行業新聞與部落格

有記錄顯示，新一波以網路釣魚為主導的入侵事件正在發生，攻擊者濫用合法的遠端監控和管理 (RMM) 工具，利用虛假的 PayPal 警報來獲取個人和企業訪問許可權。

Cyberproof 週二釋出的一份諮詢報告中記錄了這一活動，這標誌著網路詐騙活動從季節性誘餌轉向了高緊迫性的金融主題，同時也凸顯了受信任的遠端訪問軟體如何繼續被武器化以逃避檢測。

早期的詐騙活動主要依靠虛假資訊，例如節日派對邀請函、稅務通知或檔案簽署請求。而最近的詐騙活動則利用偽造的 PayPal 警告資訊，旨在誘使受害者立即採取行動。

從個人賬戶到企業立足點

CyberProof 的研究人員調查了客戶環境中的六起事件，其中包括一起員工個人 PayPal 賬戶作為初始入口點的案例。

2026 年 1 月 5 日，該公司的託管檢測和響應 (MDR) 團隊發現了可疑活動，後來這些活動升級為公司訪問許可權。

攻擊始於一封偽造的 PayPal 電子信箱，隨後攻擊者透過電話進行社交工程攻擊。攻擊者冒充客服人員，誘騙受害者安裝合法的遠端訪問軟體。

在攻擊者轉向 AnyDesk 以維持訪問許可權之前，LogMeIn Rescue 已率先部署。入侵期間未觸發任何端點檢測與響應 (EDR) 警報。

RMM 冗餘和安全建議

作為背景，攻擊者使用一個 RMM 工具安裝另一個 RMM 工具是博通公司最近的研究中也指出的一種模式。

這種方法似乎旨在降低被發現的可能性，並可能透過輪換試用許可證來避免許可證過期。

這些攻擊產生的痕跡包括多個 LogMeIn Rescue 二進位制檔案以及對活躍遠端會話的確認。

透過定時任務和偽裝成 Gmail 名稱的啟動快捷方式，實現了持久化執行。這種策略旨在融入常規系統活動，避免在例行檢查中引起懷疑。

Cyberproof 警告說： “雖然這場運動背後的直接動機似乎是經濟利益，但長期風險很大。  ”

“透過這些遠端監控管理‘後門’獲得的訪問許可權可以出售給高階持續性威脅 (APT) 攻擊者，從而導致企業全面淪陷或勒索軟體部署。”

為了應對類似的威脅，網路安全公司建議加強網路釣魚控制，限制對常用 RMM 埠的網路訪問，並避免暴露 RDP 等遠端服務。

報告還敦促各組織維護離線備份，評估第三方遠端監控管理 (RMM) 工具的風險，保持安全軟體更新，並加強使用者培訓，作為零信任安全模型的一部分。