摘要2025 年 4 月以来代号VENOMOUS#HELPER的钓鱼攻击活动针对全球超 80 家机构实施定向入侵核心手段为滥用 SimpleHelp 与 ScreenConnect 两类合法远程监控与管理RMM工具构建冗余双通道远程控制架构实现高隐蔽持久化访问。该攻击依托仿冒美国社会保障局SSA钓鱼邮件、入侵合法墨西哥商业站点分发载荷、JWrapper 封装可执行文件落地、Windows 服务自守护、权限提升与双 RMM 通道冗余等关键技术深度规避传统特征型检测机制已对美国等地区政企机构形成实质性安全威胁。本文以该实战攻击链为研究对象系统拆解社会工程诱导、载荷投递、持久化驻留、权限维持、双通道控制等全流程技术细节结合终端行为监测、网络流量分析、威胁狩猎规则与应急响应脚本开展实证分析提出覆盖终端、网络、管理、人员的纵深防御体系为抵御同类合法工具滥用型钓鱼攻击提供可落地技术方案。关键词RMM 工具滥用钓鱼攻击持久化访问双通道控制终端安全威胁防御1 引言远程监控与管理RMM工具是现代 IT 运维体系的核心支撑组件凭借标准化部署、跨平台兼容、稳定远程控制与系统级权限能力广泛应用于企业终端维护、故障排查、软件分发与安全巡检。SimpleHelp、ConnectWise ScreenConnect 等产品具备合法数字签名、透明通信机制与标准化安装流程长期被安全设备纳入信任列表天然具备低告警、高隐蔽的部署优势。威胁态势演变显示初始访问中间商IAB与勒索软件前置组织正加速将合法 RMM 工具武器化依托社会工程诱导用户主动安装以 “合法工具、恶意用途” 模式突破防御边界构建持久化控制通道。此类攻击不依赖传统恶意代码特征行为高度贴近正常运维操作传统防病毒AV、终端检测与响应EDR易出现漏判与误判。Securonix 于 2026 年 5 月公开的 VENOMOUS#HELPER 攻击活动自 2025 年 4 月持续活动累计波及 80 余家机构以美国为主要目标区域与 Red Canary、Sophos 追踪的 STAC6405 集群存在高度重叠攻击动机指向金融牟利与勒索前置访问售卖。该活动完整呈现 “钓鱼诱导 — 合法站点投毒 — 双 RMM 冗余部署 — 系统权限维持 — 长期隐蔽控制” 的闭环链路代表当前合法工具滥用类钓鱼攻击的典型范式。反网络钓鱼技术专家芦笛指出VENOMOUS#HELPER 的核心威胁在于将合法运维工具转化为攻击基础设施通过双通道冗余设计提升生存能力迫使防御范式从 “特征匹配” 转向 “行为基线 上下文关联” 的动态检测模式对现有安全架构形成颠覆性挑战。本文以 VENOMOUS#HELPER 为实证样本完整还原攻击全生命周期技术细节剖析 RMM 工具滥用的隐蔽机理与防御失效根源提出可工程化的检测规则、响应脚本与防御体系为机构抵御同类威胁提供理论支撑与实践指引。2 相关技术与威胁背景2.1 RMM 工具核心功能与安全属性RMM 工具面向分布式终端运维提供远程控制、文件传输、进程管理、注册表操作、系统巡检等能力通常采用 C/S 架构客户端以系统服务运行具备开机自启、断网重连、安全模式驻留特性。主流产品具备以下安全相关属性合法数字签名绕过应用白名单与信誉检测标准化安装流程行为贴近正常运维降低行为告警概率系统级权限能力支持远程指令执行、权限提升与横向移动加密通信通道规避流量特征识别与内容解析。SimpleHelp 5.0.1 与 ConnectWise ScreenConnect 是本次攻击的核心载体前者支持安全模式持久化、自守护进程与调试权限获取后者提供轻量化部署、后台静默运行与多节点管理能力二者组合形成互补型控制通道。2.2 合法工具滥用Living-off-the-Land攻击范式Living-off-the-LandLotL指攻击者依托系统自带组件、合法软件、标准化运维工具实施入侵不依赖定制恶意代码降低暴露面。RMM 工具滥用具备典型 LotL 特征信任滥用安全设备默认放行签名合法的 RMM 客户端行为混淆远程安装、文件传输、进程启停与正常运维高度相似持久化便捷依托服务、计划任务、注册表实现稳定驻留处置困难卸载需管理员权限与专用流程易被攻击者规避。反网络钓鱼技术专家芦笛强调RMM 工具滥用已成为 IAB 获取初始访问的首选路径其攻击成本低、隐蔽性强、通用性高可快速对接勒索、数据窃取、僵尸网络等下游攻击活动形成黑色产业链闭环。2.3 钓鱼攻击社会工程演进趋势当代定向钓鱼呈现高仿真、场景化、链路化特征仿冒权威机构利用政府、金融、运营商等高信任主体制造紧迫感链路分段诱饵链接、载荷分发、C2 通信分离部署提升溯源难度合法站点投毒入侵正规网站托管载荷规避邮件网关与信誉检测诱导主动执行以文件核验、信息更新、福利申领为名义降低用户警惕。VENOMOUS#HELPER 整合上述趋势形成 “高仿真邮件 — 可信站点 — 合法工具 — 系统级持久化” 的完整杀伤链代表当前钓鱼攻击的高级演进形态。