钓鱼攻击新套路：正版远程工具成黑客后门

ANY.RUN 安全团队近期披露了一种新型攻击链路：黑客不再依赖恶意软件，而是把正版的远程管理工具变成入侵通道。这种"钓鱼到远程管理工具"（Phishing-to-RMM）的攻击方式，正在让传统安全检测手段失效。

攻击的起点是伪造的登录页面。ANY.RUN 捕获的案例显示，攻击者会搭建仿冒 Microsoft Store、Adobe Acrobat Reader DC 或 Microsoft OneDrive 的钓鱼站点。用户被诱导点击"下载"按钮后，实际获得的并非预期的 PDF 阅读器或文档文件，而是经过重命名的远程管理工具安装包——比如名为 Adobesetup.exe 的文件，内核却是 ScreenConnect。

ScreenConnect 和 LogMeIn Rescue 这类工具本身完全合法。它们被广泛用于企业 IT 支持、分布式团队协作和终端维护。问题恰恰出在这里：当安全分析师在流量或终端日志中发现这些进程时，很难第一时间判断这是正常运维还是攻击渗透。工具本身无恶意，但使用场景和来源决定了它的性质。

ANY.RUN 的沙箱分析还原了完整的攻击链条。一个典型案例中，用户访问了托管在 vmail.app.n8n.cloud 的页面，该域名属于合法的 n8n 自动化平台。页面显示"验证以下载 PDF"，点击后下发的是 ScreenConnect.ClientSetup.exe。由于落地页域名信誉良好，且后续连接走的是 ScreenConnect 官方基础设施，单纯依赖域名黑名单或文件哈希检测都会漏报。

地理分布上，这类攻击在美国最为活跃，加拿大、欧洲和澳大利亚次之。受影响最深的行业包括教育、科技、银行、政府、制造和金融——这些领域的共同特点是高度依赖远程管理工具支撑日常运维，RMM 活动本身即是常态，异常行为更容易淹没在噪声中。

攻击者利用的工具清单还在扩展。ANY.RUN 记录到的滥用案例涉及 Datto RMM、ITarian、LogMeIn Rescue、Action1 RMM、NetSupport、Syncro、MeshAgent、SimpleHelp、RustDesk 和 Splashtop 等十余款产品。这种"工具多元化"策略进一步增加了检测难度：安全团队无法通过简单封锁某几款软件来解决问题。

对一线分析师而言，核心挑战在于上下文关联。单一节点——无论是文件签名、域名信誉还是进程名称——都可能呈现完全正常的特征。真正的判断依据是完整链路：用户从哪个页面触发下载？页面内容与文件名称是否匹配？执行后出现了哪些外连行为？ANY.RUN 强调，分类处置不能止步于工具名称识别，必须串联钓鱼诱饵、下载来源、用户预期和执行后的网络连接，才能在损害发生前拦截攻击。