有毒的#帮手网络钓鱼活动
一个名为 VENOMOUS#HELPER 的复杂网络钓鱼活动至少从 2025 年 4 月起就开始活跃,它利用合法的远程监控和管理 (RMM) 工具,针对多种攻击途径发起攻击。超过 80 家组织受到影响,其中大部分位于美国。该活动与之前记录在案的名为 STAC6405 的集群活动存在重叠。尽管攻击的确切来源尚不明确,但其运作模式与以盈利为目的的初始访问代理 (IAB) 或勒索软件前体组织高度吻合,这些组织试图建立立足点,以便后续进行攻击。
目录
依赖可信工具:滥用合法远程监控管理软件
攻击者并非直接部署恶意软件,而是依赖于诸如 SimpleHelp 和 ConnectWise ScreenConnect 等合法工具的定制版本。由于这些应用程序在企业环境中被广泛使用,它们的存在往往能够绕过传统的安全控制措施,从而避免引起怀疑。
同时部署这两种工具是一种蓄意策略。攻击者通过建立双远程访问通道来确保行动的稳定性。即使其中一个连接被检测并被阻断,第二个通道仍然保持活动状态,从而允许持续的未经授权访问而不中断。
网络钓鱼的切入点:利用可信伪装进行社会工程攻击
攻击链始于一封精心制作的钓鱼邮件,该邮件冒充美国社会保障署(SSA)。邮件诱使收件人验证其电子邮件地址,并通过嵌入的链接下载一份所谓的SSA声明。
值得注意的是,该链接会将受害者引导至一个合法但已被入侵的墨西哥企业网站,这表明攻击者有意绕过垃圾邮件过滤器和基于信誉的防御机制。受害者随后会被重定向至第二个由攻击者控制的域名,该域名托管着伪装成合法文档的恶意程序。
有效载荷交付与持久性:构建长期访问能力
下载完成后,该恶意程序(打包成 Windows 可执行文件)会启动 SimpleHelp RMM 工具的安装。据信,攻击者已入侵主机服务器上的 cPanel 账户,以便部署该恶意文件。
恶意软件执行后,会通过多种机制建立持久性和恢复能力:
- 以 Windows 服务形式安装,并具备安全模式下的持久化功能
- 部署一个具有自愈功能的监控程序,该程序可在服务终止时自动重启服务。
- 每 67 秒通过 root\SecurityCenter2 WMI 命名空间定期枚举已安装的安全产品
这些技术确保恶意行为保持活跃、适应性强且难以根除。
权限提升和全系统控制
为了实现对受感染系统的完全交互式控制,SimpleHelp 客户端通过 AdjustTokenPrivileges 获取 SeDebugPrivilege 权限来提升权限。此外,它还利用软件的合法组件“elev_win.exe”来获取 SYSTEM 级访问权限。
这种提升的权限级别使攻击者能够:
- 监控并捕获屏幕活动
- 实时注入按键
- 在用户上下文中访问敏感资源
这种能力可以有效地完全控制受害者的环境,而不会触发传统的安全警报。
冗余访问策略:使用 ScreenConnect 作为备用通道
在建立主访问通道后,攻击者会部署 ConnectWise ScreenConnect 作为辅助远程访问机制。这样即使初始的 SimpleHelp 连接被识别并阻止,也能确保攻击的持久性。
使用多个合法工具凸显了一种旨在持久性和隐蔽性的分层访问策略,这使得检测和事件响应工作变得更加复杂。
作战影响:隐蔽控制
已部署的 SimpleHelp 版本 (5.0.1) 提供了一套强大的远程管理功能。一旦嵌入到环境中,攻击者便可自由且隐蔽地进行操作。受感染的组织将持续面临攻击风险,因为攻击者可以随时重新进入系统。
该环境实际上变成了一个受控资产,攻击者可以悄无声息地执行命令、双向传输文件,并在网络中横向移动。由于所有活动都看似源自信誉良好的英国供应商提供的合法签名软件,传统的防病毒软件和基于特征码的防御措施往往无法检测到入侵。
结论:现代入侵的蓝图
VENOMOUS#HELPER 事件体现了利用合法管理工具进行恶意攻击的日益增长的趋势。该攻击活动结合了社会工程学、可信软件滥用和冗余访问机制,实现了持久性、隐蔽性和操作灵活性。这种攻击方式凸显了在企业环境中加强行为监控、遵循零信任原则以及对合法工具使用情况进行更严格审查的迫切性。
