网络钓鱼攻击利用窃取的凭证安装 LogMeIn RMM 以实现持久访问

网络安全研究人员披露了一种新的双向量攻击活动的细节，该活动利用被盗凭证部署合法的远程监控和管理 (RMM) 软件，以对受感染的主机进行持续远程访问。

KnowBe4威胁实验室的研究人员Jeewan Singh Jalal、Prabhakaran Ravichandhiran和Anand Bodke表示： “攻击者不再部署定制病毒，而是通过将管理员信任的必要IT工具武器化，绕过安全边界。他们窃取系统的‘万能钥匙’，将合法的远程监控和管理（RMM）软件变成持久性后门。”

攻击分两个截然不同的阶段展开，攻击者利用虚假的邀请通知窃取受害者的凭证，然后利用这些窃取的凭证部署远程监控管理 (RMM) 工具以建立持久访问权限。

这些虚假电子邮件伪装成来自名为 Greenvelope 的合法平台的邀请函，旨在诱骗收件人点击钓鱼链接，窃取其 Microsoft Outlook、Yahoo! 和 AOL.com 的登录信息。一旦获取了这些信息，攻击就会进入下一阶段。

具体来说，这涉及威胁行为者使用被盗用的电子邮件在 LogMeIn 注册以生成 RMM 访问​​令牌，然后通过名为“GreenVelopeCard.exe”的可执行文件在后续攻击中部署这些令牌，以建立对受害者系统的持久远程访问。

该二进制文件使用有效的证书签名，其中包含一个 JSON 配置，该配置可作为通道，在受害者不知情的情况下静默安装 LogMeIn Resolve（以前称为 GoTo Resolve），并连接到攻击者控制的 URL。

远程监控管理 (RMM) 工具部署完毕后，攻击者利用远程访问权限篡改其服务设置，使其在 Windows 系统上拥有不受限制的访问权限。此外，攻击者还会设置隐藏的计划任务，即使用户手动终止 RMM 程序，这些任务也会自动启动 RMM 程序。

为了应对这一威胁，建议各组织监控未经授权的 RMM 安装和使用模式。