Cofense Intelligence 2025年5月的报告揭露了网络犯罪分子如何滥用ConnectWise和Splashtop等合法远程访问工具(RAT)来传播恶意软件并窃取数据。

Cofense Intelligence的一份新报告揭示了网络攻击中一个令人担忧的趋势：犯罪分子越来越多地劫持合法的远程访问工具(RAT)来入侵计算机系统。与专门为黑客攻击而设计的恶意软件不同，这些工具是为合法目的而构建的，通常由公司IT专业人员使用。它们的合法性使其格外危险，因为它们可以绕过传统的安全措施并消除用户的怀疑。

研究人员在分享的博客文章中指出，威胁行为者正在利用这些工具固有的信任来获取受害者设备的访问权限。一旦安装，这些合法的RAT就会成为传播更多有害程序、监视用户活动或窃取密码和机密业务记录等敏感信息的门户。这些工具的多功能性，加上其看似值得信赖的软件，使其成为网络犯罪分子手中的有力武器。

Cofense Intelligence重点介绍了几种经常被滥用的合法RAT。ConnectWise ScreenConnect（之前称为ConnectWise Control和ScreenConnect）成为2024年最受攻击者青睐的选择，在涉及合法RAT的活跃威胁报告中，有56%都提到了该恶意软件。

Cofense情报团队的Kahng An在其报告中写道：“ConnectWise RAT是最常被滥用的合法远程访问工具，占2024年所有涉及合法远程访问工具的主动威胁报告(ATR)的56%。”

2025年，该工具的受欢迎程度将进一步飙升，目前的攻击量已与去年全年持平。另一款工具FleetDeck的使用量在2024年夏季激增，尤其针对德语和法语使用者，并以金融主题为诱饵。

攻击者会使用各种方法诱骗受害者安装这些工具。对于ConnectWise ScreenConnect来说，值得注意的攻击活动包括通过虚假声称提供最新福利声明的电子邮件来欺骗美国社会保障局。

这些电子邮件通常包含指向伪造PDF文件的链接，或直接指向RAT安装程序的链接。自2025年2月5日起观察到的另一种伎俩是，攻击者会发送电子邮件，伪装成“filesfm”上共享文件的通知，诱导受害者下载看似合法的OneDrive客户端，而实际上却是ConnectWise RAT安装程序。

据Cofense称，其他合法的RAT也正在被利用。Atera是一款全面的远程监控和管理套件，可与Splashtop等工具集成。自2024年10月以来，该套件一直被用于针对巴西葡萄牙语使用者的攻击活动，攻击者利用该套件发送虚假的法律通知和发票。

在各种通常是本地化的活动中，还观察到了较小、不太常见的RAT，例如LogMeIn Resolve(GoTo RAT)、Gooxion RAT、PDQ Connect、Mesh Agent、N-Able和Teramind。

Cofense研究人员总结道，获取这些工具的便利性和低成本使攻击者能够在不同工具之间快速切换，这对网络安全保护构成了持续的挑战，并补充说，此类活动通常是难以维持的一次性事件。

这些活动通常是一次性事件，似乎不会持续很长时间。由于市场上存在大量不同的RAT，威胁行为者可能会在不同的RAT之间快速切换。