3 VENOMOUS#HELPER 攻击全流程技术拆解3.1 攻击活动整体概况VENOMOUS#HELPER 具备以下核心特征持续周期2025 年 4 月至 2026 年 5 月长期稳定活动目标规模全球 80 机构以美国政企、金融、科技行业为主攻击定位初始访问获取面向 IAB 售卖或勒索前置部署技术路径钓鱼邮件→合法站点投毒→RMM 客户端投递→权限提升→双 RMM 冗余控制威胁标签STAC6405、RMM 滥用、LotL 攻击、持久化远程访问。3.2 钓鱼邮件社会工程设计攻击以仿冒美国社会保障局SSA邮件为入口核心诱导逻辑主题SSA 账户核验、福利声明确认、邮件地址更新内容提示账户异常要求点击链接核验身份并下载官方声明文件诱饵设计以政府公信力制造焦虑诱导用户忽略安全风险链路伪装链接指向被入侵的墨西哥商业站点gruta.com.mx依托域名高信誉绕过邮件 spam 过滤。该设计规避恶意域名黑名单利用用户对政府机构的无条件信任提升点击率为后续载荷投递创造入口。3.3 载荷分发与站点投毒实现攻击者采用分段投递策略降低单节点失效风险第一跳被入侵的墨西哥商业站点gruta.com.mx作为诱饵落地页第二跳攻击者控制域名server.cubatiendaalimentos.com.mx托管核心载荷入侵方式攻破合法托管服务器 cPanel 账户上传恶意程序利用正规站点流量掩护恶意访问。此策略使载荷分发链路具备合法域名外衣有效规避网关检测与人工核验。3.4 客户端封装与初始驻留技术目标用户下载的文件为 JWrapper 封装的 Windows 可执行程序伪装为 PDF / 文档类文件执行后触发以下行为释放 SimpleHelp 客户端组件注册为 Windows 系统服务配置安全模式持久化确保系统修复模式下仍可运行启动自守护看门狗进程被终止后自动重启周期性侦察每 67 秒通过 WMI 查询 root\SecurityCenter2 枚举安全软件每 23 秒检测用户在线状态。上述行为实现无感知落地与稳定驻留为远程控制奠定基础。3.5 权限提升与全功能控制实现SimpleHelp 客户端通过以下技术获取系统级控制权调用 AdjustTokenPrivileges 获取 SeDebugPrivilege 调试权限依托合法组件 elev_win.exe 实现 SYSTEM 权限提升开启屏幕读取、键盘注入、进程注入、文件双向传输能力提供完整交互式桌面访问支持跨终端横向移动。权限获取后攻击者具备对目标主机的完全操控权且所有行为依托合法签名程序执行传统 AV 无有效告警。3.6 双通道冗余控制架构部署为提升生存能力攻击者部署双 RMM 冗余通道主通道SimpleHelp 5.0.1提供强持久化与系统级控制备用通道ConnectWise ScreenConnect轻量化静默部署作为主通道失效后的 fallback 链路架构价值任一通道被封堵另一通道维持控制避免入侵中断显著提升攻击韧性。反网络钓鱼技术专家芦笛强调双通道冗余是 VENOMOUS#HELPER 区别于常规钓鱼攻击的核心特征标志着攻击从 “单次渗透” 向 “长期隐蔽控制” 升级对威胁狩猎与应急响应提出更高要求。3.7 攻击链路技术总结VENOMOUS#HELPER 形成标准化、可复制的攻击闭环社会工程诱导→合法站点投毒→载荷落地驻留→权限提升→主 RMM 控制→备用 RMM 部署→长期隐蔽控制→数据窃取 / 勒索前置。全流程无明显恶意特征依托合法软件与系统机制突破防御具备大规模扩散潜力。4 核心技术机理与防御失效分析4.1 RMM 工具滥用隐蔽机理签名信任绕过合法数字签名使客户端被安全设备默认放行行为混淆安装、启动、通信、控制与正常运维高度一致无文件特征核心逻辑依托合法程序执行无恶意代码特征系统级融合以服务运行、安全模式驻留、自守护实现深度驻留流量加密TLS 加密通信规避流量检测与内容识别。4.2 传统防御机制失效根源特征检测失效无恶意哈希、特征码、恶意域名可匹配信誉检测失效分发域名、程序签名、行为主体均为合法主体静态防御失效依赖黑名单、白名单、规则库的静态机制无法识别合法工具滥用上下文缺失单一维度监测无法判断 RMM 安装是否为授权行为响应滞后双通道冗余使阻断单一路径无法彻底清除威胁。4.3 攻击关键脆弱点提炼尽管隐蔽性极强VENOMOUS#HELPER 仍存在可检测脆弱点异常安装链路非 IT 运维流程触发的 RMM 客户端安装周期性侦察行为固定频率 WMI 枚举安全软件与用户状态权限异常获取普通终端进程获取 SeDebugPrivilege 与 SYSTEM 权限双 RMM 共存同一终端短时间内出现两款非授权 RMM 客户端外联异常连接未知 C2 而非企业授权 RMM 服务器。上述脆弱点为行为检测、威胁狩猎与应急响应提供关键切入点。