VENOMOUS#HELPER 网络钓鱼活动攻击美国 80 多家机构，借助 RMM 工具渗透

一场隐匿于日常视野中的网络钓鱼活动

一场被称为 VENOMOUS#HELPER 的复杂网络钓鱼活动已入侵美国 80 多家机构，令人警觉的不仅是攻击者自行构建的工具，更是他们所借用的现成工具。该活动利用合法的远程监控与管理（RMM）软件——具体为 SimpleHelp 和 ScreenConnect——在受害者网络内部建立持久化远程访问。

RMM 工具被 IT 部门和托管服务提供商广泛用于远程诊断、更新和管理终端设备。由于这类工具受到企业安全过滤器的信任，对于希望混入正常网络流量的攻击者而言，它们是极具吸引力的载体。VENOMOUS#HELPER 充分利用了这一信任关系。

攻击链从网络钓鱼邮件开始，将受害者引导至已被攻陷的企业网站。使用真实的、此前合法的域名，有助于该活动绕过会标记未知或新注册站点的电子邮件安全过滤器和网络信誉检查。一旦受害者与恶意内容交互，RMM 软件便会被静默安装，使攻击者获得持久立足点，即便系统重启、终端扫描，乃至某些安全工具部署后，这一立足点依然存在。

RMM 软件如何成为安全隐患

VENOMOUS#HELPER 所揭示的核心问题，并非 SimpleHelp 或 ScreenConnect 本身存在安全缺陷。这些都是每天被数千个合法 IT 团队使用的知名产品。问题在于，攻击者已找到将这些工具的实用特性武器化的方法：轻量级安装、持久连接，以及在网络中横向移动的能力。

RMM 代理一旦安装，通常通过标准 Web 端口向外通信，而许多防火墙默认允许此类流量。这意味着控制恶意 RMM 会话的攻击者，可以横向移动至相邻系统、窃取数据，或部署其他恶意软件——所有这些行为在网络监控仪表板上看起来都与常规 IT 活动无异。

以被攻陷的第三方网站作为投递机制，为防御者增加了又一层难度。传统的入侵指标——例如标记未知域名或未签名的可执行文件——在攻击载荷来自安全工具已标记为良性的站点时，效果大打折扣。

这对您意味着什么

对于个人用户，尤其是远程办公或混合办公的人员，此次活动提醒我们：如果未经妥善管理，雇主用于管理工作设备的软件本身就存在真实风险。RMM 工具通常以较高权限运行。一旦攻击者控制了该渠道，便可广泛访问您的计算机，以及其上存储的文件和凭据。

这并非危言耸听，但确实值得主动发问。员工有正当权利了解：自己设备上安装了哪些远程访问软件、谁有权发起会话，以及这些会话是否被记录并可供审计。负责任的雇主应当能够清晰地回答以上三个问题。

对于组织机构而言，VENOMOUS#HELPER 清晰地说明了零信任原则在实践中的重要性。零信任架构不会假定来自受信任工具或已知 IP 地址的流量自动安全。每个会话、每个访问请求、每个横向连接都需经过验证。结合多因素身份验证和网络分段，即便攻击者已获得初始立足点，这一方法也能显著限制其可操作空间。

企业网络内的 VPN 使用在此同样发挥作用。远程工作者与内部资源之间的加密隧道，可减少敏感流量遭截获的风险，并建立一致的身份验证检查点，使基于 RMM 的攻击者必须设法突破这一关卡。

可操作的应对建议

无论您是普通员工还是负责组织安全的人员，VENOMOUS#HELPER 所揭示的问题都值得采取具体行动加以应对。

针对个人：

• 向 IT 部门询问您工作设备上安装了哪些 RMM 软件，并要求获得关于远程会话如何发起和记录的书面政策。
• 对于将您引导至外部网站的电子邮件保持警惕，即便这些网站看起来熟悉或专业。
• 若有软件在未经您明确授权的情况下进行安装或请求提升权限，请立即上报。

针对组织机构：

• 审计所有已部署的 RMM 工具，确保终端设备上仅存在经授权、配置已知的版本。
• 限制 RMM 软件仅与经批准的供应商基础设施服务器通信，禁止与其他服务器建立连接。
• 实施应用程序白名单，防止未经授权的 RMM 代理执行。
• 将网络钓鱼模拟演练作为持续性计划推进，而非一次性练习，尤其要针对与外部供应商有业务往来的员工。

VENOMOUS#HELPER 是一个极具价值的案例，展示了攻击者如何适应现代 IT 环境。他们不再正面对抗安全工具，而是找到以受信任软件作为掩护的方法。最佳防御策略是多层次的：保持怀疑态度的用户、严格的网络策略，以及始终预设入侵可能发生的安全架构。