针对合法RMM软件的网络威胁警报

关键要点

网络攻击者正在对合法的远程监控和管理RMM软件发起网络钓鱼攻击。根据最新的 联邦联合警报，这一警报是由于针对两个与 恶意拼写欺骗活动 相关的联邦民事执行部门网络的攻击而发出的。

如果被攻击者利用，合法的RMM软件可能成为命令与控制或持久性植入受害者网络的后门。

这起FCEB联邦民事执行部门入侵事件是由网络安全和基础设施安全局CISA在10月的第三方回顾分析期间发现的，该分析涉及EINSTEIN系统，这是由CISA运营并监控的一个联邦民事执行部门范围的入侵检测系统，结果发现两个FCEB网络上存在可疑的恶意活动。

第一次事件发生在6月中旬，攻击者发送了一封包含电话号码的钓鱼邮件至FCEB员工的政府邮箱。该员工拨打了这个号码，从而访问了恶意域名myhelpcare[]online。

到了9月，CISA发现FCEB网络与myhelpcare[]cc之间存在双向流量。深入的EINSTEIN分析和事件响应支持发现“许多其他FCEB网络上也存在相关活动”。

此FCEB入侵导致发现在这起活动背后的网络犯罪分子向FCEB联邦员工的个人和政府邮箱发出了以帮助台为主题的钓鱼邮件。

当前的广泛活动通过钓鱼邮件诱骗用户下载合法的RMM软件，根据CISA、国家安全局和各州信息共享与分析中心MSISAC联合发布的警报称。

“攻击者通常会针对合法的RMM软件用户”，包括受管服务提供商MSPs和IT帮助台，这些组织通常使用合法的RMM软件提供技术和安全支持、网络管理、终端监控以及远程与主机进行IT支持功能的互动。

攻击者的目标是“利用MSP网络中的信任关系，获取大量受害者MSP客户的访问权限。”警报补充称，“MSP的被攻击可能会给MSP的客户带来重大的风险，例如勒索软件和网络间谍活动。”

恶意邮件包含指向“第一阶段”恶意域名的链接，或提示收件人与攻击者联系，后者试图诱导收件人访问第一阶段恶意域名。当受害者访问该恶意域名时，就会触发可执行文件的下载，并连接到“第二阶段”恶意域名，然后下载额外的RMM软件。

根据CISA发现的活动，攻击者使用退款诈骗，通过ScreenConnect或ConnectWise Control和AnyDesk盗取受害者银行账户中的资金。

值得注意的是，攻击者并未在被攻陷的主机上安装下载的RMM客户端，而是将“AnyDesk和ScreenConnect作为自包含的便携执行文件安装且配置为连接到攻击者的RMM服务器。”这些便携式可执行文件不需要用户的上下文或管理员权限即可安装。

“使用便携式RMM软件的可执行文件提供了一种不需要行政权限和完整软件安装就能建立本地用户访问的方法，从而有效绕过常见的软件控制和风险管理假设。”

因此，未获批准的软件仍会在网络上执行“即使在存在审计或阻止同一软件在网络上安装的风险管理控制的情况下，”警报警告称。“攻击者可以利用具备本地用户权限的便携式