關(guān)鍵詞

釣魚(yú)

微軟 Defender 專(zhuān)家團(tuán)隊(duì)本周發(fā)布了最新安全報(bào)告，稱(chēng)其在 2026 年 2 月監(jiān)測(cè)到多起由未知威脅行為者發(fā)起的釣魚(yú)攻擊活動(dòng)。

這些攻擊利用常見(jiàn)的辦公會(huì)議誘餌、PDF 附件以及對(duì)合法二進(jìn)制文件的濫用，最終向受害者系統(tǒng)投遞了帶有有效數(shù)字簽名的惡意軟件。

根據(jù)微軟 Defender 遙測(cè)數(shù)據(jù)，安全研究人員通過(guò)取證分析發(fā)現(xiàn)，此次攻擊活動(dòng)圍繞極具欺騙性的釣魚(yú)郵件展開(kāi)。郵件內(nèi)嵌偽造的 PDF 附件或鏈接，偽裝成會(huì)議邀請(qǐng)、財(cái)務(wù)文件、發(fā)票或組織通知。

這些誘餌引導(dǎo)用戶(hù)下載偽裝成合法軟件的惡意可執(zhí)行文件，通常會(huì)偽裝成 Teams、Zoom、Trust Connect、Adobe Reader 等文件。值得注意的是，這些文件均使用頒發(fā)給 TrustConnect Software PTY LTD 的擴(kuò)展驗(yàn)證（EV）證書(shū)進(jìn)行了數(shù)字簽名。

一旦用戶(hù)執(zhí)行，這些惡意應(yīng)用便會(huì)部署遠(yuǎn)程監(jiān)控和管理（RMM）工具，包括 ScreenConnect、Tactical RMM 和 Mesh Agent。這些工具使攻擊者能夠在受害系統(tǒng)中建立持久性訪問(wèn)，并可能進(jìn)行橫向傳播。

案例一：偽造 PDF 附件誘餌“請(qǐng)?jiān)诖颂幋蜷_(kāi)”

在其中一個(gè)被記錄的活動(dòng)中，受害者收到一封包含偽造 PDF 附件的郵件。該附件打開(kāi)后僅顯示一張模糊的靜態(tài)圖片，模仿受限文檔的外觀。圖片上的紅色按鈕寫(xiě)著“在 Adobe 中打開(kāi)”，誘導(dǎo)用戶(hù)點(diǎn)擊以繼續(xù)訪問(wèn)文件。

然而，點(diǎn)擊后并不會(huì)顯示文檔，而是將用戶(hù)重定向至一個(gè)精心偽裝的仿冒網(wǎng)頁(yè)，該頁(yè)面酷似 Adobe 官方下載中心。

頁(yè)面提示用戶(hù)的 Adobe Acrobat 版本過(guò)舊，并自動(dòng)開(kāi)始下載一個(gè)看似合法更新程序、實(shí)為 RMM 軟件包的文件，而該軟件包同樣由 TrustConnect Software PTY LTD 進(jìn)行了數(shù)字簽名。

案例二：高度仿真的會(huì)議邀請(qǐng)釣魚(yú)

在另一組活動(dòng)中，攻擊者被觀察到分發(fā)極具迷惑性的 Teams 和 Zoom 釣魚(yú)郵件，它們模仿真實(shí)的會(huì)議邀請(qǐng)、項(xiàng)目投標(biāo)或財(cái)務(wù)通信。

這些郵件包含嵌入的釣魚(yú)鏈接，引導(dǎo)用戶(hù)下載偽裝成可信應(yīng)用的軟件。欺詐網(wǎng)站顯示“版本過(guò)舊”或“需要更新”的提示，誘使用戶(hù)操作，從而下載的所謂 Teams、Zoom 或谷歌 Meet 安裝程序，實(shí)際上仍是同樣由 TrustConnect Software PTY LTD 簽名的遠(yuǎn)程監(jiān)控和管理（RMM）軟件。

RMM 后門(mén)部署詳解

一旦用戶(hù)從下載目錄執(zhí)行了偽裝成 Workspace 應(yīng)用的可執(zhí)行文件（由 TrustConnect 簽名），該程序會(huì)在 C:\Program Files 下創(chuàng)建自身的副本，以此強(qiáng)化其作為合法系統(tǒng)安裝程序的外觀。隨后，程序?qū)?fù)制后的可執(zhí)行文件注冊(cè)為 Windows 服務(wù)，實(shí)現(xiàn)在系統(tǒng)啟動(dòng)時(shí)的持久化與隱蔽執(zhí)行。

作為持久化機(jī)制的一部分，該服務(wù)還在注冊(cè)表中創(chuàng)建新的鍵，使其配置為開(kāi)機(jī)自啟動(dòng)。此時(shí)，該服務(wù)會(huì)建立與攻擊者控制的命令與控制（C2）域 trustconnectsoftware [.]com 的出站連接。

安裝階段結(jié)束后，偽裝的工作軟件（TrustConnect RMM）啟動(dòng)經(jīng)過(guò)編碼的 PowerShell 命令，旨在從攻擊者基礎(chǔ)設(shè)施下載額外程序。這些 PowerShell 命令檢索 ScreenConnect 客戶(hù)端安裝程序文件（.msi），并將其暫存于系統(tǒng)臨時(shí)目錄中，為二次部署做準(zhǔn)備。隨后，系統(tǒng)調(diào)用 Windows 的 msiexec.exe 實(shí)用程序執(zhí)行暫存的安裝文件，最終完成 ScreenConnect 的完整安裝，并創(chuàng)建多個(gè)注冊(cè)表項(xiàng)以確保持久性。

