远程监控和管理 (RMM) 软件,尤其是 AnyDesk、Atera 和 Splashtop 等流行工具,对于当今的 IT 管理员来说至关重要,使他们能够简化任务并确保远程位置的网络完整性。然而,这些工具也引起了网络犯罪分子的注意,他们利用它们渗透企业网络并窃取敏感数据。犯罪分子经常使用复杂的骗局和欺骗性在线广告来欺骗员工,然后员工邀请这些犯罪分子进入他们的系统。通过以修复不存在的问题为幌子说服员工下载并运行这些 RMM 应用程序,欺诈者可以不受限制地访问公司网络。
特别是针对 AnyDesk 远程软件的网络钓鱼诈骗,以及如何防止网络犯罪分子利用这些程序。首先根据受害者在公司内的职位确定目标,并通过网络钓鱼电子邮件或短信(网络钓鱼)联系受害者。攻击者可以通过将受害者发送到网络钓鱼页面或下载恶意软件来欺骗受害者,但他们实际上是在玩一场可以与受害者互动的长期游戏。用户被引导到一个新注册的模仿其金融机构的网站,并且必须下载伪装成“实时聊天应用程序”的远程桌面软件才能获得支持。
下载的软件不是恶意软件;例如,此实例使用正版(但过时的)AnyDesk 可执行文件,安全产品不会将其检测为恶意文件。运行该程序会显示可以提供给任何试图提供帮助的人的代码,从而允许攻击者获得对计算机的控制并执行看似直接来自用户的操作。
为了打击 RMM 工具的滥用,ThreatDown 提供了 ThreatDown Bundle,其中包括免费的应用程序阻止,并允许组织阻止 RMM 工具。组织可以导航到 Nebula 控制台中的“监控”部分,选择“应用程序阻止”并启用 ThreatDown 提供的“阻止 RMM”切换开关,或者自定义列表以满足其特定需求并保存设置以立即在网络范围内阻止这些 RMM 工具。
此外,uk-barclaysliveteam[.]com、barclaysbusinesslivechat[.]com、boi-bb-onlineservice[.]com 和 santanderbusiness-helpcentre[.]com 被列为网络钓鱼域指标。
【新闻评论】
近年来,远程监控和管理 (RMM) 软件已成为 IT 管理员简化任务并确保远程位置网络完整性的重要工具。然而,这些有用的工具越来越多地被网络犯罪分子滥用。特别是,流行的 RMM 工具(例如 AnyDesk、Atera 和 Splashtop)被用来渗透企业网络并窃取敏感数据。
犯罪分子经常使用复杂的骗局和欺骗性在线广告来欺骗员工,然后员工邀请这些犯罪分子进入他们的系统。具体来说,通过以修复不存在的问题为幌子说服员工下载并运行 RMM 应用程序,欺诈者可以不受限制地访问公司网络。
此类攻击的一个示例是针对 AnyDesk 远程软件的网络钓鱼诈骗。根据受害者在公司内的职位确定目标,并通过网络钓鱼电子邮件和短信(诈骗)联系受害者。攻击者可以通过将受害者发送到网络钓鱼页面或下载恶意软件来欺骗受害者,但他们实际上是在玩一场可以与受害者互动的长期游戏。
下载的软件不是恶意软件;它使用正版(但过时的)AnyDesk 可执行文件,安全产品不会将其检测为恶意文件。运行该程序会显示可以提供给任何试图提供帮助的人的代码,从而允许攻击者获得对计算机的控制并执行看似直接来自用户的操作。
为了解决这个问题,ThreatDown 免费提供 ThreatDown Bundle,其中包括应用程序阻止,以帮助组织阻止 RMM 工具。这使得组织能够阻止所有不必要的应用程序,对于那些确实需要使用的应用程序,ThreatDown Bundles 的 EDR/MDR 层在感染时提供了额外的安全网。
此类攻击的增加表明公司加强安全措施和培训员工的重要性。 RMM工具提供商还必须定期提醒用户安全使用其软件。从这个案例可以清楚地看出,网络安全是一个需要综合方法的领域,不仅包括技术措施,还包括人的方面。