關閉選單
  1. Home
  2. NEWS最新消息
  3. 事件與威脅
  4. 資訊安全
顯示分類
2025.10.17
事件與威脅/資訊安全
偽造的 LastPass 和 Bitwarden「違規警報」透過遠端存取工具導致 PC 被劫持
威脅活動概述與攻擊模式剖析

一場網路釣魚活動正針對 LastPass 和 Bitwarden 的用戶,透過發送虛假的違規通知郵件進行攻擊,這些郵件謊稱密碼管理服務已被入侵,並敦促收件者下載「更安全」的桌面應用程式。這次攻擊活動體現了一種日益流行的趨勢:網路釣魚攻擊者瞄準憑證管理服務,因為成功入侵即可獲得高價值存取權限

這波攻擊的目標鎖定在開發者和一般用戶普遍信賴的兩大密碼管理服務:LastPass 和 Bitwarden。攻擊者深知密碼管理員一旦被攻破,其價值極高,因為其中儲存了用戶幾乎所有的重要憑證。因此,他們選擇了一個高說服力的主題——「服務外洩警報」,意圖利用用戶對帳戶安全的恐慌來繞過其警覺性。

 

惡意郵件的欺騙技巧與載荷機制

冒充 LastPass 和 Bitwarden 的網路釣魚郵件會誘騙使用者安裝惡意二進位檔案。這項活動極為陰險:它使用 Syncro MSP(託管服務提供者)工具部署 ScreenConnect(通常合法的遠端存取應用程式),並將其置於攻擊者的控制之下。一旦受害者的電腦被遠端控制,威脅行為者就可以執行額外的惡意軟體負載,竊取憑證並從使用者環境中竊取數據,包括密碼庫。

攻擊者在釣魚郵件中會精心仿造供應商的風格,並使用如 hello@lastpasspulse.blog 等新註冊的子網域名稱,試圖逃避基本的郵件篩選。郵件內容通常會引用一些舊版軟體的已知漏洞(例如較舊的 .exe 版本漏洞),藉此增加欺騙的可信度,並建議用戶下載一個聲稱已修復漏洞、更安全的桌面應用程式(通常是 MSI 格式)。

當受害者點擊連結並執行下載的惡意二進位檔案後,該檔案會在後台靜默安裝 Syncro 代理程式。Syncro 是一種合法的託管服務供應商 (MSP) 工具,用於遠端監控和管理。攻擊者對其進行配置,使其每 90 秒聯繫一次遠端管理伺服器,從而建立起一個持久的控制通道。

一旦 Syncro 代理程式啟動,它便會下載並部署另一個合法的遠端存取工具 ScreenConnect (或類似的遠端存取模組)。透過這些遠端存取工具,威脅行為者能夠獲得受害者電腦的實時、完全控制權限。

 

PC劫持後的危害與影響

當攻擊者獲得對受害者個人電腦的遠端控制權後,便能執行一系列的高危害操作:

首先,他們可以繞過或停用終端安全軟體,例如 Emsisoft、Webroot 或 Bitdefender,為後續的惡意活動清除障礙。接著,攻擊者將能夠存取用戶的檔案系統、桌面環境和儲存的任何憑證或機密資訊。如果受害者的密碼庫處於解鎖狀態,或密碼管理員的桌面應用程式存在憑證快取機制,攻擊者便能輕易地竊取主密碼、會話令牌,以及密碼庫內儲存的所有帳號密碼。這種針對憑證管理服務的攻擊,其目標價值極高,因為一次成功的入侵即可為攻擊者打開進入受害者其他所有線上服務的大門。

此活動的特殊之處在於,攻擊者利用了 遠端管理與監控 (RMM) 工具的合法性,繞過了許多傳統的安全邊界防禦。他們將攻擊的重點放在社交工程上,利用用戶對安全漏洞的恐慌心理,讓用戶「親自」在電腦上安裝後門,而非直接攻擊服務器。這種將合法工具武器化的手法,是當前網路釣魚攻擊的最新趨勢,使得防禦和檢測變得更為困難。

 

用戶與管理員的深度防禦建議

為了有效應對這種結合社交工程和合法工具的複合式威脅,使用者和管理員需要採取更全面和深度的防護措施:

  1. 透過官方管道驗證違規通知:使用者切勿點擊聲稱存在重大服務違規的警報電子郵件;相反,他們應該透過可信任的供應商入口網站登入以確認是否存在任何安全通知。任何聲稱重大安全事件的郵件,都應先透過官方網站或供應商應用程式的通知中心進行交叉驗證,以避免遭受「恐慌式」釣魚。
  2. 避免安裝未經請求的用戶端或更新:僅從官方供應商來源下載軟體,並避免點擊未經請求的電子郵件中提示安裝的連結。對於任何要求下載桌面應用程式或更新的警報,應直接透過供應商的官方網站或應用程式商店進行下載,而不是透過電子郵件中的連結。
  3. 監控可疑的遠端工具:管理員應掃描端點以安裝 Syncro 或 ScreenConnect 等遠端存取工具,尤其是未經使用者要求的新安裝。應利用端點偵測與回應 (EDR) 工具,對異常的遠端管理軟體安裝和執行活動進行監控和警報。
  4. 鎖定 RMM 功能:限制誰可以部署 RMM 代理程式、執行審核流程以及使用端點監控來偵測託管工作流程以外的安裝程式活動。企業應對 RMM 工具的部署和使用實施嚴格的審核與批准流程,確保所有 RMM 代理程式的安裝都處於中央 IT/安全團隊的掌控之下。
  5. 輪換保險庫憑證並啟用 MFA:如果可能,如果偵測到可疑活動,則重新輸入或輪替保險庫主憑證;使用基於硬體的 MFA 來加強存取。一旦懷疑系統可能受到感染,應立即更改密碼庫的主密碼,並利用 FIDO2/WebAuthn 等基於硬體的雙重身份驗證 (MFA) 機制,為所有高價值帳戶提供最強化的保護。
  6. 稽核日誌和活動:事件發生後,檢查命令日誌、外部連線、檔案讀取和安全系統配置的變化,以偵測後續的洩漏。
由於此次攻擊使用了合法的遠端工具,管理員應特別關注系統中是否存在異常的命令列執行、安全設定的更改,以及對密碼庫檔案的未經授權存取或外部連線嘗試。對於任何遭受影響的用戶,都應假設系統已遭全面入侵,並進行徹底的數位鑑識分析。

資料來源:https://dailysecurityreview.com/cyber-security/fake-lastpass-and-bitwarden-breach-alerts-lead-to-pc-hijacks-via-remote-access-tools/
 
網路釣魚攻擊者正利用虛假的LastPass和Bitwarden「資料外洩警報」郵件,誘騙使用者下載並安裝惡意二進位檔案。