Securonix
資安業者Securonix近日發布報告,揭露代號VENOMOUS#HELPER的釣魚攻擊行動,駭客自2025年4月起,利用兩款遠端監控與管理(RMM)工具:修改版的SimpleHelp與ScreenConnect,攻擊超過80個機構。
Securonix指出,駭客首先透過假冒美國社會安全局名義寄送釣魚郵件,誘騙受害者下載惡意檔案,一旦受害者執行惡意檔案,駭客便會藉此安裝擁有合法數位簽章的RMM工具,從而對受害裝置建立持久的遠端存取能力,並藉此規避傳統資安防護與惡意程式偵測。
Securonix表示,這種攻擊手法的危險性,不僅在於駭客濫用合法的IT維運工具繞過防禦,還在於駭客同時搭配兩種RMM工具,先誘使受害者安裝經修改的SimpleHelp部署程式,然後再透過提升權限,下載與安裝ScreenConnect作為備用機制,即使其中一個工具遭到阻擋,仍可透過另一個維持遠端控制能力。
由於駭客在感染受害裝置後,並未立即採取惡意行動,而是保持監控、持續維持存取權限, Securonix認為這些跡象符合初始存取管道(Initial Access Broker)的活動模式,或是勒索軟體攻擊的前兆,建議企業密切注意遠端存取程式的運作,透過監控工具記錄相關事件,以全面了解系統運作狀況。
