最近的行業報告揭示了一個網路釣魚活動,濫用合法的 RMM 和遠端存取工具來獲取對受害者系統的未經授權存取。Splashtop 是攻擊者在此活動中安裝的工具之一,但重要的是要澄清,這是通過社交工程的誤用案例,而不是 Splashtop 的漏洞或安全漏洞。
在這次攻擊中,網路犯罪分子誘騙接收者下載 RMM 和遠端存取軟體。一旦安裝,該軟體就為駭客提供持續的遠端存取系統的能力,使他們能夠像授權的 IT 管理員一樣操作。這種策略使攻擊者能夠繞過傳統的惡意軟體檢測,並融入合法的網路活動中。
本文將解釋攻擊如何運作,為什麼合法的遠端存取工具成為目標,以及您可以採取哪些措施來防止在您的環境中被誤用。
攻擊如何運作
這次網路釣魚活動遵循一個明確的順序,旨在誘騙收件人安裝由攻擊者控制的合法遠端存取工具。
1. 網路釣魚電子郵件傳遞
攻擊者發送看似來自可信來源的電子郵件,例如 Microsoft OneDrive 文件共享通知。這些訊息是從被入侵的 Microsoft 365 帳戶發送的,增加了其可信度。
2. 惡意檔案託管
電子郵件連結將目標導向托管在 Discord 內容傳遞網路 (CDN) 上的惡意 MSI 安裝程式。將檔案托管在知名服務上有助於躲避某些安全過濾器。
3. 安裝合法的 RMM 和遠端存取工具
當執行時,安裝程式會靜默部署:
Splashtop Streamer
Atera Agent
支援元件如 .NET Runtime 8
安裝多個工具以確保持久性。如果一個應用程式被檢測到並移除,另一個仍然可以提供存取。
4. 遠端存取和控制
有了這些工具,攻擊者可以:
遠端存取系統
移動檔案或數據
執行命令,就像他們是授權的 IT 人員一樣
為什麼攻擊者使用合法的遠端存取工具
遠端存取和 RMM 軟體旨在幫助 IT 團隊安全地管理裝置、遠端排除問題並從任何地方執行更新。當被濫用時,這些相同的功能使它們對攻擊者具有吸引力:
融入正常活動 – 該軟體是受信任的,並且通常已經存在於許多環境中,因此其安裝可能不會立即引起懷疑。
繞過傳統惡意軟體檢測 – 安全工具可能不會像對待未知可執行檔那樣標記合法的、數位簽名的應用程式。
授予完整系統控制權 – 一旦安裝,這些工具提供與授權 IT 管理員相同的存取層級。
確保持久性 – 部署多個工具(如在此活動中所見)即使其中一個被移除也能保持存取。
不是由於軟體缺陷引起的
這種類型的濫用不是由於軟體中的漏洞引起的。相反,它源於成功的社交工程。攻擊者最大的武器是說服某人為他們安裝工具,繞過正常的 IT 控制。
為了使攻擊成功,必須對齊幾個步驟:
網路釣魚電子郵件說服目標點擊惡意連結。
受害者下載並運行了一個偽裝的安裝程式。
軟體在未經 IT 批准的情況下安裝。
攻擊者連接到新安裝的軟體。
如果這些步驟中的任何一個被阻止,攻擊就會失敗。這就是為什麼強大的網路釣魚防禦、安裝控制和帳戶安全措施是必不可少的。
防止在您的環境中濫用 Splashtop
雖然在此活動中軟體本身未被利用,但組織可以採取主動措施,使攻擊者更難以濫用合法軟體:
限制軟體安裝 透過端點管理政策僅限於經批准的管理員。
教育員工 如何識別網路釣魚企圖,包括可疑的檔案分享連結。
提醒員工絕不要從意外的電子郵件下載或執行安裝程式,即使它們看起來來自內部來源。
鼓勵快速報告 任何可疑的訊息或意外的遠端存取提示。
結合這些措施,即使釣魚電子郵件漏網,也有多重防護措施阻止攻擊者獲得存取權。
Splashtop 如何幫助保護存取
Splashtop 包含內建的 安全功能,旨在讓組織控制誰可以連接、從哪裡連接以及在什麼條件下連接。當正確配置時,這些功能使攻擊者更難以濫用該平台。
主要安全功能包括:
多因素驗證 (MFA) 在授予存取權之前驗證使用者身份。
單一登入 (SSO) 整合 用於集中存取控制和執行公司驗證政策。
基於角色的存取控制 允許管理員根據工作職能限制權限。
裝置驗證 以確保只有經批准的機器可以連接。
連線記錄和錄製 以便查看誰在何時存取了什麼。
精細部署控制 以限制 Splashtop Streamer 的安裝到已批准的系統。
我們對安全的承諾
Splashtop 非常重視安全性,並密切監控涉及我們產品的網路威脅報告,即使活動是由於誤用而非漏洞所致。我們相信透明度對於維持與客戶和合作夥伴的信任至關重要。
我們的安全和工程團隊不斷評估潛在的濫用情境,增強檢測能力,並提供指導以幫助客戶安全配置 Splashtop。當新的威脅情報出現時,我們會評估是否需要對產品功能、預設設定或客戶教育材料進行更改。
當 Splashtop 由授權管理員部署和管理時,它仍然是一個安全可靠的遠端存取平台。通過結合我們內建的安全功能、端點保護和使用者意識培訓,組織可以顯著降低誤用的風險。
探索我們的 Splashtop 產品 並 聯繫我們 以深入了解我們的解決方案和安全性。