5 攻击检测与威胁狩猎实现含代码示例5.1 终端行为检测规则Sigmayamltitle: 异常SimpleHelp安装与自守护行为检测status: 实验性description: 检测VENOMOUS#HELPER相关SimpleHelp非授权部署logsource:product: windowscategory: process_creationdetection:selection1:Image|endswith: \SimpleHelp.exeParentImage|endswith:- \WINWORD.EXE- \EXCEL.EXE- \chrome.exe- \edge.exeselection2:CommandLine|contains:- install- service- safemodeselection3:CommandLine|contains|all:- watchdog- restartcondition: selection1 and (selection2 or selection3)falsepositives:- 企业IT授权远程部署level: 高危tags:- VENOMOUS#HELPER- RMM滥用- 持久化5.2 WMI 侦察行为检测规则yamltitle: 高频SecurityCenter2安全软件枚举检测status: 实验性logsource:product: windowsservice: wmidetection:selection:Namespace|contains: SecurityCenter2Query|contains: AntiVirustimeframe: 70秒condition: selection | count() 2falsepositives:- 授权安全软件巡检level: 中危tags:- 攻击侦察- VENOMOUS#HELPER5.3 权限异常提升检测PowerShellpowershell# 检测SeDebugPrivilege异常获取进程Get-Process | ForEach-Object {$pid $_.Id$priv whoami /priv /fo csv | ConvertFrom-Csv | Where-Object {$_.ProcessId -eq $pid -and $_.Privilege -match SeDebugPrivilege}if ($priv -and $_.ProcessName -notmatch ^(System|svchost|services|winlogon)$) {Write-Host 异常权限进程: $($_.ProcessName) PID:$pid -ForegroundColor Red}}5.4 双 RMM 异常共存检测脚本powershell# 检测非授权SimpleHelp与ScreenConnect共存$rmm_processes Get-Process | Where-Object {$_.Name -match SimpleHelp|ScreenConnect|elev_win}if ($rmm_processes.Count -ge 2) {Write-Host 检测到多RMM客户端共存可能为VENOMOUS#HELPER -ForegroundColor Red$rmm_processes | Select-Object Name,Id,Path}5.5 网络流量异常检测规则yamltitle: RMM客户端外联未知C2检测status: 实验性logsource:product: firewallcategory: network_connectiondetection:selection:Image|endswith:- \SimpleHelp.exe- \ScreenConnect.ClientService.exeInitiated: truefilter:DestinationIp|cidr:- 10.0.0.0/8- 172.16.0.0/12- 192.168.0.0/16condition: selection and not filterfalsepositives:- 授权云RMM管理level: 高危tags:- C2通信- RMM滥用反网络钓鱼技术专家芦笛强调上述规则需结合企业白名单与运维基线优化降低误报实现高精度威胁识别。6 应急响应与威胁清除方案6.1 标准化处置流程隔离主机断网避免横向扩散与 C2 通信进程终止结束 SimpleHelp、ScreenConnect 及看门狗进程服务卸载删除对应系统服务与安全模式注册项文件清除删除安装目录、临时文件与日志残留启动项清理清除注册表、计划任务等持久化入口权限审计核查异常权限分配与管理员账户变动流量回溯分析外联记录定位 C2 与攻击源头全网排查扫描同类终端清除潜在残留节点。