行業新聞與博客

有記錄顯示，新一波以網絡釣魚為主導的入侵事件正在發生，攻擊者濫用合法的遠程監控和管理 (RMM) 工具，利用虛假的 PayPal 警報來獲取個人和企業訪問權限。

Cyberproof 週二發佈的一份諮詢報告中記錄了這一活動，這標誌着網絡詐騙活動從季節性誘餌轉向了高緊迫性的金融主題，同時也凸顯了受信任的遠程訪問軟件如何繼續被武器化以逃避檢測。

早期的詐騙活動主要依靠虛假信息，例如節日派對邀請函、税務通知或文件簽署請求。而最近的詐騙活動則利用偽造的 PayPal 警告信息，旨在誘使受害者立即採取行動。

從個人賬户到企業立足點

CyberProof 的研究人員調查了客户環境中的六起事件，其中包括一起員工個人 PayPal 賬户作為初始入口點的案例。

2026 年 1 月 5 日，該公司的託管檢測和響應 (MDR) 團隊發現了可疑活動，後來這些活動升級為公司訪問權限。

攻擊始於一封偽造的 PayPal 電郵，隨後攻擊者通過電話進行社交工程攻擊。攻擊者冒充客服人員，誘騙受害者安裝合法的遠程訪問軟件。

在攻擊者轉向 AnyDesk 以維持訪問權限之前，LogMeIn Rescue 已率先部署。入侵期間未觸發任何端點檢測與響應 (EDR) 警報。

RMM 冗餘和安全建議

作為背景，攻擊者使用一個 RMM 工具安裝另一個 RMM 工具是博通公司最近的研究中也指出的一種模式。

這種方法似乎旨在降低被發現的可能性，並可能通過輪換試用許可證來避免許可證過期。

這些攻擊產生的痕跡包括多個 LogMeIn Rescue 二進制文件以及對活躍遠程會話的確認。

通過定時任務和偽裝成 Gmail 名稱的啓動快捷方式，實現了持久化運行。這種策略旨在融入常規系統活動，避免在例行檢查中引起懷疑。

Cyberproof 警告説： “雖然這場運動背後的直接動機似乎是經濟利益，但長期風險很大。  ”

“通過這些遠程監控管理‘後門’獲得的訪問權限可以出售給高級持續性威脅 (APT) 攻擊者，從而導致企業全面淪陷或勒索軟件部署。”

為了應對類似的威脅，網絡安全公司建議加強網絡釣魚控制，限制對常用 RMM 端口的網絡訪問，並避免暴露 RDP 等遠程服務。

報告還敦促各組織維護離線備份，評估第三方遠程監控管理 (RMM) 工具的風險，保持安全軟件更新，並加強用户培訓，作為零信任安全模型的一部分。