Phishing z użyciem legalnych narzędzi RMM daje napastnikom cichy dostęp

2026-04-07

Sophos opisał kampanię phishingową, w której napastnicy nie prowadzili ofiary do fałszywego panelu logowania, tylko do instalacji legalnych narzędzi zdalnego dostępu. W badanych incydentach pojawiały się przede wszystkim LogMeIn Resolve i ScreenConnect. To ważne rozróżnienie, bo dla wielu organizacji taki scenariusz na pierwszy rzut oka nie wygląda jak klasyczny phishing, a właśnie dlatego bywa groźny.

Jak działa ten schemat

Według raportu ofiary dostawały wiadomości stylizowane na zaproszenia albo korespondencję związaną z ofertą, przetargiem lub dokumentem wymagającym szybkiej reakcji. Link z wiadomości prowadził do strony dystrybucyjnej kontrolowanej przez napastnika, a stamtąd do pobrania pliku wykonywalnego. Po uruchomieniu instalował się legalny agent RMM, ale skonfigurowany tak, aby połączyć urządzenie z infrastrukturą atakującego.

Co to jest RMM?

RMM (Remote Monitoring and Management) to oprogramowanie używane przez zespoły IT i dostawców usług zarządzanych (MSP) do zdalnego monitorowania, zarządzania i naprawy komputerów oraz serwerów. Zwykle składa się z agenta zainstalowanego na urządzeniu oraz centralnej konsoli — dzięki temu administratorzy mogą zdalnie uruchamiać polecenia, instalować oprogramowanie, przeglądać logi i nawiązywać sesje zdalne. W kontekście opisywanej kampanii legalne narzędzie RMM zostało nadużyte, by uzyskać trwały, zdalny dostęp do stacji roboczej.

To odróżnia tę kampanię od prostych prób wyłudzenia hasła. Tutaj użytkownik nie tylko klika. W praktyce sam uruchamia narzędzie, które daje zdalny, trwały dostęp do stacji roboczej. W części opisanych przypadków aktywność kończyła się na etapie initial access, ale w niektórych pojawiał się drugi etap obejmujący dalsze działania na hoście i kradzież danych.

Dlaczego ten alert jest istotny

Najważniejszy problem polega na tym, że organizacja może błędnie odczytać incydent. Jeżeli na urządzeniu pojawia się legalne narzędzie administracyjne, ktoś może uznać to za zwykłą pomoc zdalną, działanie dostawcy albo mało istotne odstępstwo od standardu. Tymczasem właśnie taki mechanizm może otwierać drogę do cichego utrzymania dostępu, rozpoznania środowiska i przygotowania dalszego etapu ataku.

Z perspektywy awareness to także trudniejszy przypadek niż klasyczny phishing. Użytkownik nie widzi od razu podejrzanej strony banku ani prośby o podanie hasła. Widzi plik, zaproszenie, usługę z pozoru techniczną i pozornie wiarygodny proces. Dlatego sama znajomość definicji phishingu nie wystarcza. Liczy się umiejętność zatrzymania działania wtedy, gdy wiadomość prowadzi do pobrania lub uruchomienia narzędzia, którego pracownik normalnie nie powinien instalować samodzielnie.

Co sprawdzić teraz

Po stronie IT i Security warto potraktować ten scenariusz jako sygnał do szybkiego przeglądu nieautoryzowanych instalacji narzędzi zdalnego dostępu. Szczególnie istotne są nowe lub nietypowe instalacje RMM, nowe usługi systemowe, świeże połączenia wychodzące związane z narzędziami pomocy zdalnej oraz aktywność, która wygląda jak obejście normalnego procesu wsparcia technicznego. W praktyce oznacza to również potrzebę przeglądu zasad allowlisty dla narzędzi administracyjnych i sprawdzenia, czy użytkownicy mogą uruchamiać takie instalatory bez kontroli.

Po stronie użytkowników komunikat powinien być prosty. Wiadomość, która kończy się pobraniem programu albo uruchomieniem narzędzia do zdalnej pomocy, nie jest zwykłą wiadomością operacyjną. To sytuacja, którą trzeba zweryfikować poza skrzynką mailową i poza linkiem z wiadomości. W wielu organizacjach właśnie ten etap nadal bywa niedopowiedziany.

Sama analiza Sophos dobrze pokazuje techniczny przebieg kampanii, a wcześniejsze obserwacje Red Canary potwierdzają, że nadużywanie legalnych narzędzi zdalnego dostępu nie jest jednorazowym odstępstwem, tylko szerszym kierunkiem działań napastników.

Jeżeli chcesz uporządkować podstawy rozpoznawania takich scenariuszy, zobacz też co to jest phishing, phishing omijający MFA oraz materiał o tym, dlaczego security awareness stał się elementem cyberodporności organizacji.

Jeżeli w Twojej organizacji chcesz sprawdzić, jak użytkownicy reagują na nietypowe scenariusze socjotechniczne, a nie tylko na najbardziej oczywiste maile z linkiem do fałszywego logowania, zobacz też quiz phishingowy.