有毒的#幫手網路釣魚活動
一個名為 VENOMOUS#HELPER 的複雜網路釣魚活動至少從 2025 年 4 月起就開始活躍,它利用合法的遠端監控和管理 (RMM) 工具,針對多種攻擊途徑發動攻擊。超過 80 家組織受到影響,其中大部分位於美國。該活動與先前記錄在案的名為 STAC6405 的攻擊群集活動有重疊。儘管攻擊的歸因尚不明確,但其運作模式與以盈利為目的的初始訪問代理 (IAB) 或勒索軟體前體組織高度吻合,這些組織試圖建立立足點,以便後續進行攻擊。
目錄
依賴可信任工具:濫用合法遠端監控管理軟體
攻擊者並非直接部署惡意軟體,而是依賴諸如 SimpleHelp 和 ConnectWise ScreenConnect 等合法工具的定製版本。由於這些應用程式在企業環境中被廣泛使用,它們的存在往往能夠繞過傳統的安全控制措施,從而避免引起懷疑。
同時部署這兩種工具是一種蓄意策略。攻擊者透過建立雙重遠端存取通道來確保行動的穩定性。即使其中一個連線被偵測並被阻斷,第二個通道仍然保持活動狀態,從而允許持續的未經授權存取而不中斷。
網路釣魚的切入點:利用可信賴偽裝進行社會工程攻擊
攻擊鏈始於一封精心製作的釣魚郵件,該郵件冒充美國社會安全署(SSA)。郵件誘使收件者驗證其電子郵件地址,並透過嵌入的連結下載所謂的SSA聲明。
值得注意的是,該連結將受害者引導至一個合法但已被入侵的墨西哥企業網站,這表明攻擊者有意繞過垃圾郵件過濾器和基於信譽的防禦機制。受害者隨後會被重定向至第二個由攻擊者控制的域名,該域名託管著偽裝成合法文件的惡意程式。
有效載荷交付與持久性:建構長期存取能力
下載完成後,該惡意程式(打包成 Windows 執行檔)會啟動 SimpleHelp RMM 工具的安裝。據信,攻擊者已入侵主機伺服器上的 cPanel 帳戶,以便部署該惡意檔案。
惡意軟體執行後,會透過多種機制建立持久性和復原能力:
- 以 Windows 服務形式安裝,並具備安全模式下的持久化功能
- 部署一個具有自癒功能的監控程序,該程序可在服務終止時自動重新啟動服務。
- 每 67 秒透過 root\SecurityCenter2 WMI 命名空間定期列舉已安裝的安全性產品
這些技術確保惡意行為保持活躍、適應性強且難以根除。
權限提升和全系統控制
為了實現對受感染系統的完全互動式控制,SimpleHelp 用戶端透過 AdjustTokenPrivileges 取得 SeDebugPrivilege 權限來提升權限。此外,它還利用軟體的合法元件「elev_win.exe」來取得 SYSTEM 層級存取權限。
這種提升的權限等級使攻擊者能夠:
- 監控並捕捉螢幕活動
- 即時注入按鍵
- 在使用者情境中存取敏感資源
這種能力可以有效地完全控制受害者的環境,而不會觸發傳統的安全警報。
冗餘存取策略:使用 ScreenConnect 作為備用通道
在建立主存取通道後,攻擊者會部署 ConnectWise ScreenConnect 作為輔助遠端存取機制。這樣即使初始的 SimpleHelp 連線被辨識並阻止,也能確保攻擊的持久性。
使用多個合法工具凸顯了一種旨在持久性和隱蔽性的分層存取策略,這使得偵測和事件回應工作變得更加複雜。
作戰影響:隱蔽控制
已部署的 SimpleHelp 版本 (5.0.1) 提供了一套強大的遠端管理功能。一旦嵌入到環境中,攻擊者便可自由且隱密地進行操作。受感染的組織將持續面臨攻擊風險,因為攻擊者可以隨時重新進入系統。
這個環境實際上變成了一個受控資產,攻擊者可以悄無聲息地執行命令、雙向傳輸文件,並在網路中橫向移動。由於所有活動都看似來源自信良好的英國供應商提供的合法簽章軟體,傳統的防毒軟體和基於特徵碼的防禦措施往往無法偵測到入侵。
結論:現代入侵的藍圖
VENOMOUS#HELPER 事件體現了利用合法管理工具進行惡意攻擊的日益增長的趨勢。該攻擊活動結合了社會工程、可信任軟體濫用和冗餘存取機制,實現了持久性、隱蔽性和操作靈活性。這種攻擊方式凸顯了在企業環境中加強行為監控、遵循零信任原則以及對合法工具使用情況進行更嚴格審查的緊迫性。
