详细内容或原文请订阅后点击阅览

网络钓鱼至 RMM 攻击:CISO 无法忽视的远程访问盲点

2026年4月28日 12:01 33 Comments
X Twitter Instagram Mail

CISO 面临着证明其安全计划能够及早检测威胁、降低业务风险并支持快速、自信的响应的压力。但当攻击者停止依赖明显恶意的工具时,这就变得更加困难。在 ANY.RUN 分析师最近观察到的网络钓鱼到 RMM 活动中,威胁行为者正在使用虚假的 Microsoft、Adobe 和 OneDrive 页面来提供合法的[…]帖子网络钓鱼到 RMM 攻击:CISO 无法忽视的远程访问盲点首先出现在 ANY.RUN 的网络安全博客上。

来源:ANY.RUN _恶意软件分析

网络钓鱼至 RMM 攻击:CISO 无法忽视的远程访问盲点

CISO 面临着证明其安全计划能够及早检测威胁、降低业务风险并支持快速、自信的响应的压力。但当攻击者停止依赖明显恶意的工具时,这就变得更加困难。

在 ANY.RUN 分析师最近观察到的网络钓鱼到 RMM 活动中,威胁行为者正在使用虚假的 Microsoft、Adobe 和 OneDrive 页面来提供合法的远程管理工具,而不是传统的恶意软件。安装后,这些工具可以让攻击者远程访问受害者的设备,同时融入许多企业已经使用或允许的软件类别。

对于安全领导者来说,这造成了一个困难的可见性问题。有效负载可能是合法的。基础设施可能是可信的。用户操作可能看起来像例行下载。但结果是相同的:环境内未经授权的远程访问。

要点

  • 网络钓鱼到 RMM 攻击为企业 SOC 造成了危险的可见性差距:攻击者可以通过冒充 Microsoft、Adobe 和 OneDrive 等受信任服务的网络钓鱼页面提供合法的远程管理工具。
  • 有效负载本身可能看起来并不恶意:ScreenConnect 和 LogMeIn Rescue 等工具可以显示为合法的远程管理软件,特别是在已经允许使用 RMM 的组织中。
  • 域名信誉不够:这些攻击可能使用合法平台、供应商基础设施或受感染的网站,而不是明显的新注册域名。
  • 真正的信号位于完整的攻击链中:SOC 团队需要连接网络钓鱼诱饵、下载上下文、执行行为、RMM 安装和出站连接。
  • 对于 CISO 来说,风险与技术风险一样重要:错过网络钓鱼到 RMM 活动可能会导致检测速度变慢、攻击者停留时间更长、遏制延迟以及对批准的远程访问工具的信心减弱。

    • 结果可能很严重:

    查看分析会话

    访问 可信的 相同的 合法的 使用 工具的 RMM 攻击 基础设施 检测 CISO 远程 明显的 危险的 传统的 有效负载 允许的 观察到的 服务的 工具 停留时间 点网络 感染的 领导者 远程管理 授权 供应商 连接网络 攻击者 钓鱼 技术风险 困难的 真正的 响应的 完整的 可能 批准的 可见性 虚假的 网络 安全计划