從假邀請到長期潛伏：攻擊者正用 RMM 工具滲透企業內網

近期一波持續擴張的攻擊行動，再次證明「合法工具濫用」已全面取代傳統惡意程式，成為攻擊者最偏好的滲透方式。這次事件中，威脅行為者透過各種誘餌郵件（包括假派對邀請、稅務通知、帳單、Zoom 邀請等），引導受害者下載安裝檔。受害電腦一旦執行，便會被部署遠端管理與監控（RMM）工具，例如：

• ScreenConnect

• LogMeIn Resolve（原 GoTo Resolve）

• Naverisk

• SimpleHelp

• PDQ

• Atera

這些本來應該由 IT 或 MSP 使用的「合法遠端管理工具」，在攻擊者手上變成最完美的後門：不觸發大部分傳統防毒警報，又能長期存取、橫向移動、投遞更多惡意工具。

🔎 攻擊者的策略變了：從單一 RMM → 多 RMM 疊加

這個威脅行為者至少自 2025 年 4 月 已活躍。早期攻擊模式相當單純：只安裝 ScreenConnect → 再透過它部署後續工具組。

但從年中開始，策略明顯升級：

• 6 月起：加入 SimpleHelp

• 8 月後：開始散佈 PDQ、Atera

• 10 月起：主力改為 LogMeIn Resolve + Naverisk +（仍常見）ScreenConnect

更值得注意的是：這些工具不是一次安裝，而是分批、間隔數天甚至數週陸續部署。

示例：

▪ 案例 A（企業環境）

• 8 月：以 document.clientsetup.msi 安裝 ScreenConnect

• 之後多次透過 RMM 投遞工具

• 9/20：安裝另一版本 ScreenConnect

• 9/21：安裝 LogMeIn Resolve，檔名假裝成 Adobe Reader 更新

▪ 案例 B

• 10/31：先安裝 LogMeIn Resolve

• 隨即利用它再安裝 ScreenConnect

• ScreenConnect 被用來投遞 HideMouse、WebBrowserPassView 等

• 11/6：同一台機器又出現 Naverisk

這種「分階段多重 RMM 疊加」代表攻擊者不只在尋找突破口，而是在打造冗餘後門。就算其中一個 RMM 被發現或卸載，攻擊者仍能透過其他管道回到受害環境。

🎭 誘餌變得更像企業日常：從派對邀請到付款逾期

攻擊郵件使用的主題高度貼近企業日常，降低使用者警覺：

• Party Invitation / December Holiday Party

• Invoice / Tax correspondence

• Payment overdue

• DocuSign / 合約待簽署

• Zoom Meeting 邀請

• Notification / Statement

郵件中的 URL 指向偽裝的 MSI 或 EXE 安裝檔，常見命名包括：

• Adobe_Reader_v12.msi

• PARTY_INVITATION.msi

• RSVP_ANNIVERSARY_2025.msi

• REVISED_CONTRACT_PROPOSAL.exe

• Invitation_e-Card.exe

• Approval3546.msi

表象看似正常，但實際內容與檔名完全不符。

🛠 攻擊後行為：隱匿、關防護、偷帳密

在成功部署 RMM 後，攻擊者會進一步下載完整工具包，包括：

• HideMouse.exe：隱藏滑鼠游標動作，規避使用者察覺

• WebBrowserPassView：擷取瀏覽器保存的帳密

• Defender Control：關閉 Windows Defender

• 其他尚未完全分析的工具：

  • Hidefromcontrolpanel

  • PhoneLinkLauncher

  • Windowspasskey

這組工具透露明確意圖：

1. 隱藏痕跡（不讓使用者看到有人在遠端操控）

2. 關閉防護系統

3. 大量蒐集憑證與帳密

顯示攻擊者要的不是一次性破壞，而是長期存取權。

🧩 最可能的真正目的：存取權仲介（Access Broker）

目前尚未查到立即勒索或破壞的行為，但攻擊者具備以下特徵：

• 清楚關注「長期、穩定的後門」

• 持續強化可用的遠端存取能力

• 大量竊取帳密與憑證

• 不急著展開最終攻擊

這非常符合 Access Broker（起始滲透權仲介） 行為模式：

先滲透 → 建立後門 → 盜憑證 → 穩定存取 → 把存取權賣給其他攻擊集團

例如：

• 勒索軟體團體

• 進階持續性攻擊者（APT）

• 金融詐欺/竊取資料集團

換句話說：

