行业新闻与博客

有记录显示，新一波以网络钓鱼为主导的入侵事件正在发生，攻击者滥用合法的远程监控和管理 (RMM) 工具，利用虚假的 PayPal 警报来获取个人和企业访问权限。

Cyberproof 周二发布的一份咨询报告中记录了这一活动，这标志着网络诈骗活动从季节性诱饵转向了高紧迫性的金融主题，同时也凸显了受信任的远程访问软件如何继续被武器化以逃避检测。

早期的诈骗活动主要依靠虚假信息，例如节日派对邀请函、税务通知或文件签署请求。而最近的诈骗活动则利用伪造的 PayPal 警告信息，旨在诱使受害者立即采取行动。

从个人账户到企业立足点

CyberProof 的研究人员调查了客户环境中的六起事件，其中包括一起员工个人 PayPal 账户作为初始入口点的案例。

2026 年 1 月 5 日，该公司的托管检测和响应 (MDR) 团队发现了可疑活动，后来这些活动升级为公司访问权限。

攻击始于一封伪造的 PayPal 电子邮件，随后攻击者通过电话进行社交工程攻击。攻击者冒充客服人员，诱骗受害者安装合法的远程访问软件。

在攻击者转向 AnyDesk 以维持访问权限之前，LogMeIn Rescue 已率先部署。入侵期间未触发任何端点检测与响应 (EDR) 警报。

RMM 冗余和安全建议

作为背景，攻击者使用一个 RMM 工具安装另一个 RMM 工具是博通公司最近的研究中也指出的一种模式。

这种方法似乎旨在降低被发现的可能性，并可能通过轮换试用许可证来避免许可证过期。

这些攻击产生的痕迹包括多个 LogMeIn Rescue 二进制文件以及对活跃远程会话的确认。

通过定时任务和伪装成 Gmail 名称的启动快捷方式，实现了持久化运行。这种策略旨在融入常规系统活动，避免在例行检查中引起怀疑。

Cyberproof 警告说： “虽然这场运动背后的直接动机似乎是经济利益，但长期风险很大。  ”

“通过这些远程监控管理‘后门’获得的访问权限可以出售给高级持续性威胁 (APT) 攻击者，从而导致企业全面沦陷或勒索软件部署。”

为了应对类似的威胁，网络安全公司建议加强网络钓鱼控制，限制对常用 RMM 端口的网络访问，并避免暴露 RDP 等远程服务。

报告还敦促各组织维护离线备份，评估第三方远程监控管理 (RMM) 工具的风险，保持安全软件更新，并加强用户培训，作为零信任安全模型的一部分。