最近的行业报告揭示了一场网络钓鱼活动,该活动滥用合法的RMM和远程访问工具来获取对受害者系统的未经授权访问。Splashtop是攻击者在此活动中安装的工具之一,但需要澄清的是,这是通过社会工程进行的滥用,而不是Splashtop的漏洞或安全漏洞。
在这次攻击中,网络犯罪分子诱骗收件人下载RMM和远程访问软件。一旦安装,软件为黑客提供了对系统的持久远程访问,使他们能够像授权的IT管理员一样操作。这种策略使攻击者能够绕过传统的恶意软件检测,并与合法的网络活动融为一体。
本博客将解释攻击的工作原理,为什么合法的远程访问工具成为目标,以及您可以采取哪些措施来防止在您的环境中被滥用。
攻击的工作原理
这场网络钓鱼活动遵循一个明确的顺序,旨在诱骗收件人安装由攻击者控制的合法远程访问工具。
1. 网络钓鱼邮件发送
攻击者发送看似来自可信来源的电子邮件,例如 Microsoft OneDrive 文件共享通知。这些消息是从被攻陷的Microsoft 365账户发送的,提高了其可信度。
2. 恶意文件托管
邮件链接将目标引导至托管在Discord内容交付网络(CDN)上的恶意MSI安装程序。在知名服务上托管文件有助于其规避某些安全过滤器。
3. 安装合法的RMM和远程访问工具
执行时,安装程序会静默部署:
Splashtop Streamer
Atera Agent
支持组件如.NET Runtime 8
安装多个工具可确保持久性。如果一个应用程序被检测并移除,另一个仍然可以提供访问。
4. 远程访问和控制
在工具就位的情况下,攻击者可以:
远程访问系统
移动文件或数据
执行命令,就像他们是授权的 IT 员工一样
为什么攻击者使用合法的远程访问工具
远程访问和RMM软件旨在帮助IT团队安全地管理设备、远程解决问题并从任何地方执行更新。这些相同的功能在被滥用时对攻击者具有吸引力:
融入正常活动 – 该软件是可信的,并且通常已经存在于许多环境中,因此其安装可能不会立即引起怀疑。
绕过传统的恶意软件检测 – 安全工具可能不会像对待未知可执行文件那样标记合法的、数字签名的应用程序。
授予完整的系统控制 – 一旦安装,这些工具提供与授权IT管理员相同的访问级别。
确保持久性 – 部署多个工具(如在此活动中所见)允许即使一个被移除也能保持访问。
不是由软件缺陷引起的
这种滥用不是由软件漏洞引起的。相反,它源于成功的社会工程。攻击者最大的武器是说服某人替他们安装工具,从而绕过正常的IT控制。
为了使攻击成功,必须对齐几个步骤:
网络钓鱼邮件说服目标点击恶意链接。
受害者下载并运行伪装的安装程序。
软件在未经IT批准的情况下安装。
攻击者连接到新安�装的软件。
如果这些步骤中的任何一个被阻止,攻击就会失败。这就是为什么强大的网络钓鱼防御、安装控制和账户安全措施至关重要。
防止在您的环境中滥用 Splashtop
虽然软件本身在此活动中未被利用,但组织可以采取积极措施,使攻击者更难滥用合法软件:
限制软件安装 通过终端管理策略仅限于批准的管理员。
教育员工 如何识别网络钓鱼尝试,包括可疑的文件共享链接。
提醒员工 永远不要从意外的邮件中下载或运行安装程序,即使它们看起来来自内部来源。
鼓励快速报告 任何可疑消息或意外的远程访问提示。
结合这些措施,即使网络钓鱼邮件漏网,也有多重保障措施阻止攻击者获得访问权限。
Splashtop如何帮助保护访问
Splashtop包含内置的安全功能,旨在让组织控制谁可以连接、从哪里连接以及在什么条件下连接。当正确配置时,这些功能使攻击者更难滥用平台。
关键安全功能包括:
多因素身份验证(MFA) 在授予访问权限之前验证用户身份。
单点登录(SSO)集成 用于集中访问控制和执行公司身份验证策略。
基于角色的访问控制 允许管理员根据工作职能限制权限。
设备认证 确保只有批准的机器可以连接。
会话日志和录制 以便了解谁在何时访问了什么。
精细部署控制 以限制 Splashtop Streamer 的安装到批准的系统。
我们对安全的承诺
Splashtop非常重视安全,并密切监控涉及我们产品的网络威胁报告,即使活动是由于滥用而非漏洞造成的。我们相信透明度对于维护与客户和合作伙伴的信任至关重要。
我们的安全和工程团队不断评估潜在的滥用场景,增强检测能力,并提供指导以帮助客户安全配置Splashtop。当新的威胁情报出现时,我们会评估是否需要对产品功能、默认设置或客户教育材料进行更改。
当Splashtop由授权管理员部署和管理时,它仍然是一个安全可靠的远程访问平台。通过结合我们的内置安全功能、终端保护和用户意识培训,组织可以显著降低滥用风险。
探索我们的Splashtop产品并联系我们以了解更多关于我们解决方案和安全的信息。
