文章总结： 安全研究人员披露了一种新型双向量攻击，攻击者利用伪装成Greenvelope邀请函的钓鱼邮件窃取凭证，随后注册LogMeIn并部署名为GreenVelopeCard.exe的恶意文件。该文件静默安装LogMeInResolveRMM工具，篡改服务设置并建立隐藏计划任务以实现持久化远程控制。建议组织加强对未授权RMM软件安装的监控。 综合评分： 84 文章分类： 威胁情报,恶意软件,社会工程学,终端安全,安全运营

网络钓鱼攻击利用窃取的凭证安装 LogMeIn RMM 以实现持久访问

原创

ZM ZM

暗镜

2026年1月25日 13:12 北京

网络安全研究人员披露了一种新的双向量攻击活动的细节，该活动利用被盗凭证部署合法的远程监控和管理 (RMM) 软件，以对受感染的主机进行持续远程访问。

KnowBe4威胁实验室的研究人员Jeewan Singh Jalal、Prabhakaran Ravichandhiran和Anand Bodke表示： “攻击者不再部署定制病毒，而是通过将管理员信任的必要IT工具武器化，绕过安全边界。他们窃取系统的‘万能钥匙’，将合法的远程监控和管理（RMM）软件变成持久性后门。”

攻击分两个截然不同的阶段展开，攻击者利用虚假的邀请通知窃取受害者的凭证，然后利用这些窃取的凭证部署远程监控管理 (RMM) 工具以建立持久访问权限。

这些虚假电子邮件伪装成来自名为 Greenvelope 的合法平台的邀请函，旨在诱骗收件人点击钓鱼链接，窃取其 Microsoft Outlook、Yahoo! 和 AOL.com 的登录信息。一旦获取了这些信息，攻击就会进入下一阶段。

具体来说，这涉及威胁行为者使用被盗用的电子邮件在 LogMeIn 注册以生成 RMM 访问令牌，然后通过名为“GreenVelopeCard.exe”的可执行文件在后续攻击中部署这些令牌，以建立对受害者系统的持久远程访问。

该二进制文件使用有效的证书签名，其中包含一个 JSON 配置，该配置可作为通道，在受害者不知情的情况下静默安装 LogMeIn Resolve（以前称为 GoTo Resolve），并连接到攻击者控制的 URL。

远程监控管理 (RMM) 工具部署完毕后，攻击者利用远程访问权限篡改其服务设置，使其在 Windows 系统上拥有不受限制的访问权限。此外，攻击者还会设置隐藏的计划任务，即使用户手动终止 RMM 程序，这些任务也会自动启动 RMM 程序。

为了应对这一威胁，建议各组织监控未经授权的 RMM 安装和使用模式。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《网络钓鱼攻击利用窃取的凭证安装 LogMeIn RMM 以实现持久访问》