。”

恶意邮件包含指向“第一阶段”恶意域名的链接，或提示收件人与攻击者联系，后者试图诱导收件人访问第一阶段恶意域名。当受害者访问该恶意域名时，就会触发可执行文件的下载，并连接到“第二阶段”恶意域名，然后下载额外的RMM软件。

根据CISA发现的活动，攻击者使用退款诈骗，通过ScreenConnect或ConnectWiseControl和AnyDesk盗取受害者银行账户中的资金。

值得注意的是，攻击者并未在被攻陷的主机上安装下载的RMM客户端，而是将“AnyDesk和ScreenConnect作为自包含的便携执行文件安装且配置为连接到攻击者的RMM服务器。”这些便携式可执行文件不需要用户的上下文或管理员权限即可安装。

“使用便携式RMM软件的可执行文件提供了一种不需要行政权限和完整软件安装就能建立本地用户访问的方法，从而有效绕过常见的软件控制和风险管理假设。”

因此，未获批准的软件仍会在网络上执行“即使在存在审计或阻止同一软件在网络上安装的风险管理控制的情况下，”警报警告称。“攻击者可以利用具备本地用户权限的便携式