在此案例中，活動(dòng)可能涉及通過(guò) MSI 包傳遞的 ScreenConnect 本地部署版本。默認(rèn)情況下，本地部署的 ScreenConnect MSI 安裝程序是未簽名的。因此，在惡意活動(dòng)中遇到未簽名的安裝程序，通常意味著該程序可能通過(guò)未經(jīng)授權(quán)的渠道獲取。對(duì) ScreenConnect 二進(jìn)制文件的審查顯示，隨安裝程序釋放的可執(zhí)行文件所附帶的簽名證書(shū)早已被吊銷(xiāo)。這種模式 —— 未簽名的安裝程序后跟帶有無(wú)效簽名的可執(zhí)行文件 —— 在類(lèi)似入侵中屢見(jiàn)不鮮。

對(duì)注冊(cè)表工件的分析表明，已安裝的后門(mén)在多個(gè) Windows 注冊(cè)表位置創(chuàng)建并維護(hù)了多個(gè) ScreenConnect 客戶(hù)端相關(guān)的注冊(cè)表值，深入嵌入操作系統(tǒng)。在這些注冊(cè)表鍵中，嵌入的參數(shù)主要包括編碼的標(biāo)識(shí)符、回調(diào)令牌和連接元數(shù)據(jù)，確保了在系統(tǒng)重啟或服務(wù)中斷后能夠無(wú)縫重建遠(yuǎn)程訪問(wèn)。

IT之家注意到，此配置字符串主要指向位于 C:\Program Files (x86)\ScreenConnect Client [客戶(hù)端 ID] 的 ScreenConnect.ClientService.exe 可執(zhí)行文件，包含編碼的有效載荷，詳述了服務(wù)器地址、會(huì)話標(biāo)識(shí)符和身份驗(yàn)證參數(shù)，確保后門(mén)具備可靠的持久性、操作隱蔽性和持續(xù)的 C2 可用性。

多重 RMM 部署：冗余控制策略

分析過(guò)程中還發(fā)現(xiàn)，攻擊者并未僅依賴(lài)惡意的 ScreenConnect 后門(mén)維持訪問(wèn)權(quán)限。同時(shí)，攻擊者部署了額外的遠(yuǎn)程監(jiān)控和管理工具，以加強(qiáng)立足點(diǎn)的冗余性并擴(kuò)大對(duì)環(huán)境的控制。與 TrustConnect RMM 關(guān)聯(lián)的偽裝工作可執(zhí)行文件啟動(dòng)了一系列編碼的 PowerShell 命令 —— 同樣用于部署 ScreenConnect—— 實(shí)現(xiàn)了從攻擊者控制的服務(wù)器下載并安裝 Tactical RMM。作為此次二次安裝的一部分，Tactical RMM 的部署又進(jìn)一步安裝了 MeshAgent，提供了又一個(gè)遠(yuǎn)程訪問(wèn)渠道以實(shí)現(xiàn)持久化。

在單次入侵中使用多個(gè) RMM 框架，體現(xiàn)了攻擊者精心設(shè)計(jì)的策略：確保持續(xù)訪問(wèn)，多樣化 C2 能力，即使某一訪問(wèn)機(jī)制被檢測(cè)或移除，仍能保持操作彈性。

微軟防護(hù)與緩解指南

為降低此類(lèi)威脅的影響，微軟建議采取以下緩解措施：

• 遵循微軟技術(shù)配置文件中的建議，緩解環(huán)境中未經(jīng)授權(quán)的 RMM 使用。

• 使用 Windows Defender 應(yīng)用程序控制或 AppLocker 創(chuàng)建策略，阻止未經(jīng)批準(zhǔn)的 IT 管理工具。這兩種解決方案均包含基于特定軟件發(fā)布者證書(shū)進(jìn)行阻止的功能。

• Microsoft Defender for Endpoint 也提供通過(guò)“阻止證書(shū)”操作來(lái)阻止特定簽名應(yīng)用程序的功能。

• 對(duì)于環(huán)境中使用的已批準(zhǔn) RMM 系統(tǒng)，盡可能實(shí)施多因素認(rèn)證（MFA）。

• 搜索未經(jīng)批準(zhǔn)的 RMM 軟件安裝，若發(fā)現(xiàn)，重置用于安裝 RMM 服務(wù)的賬戶(hù)密碼。

• 開(kāi)啟 Microsoft Defender 防病毒或等效產(chǎn)品的云保護(hù)，以覆蓋快速演變的攻擊工具和技術(shù)。

• 啟用 Microsoft Defender for Office 365 中的安全鏈接和安全附件。

• 啟用 ZAP（零小時(shí)自動(dòng)清除），以響應(yīng)新獲取的威脅情報(bào)，并追溯性地清除已投遞到郵箱的惡意郵件。

• 使用支持 Microsoft Defender SmartScreen 的瀏覽器（如 Microsoft Edge），以識(shí)別和阻止惡意網(wǎng)站。

• Microsoft Defender XDR 客戶(hù)可使用高級(jí)防護(hù)抵御勒索軟件；阻止源自 PsExec 和 WMI 命令的進(jìn)程創(chuàng)建；阻止可執(zhí)行文件運(yùn)行，除非其符合 Prevalence、Age 或受信任列表標(biāo)準(zhǔn)。

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專(zhuān)注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！