你看到的只是第一階段。後續真正的破壞往往由別的威脅集團接手。

🛡 企業防護與治理：該如何面對這類「合法工具濫用」？

以下是可以立即落地的做法：

1. 將 RMM 管理納入資產治理（而不是只靠封鎖）

• 明確規範公司允許使用的 RMM 工具

• 盤點全網所有已部署的 RMM

• 修訂基線：非核准 RMM 一律列為高風險

• 對 MSI/EXE 形式的 RMM 安裝流量提高偵測權重

2. 監控「安裝行為」而不是只監控「檔案」

攻擊者的 MSI/EXE 檔每天都在換：hash 封鎖永遠落後。

建議：

• 偵測使用者從 Email/下載資料夾執行 MSI/EXE 的行為

• 偵測檔名與實際內容不一致（Adobe → RMM）

• 偵測同一台端點短期間安裝多套 RMM

• 偵測簽章異常或無簽章的 MSI

3. 保護憑證（因為攻擊者最想要的就是它）

• 避免把系統管理密碼儲存在瀏覽器

• 關鍵帳號強制 MFA

• 定期更換（尤其是 AD / VPN / SaaS 管理員）

4. EDR / XDR 行為偵測

需偵測：

• 安裝 RMM 的異常行為路徑

• Defender/AV 防護被停用

• 隱藏遠端操作行為（如 HideMouse）

• 頻繁的外部連線建立（RMM 預設連線）

• 新增 Windows 服務、排程、啟動項目

5. 電子郵件安全與員工教育

教育重點：

• 年末派對邀請、帳單、DocuSign、「需要你簽名」這些郵件是最常見的攻擊誘餌

• 所有可下載程式（MSI/EXE）都需提高警覺

• 若不確定是否屬於公司操作，應先回報 IT/資安

🧾 Indicators of Compromise（IoC）

這次攻擊涉及大量惡意 MSI / EXE、RMM 安裝器與惡意網址。完整 IoC 請見 https://www.security.com/threat-intelligence/rmm-logmein-attacks

✅ 封鎖策略建議（技術＋治理兩條線）

這邊給的是「能真正落地且企業端能執行」的策略

（一）端點 / EDR / XDR 層級

1. 行為規則比 Hash 更重要

攻擊者每天換 MSI/EXE 名稱 → hash 不可靠應強制加入行為偵測：

• Email / Downloads 目錄出現 MSI/EXE 執行 → 高風險事件

• MSI 安裝 ScreenConnect / LogMeIn / Naverisk → 高權重警告

• Windows Defender 被停用 → 自動提權事件

• 檔案名稱「Adobe / DocuSign / Invoice」但內容為 RMM → 直接視為惡意

• 短期內多次安裝不同 RMM → 高度可疑攻擊鏈

（二）網路 / Proxy / Firewall 層級

1. 阻擋所有未知 RMM 安裝來源（domain / URL）

2. 將所有 R2.dev / Vercel.app / Netlify.app 限制為「僅允許已知業務用途」

3. 偵測短時間內的多點 outbound RMM 流量

   • ConnectWise / LogMeIn / Atera / AnyDesk / ScreenConnect

4. DNS 層面啟用：

   • New Domain Alert（註冊 < 90 天的 domain）

   • High-Risk Country TLD Alert

   • Multiple RMM Beaconing Alert

（三）治理層（最常被忽略，但最關鍵）

1. 建立 RMM 白名單政策

   • 明確規範：公司允許哪些 RMM

   • 所有其他 RMM 一律視為未授權工具

   • 需能被自動偵測到（EDR / NAC / 端點掃描）

2. RMM 使用者身份需強制 MFA否則攻擊者一旦抓到憑證就能完全操作。

3. 企業需定期盤點所有端點的 RMM Agent

   • 版本

   • 來源

   • 安裝時間

   • 是否與 AD / 管理員帳號綁定

4. 若你發現同一台端點有 ≥2 套 RMM，視為可能遭入侵正常企業根本不需要多套。

📌 結語

攻擊者不是要一次打擊，而是要「永遠在你的網路裡」。

這類活動真正值得警惕的不是某個惡意檔案，而是攻擊者的 行為模式正在全面「企業化」：

• 合法工具濫用

• 多層後門冗餘

• 長期存取

• 憑證收集轉賣

• 多階段滲透

如果企業仍沿用「找惡意程式」的舊思維，就會完全錯過這類攻擊核心。

真正該問的是：你的環境是否知道有哪些 RMM ？它們是否都應該存在？誰在用？用在哪裡？為什麼？

這才是這波攻擊真正提醒我們的本質問題。