攻击者利用伪造PDF文件将合法RMM工具武器化

在一份新报告中，安랩安全情报中心（ASEC）警告称，一种日益增长的趋势正在显现：威胁行为者正劫持功能强大的远程监控与管理（RMM）软件，以渗透受害者网络。通过滥用Syncro、SuperOps、NinjaOne和ScreenConnect等受信任工具，攻击者得以绕过……安全雷达以及对受感染系统建立持久的远程控制。

<b这场活动自至少2025年10月起便已展开，其运作依赖于一条欺骗性感染链，该链条始于一个看似无害的PDF文件。

攻击始于一种经典的网络钓鱼诱饵。受害者会收到带有PDF附件的电子邮件，这些附件的文件名听起来十分紧急，例如“Defective_Product_Oder.pdf”、“Invoice_Details.PDF”或“video_payment_error.pdf”。

然而，该文件本身是个诱饵。“当PDF文档被执行时……用户会被提示点击Google Drive链接，”报告解释道。该文档显示“加载失败”，并引导用户访问一个外部网站——该网站通常伪装成Adobe，以查看内容。

“这表明威胁行为者正在冒充Adobe，以使用户相信他们正在下载合法的PDF文件，”ASEC分析师指出。

一旦用户点击该链接，他们下载的并非普通病毒，而是一款合法的——或经过轻微修改的——企业级远程管理软件安装程序。这些工具专为IT管理员设计，用于远程管理计算机，因此成为理想的“利用现有资源”攻击武器。它们经过数字签名，通常受到杀毒软件的信任，并开箱即用即可提供强大的远程访问功能。

报告指出，“威胁行为者分发了一个PDF文件，该文件会诱导用户从伪装的分发页面下载并运行RMM工具”。

本次活动中使用的特定工具包括：

同步

超级操作

忍者一号

ScreenConnect

从下载器分析中可以看出，此次攻击的复杂性显而易见。在所观察到的一个样本中，用于NinjaOne的下载器是采用NSIS（Nullsoft可脚本化安装系统）构建的。

报告指出：“该下载器采用NSIS开发，其内部NSI脚本包含一条用于下载额外有效载荷的命令。”它会悄无声息地从一个恶意域名（anhemvn124.com）获取RMM代理程序，并在未经用户同意的情况下进行安装。

恶意软件作者甚至留下了数字踪迹。用于签署恶意文件的证书将此次攻击活动与早在2025年末就开始的行动联系了起来。“用于签署恶意软件的证书显示，该威胁行为者至少自2025年10月起便一直在实施类似的攻击。”

检测这些攻击颇具挑战，因为最终的有效载荷通常是经签名的合法应用程序，被成千上万的正规企业所使用。ASEC建议用户对PDF文件中任何“加载失败”的提示保持警惕，并核实任何意外发票的发件人身份。

“打开来自未知来源的电子邮件时，用户务必格外小心。务必核实发件人是否可信，切勿打开可疑链接或附件。”

敦促各组织监控未经授权的RMM软件安装，并阻止与这些分发活动相关的已知恶意域名。

关注公众号：拾黑（shiheibook）了解更多

赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/