6.2 自动化清除脚本PowerShellpowershell# VENOMOUS#HELPER威胁清除脚本function Remove-VenomousHelper {# 终止进程Stop-Process -Name SimpleHelp,ScreenConnect,elev_win -Force -ErrorAction SilentlyContinue# 卸载服务$services Get-Service | Where-Object {$_.Name -match SimpleHelp|ScreenConnect}foreach ($svc in $services) {Stop-Service $svc.Name -Forcesc.exe delete $svc.Name}# 删除文件Remove-Item -Path C:\Program Files\SimpleHelp\ -Recurse -Force -ErrorAction SilentlyContinueRemove-Item -Path C:\Program Files\ScreenConnect\ -Recurse -Force -ErrorAction SilentlyContinue# 清理注册表Remove-Item -Path HKLM:\SYSTEM\CurrentControlSet\Services\SimpleHelp* -Recurse -Force -ErrorAction SilentlyContinueRemove-Item -Path HKLM:\SYSTEM\CurrentControlSet\Services\ScreenConnect* -Recurse -Force -ErrorAction SilentlyContinueWrite-Host VENOMOUS#HELPER相关组件已清除 -ForegroundColor Green}Remove-VenomousHelper6.3 长效加固措施RMM 管控建立授权 RMM 白名单禁止非授权客户端安装权限最小化限制普通用户安装服务与获取调试权限行为审计监控 RMM 安装、外联、权限提升等关键行为邮件防护启用链接扫描、文档沙箱与社会工程识别终端加固启用 AppLocker/WDAC限制非信任程序执行威胁狩猎定期开展 RMM 滥用、异常持久化、高频侦察等场景狩猎人员培训针对政府仿冒、文件核验类钓鱼开展专项演练。反网络钓鱼技术专家芦笛强调应急响应的核心在于快速阻断双通道控制链路彻底清除持久化入口并通过制度与技术双重手段防止重复感染。7 防御体系构建与优化建议7.1 纵深防御体系框架入口层邮件网关、网页安全网关、域名信誉检测阻断钓鱼诱导终端层EDR、应用控制、权限管理、行为审计阻止载荷落地网络层流量分析、异常外联检测、微隔离限制 C2 通信与横向移动检测层UEBA、威胁狩猎、上下文关联分析识别合法工具滥用响应层自动化编排、标准化流程、清除脚本快速闭环处置管理层制度规范、RMM 白名单、权限审计、持续演练。7.2 关键优化方向从特征检测转向行为基线检测建立正常 RMM 运维行为模型强化上下文关联整合进程、网络、用户、时间等维度信息推进自动化响应实现威胁发现 — 隔离 — 清除 — 复盘闭环建立 RMM 专用安全规范明确部署、权限、审计、退役流程加强威胁情报对接实时更新 IAB、RMM 滥用、STAC6405 相关情报。7.3 长期演进路径构建零信任架构对 RMM 访问实施持续验证与最小权限推进 AI 驱动的行为分析提升复杂 LotL 攻击识别能力建立行业协同机制共享 RMM 滥用、钓鱼诱饵、C2 情报推动厂商安全增强强化 RMM 工具认证、审计与访问控制。8 结论与展望VENOMOUS#HELPER 攻击活动清晰呈现合法 RMM 工具滥用的实战化、规模化、持久化趋势依托社会工程诱导、合法站点投毒、双 RMM 冗余控制、系统级权限维持等技术形成高隐蔽、高存活、高扩散能力的攻击范式对传统安全防御体系构成严峻挑战。本文通过全流程技术拆解、机理分析、检测规则开发与响应方案设计形成覆盖 “识别 — 防护 — 检测 — 响应 — 恢复” 的完整防御闭环。研究表明抵御此类攻击的核心在于突破传统特征思维转向以行为基线、上下文关联、动态授权为核心的主动防御模式。反网络钓鱼技术专家芦笛强调合法工具滥用将成为未来高级钓鱼攻击的主流形态机构需加快构建面向 LotL 威胁的专项防御能力实现技术、管理、人员的协同防护。未来研究将聚焦多 RMM 工具滥用行为模型、自动化威胁狩猎编排、零信任环境下 RMM 安全管控、AI 驱动社会工程识别等方向持续提升对高级定向钓鱼攻击的预警、检测与处置能力为数字基础设施安全提供坚实支撑。编辑芦笛公共互联网反网络钓鱼工作组