駭客濫用遠端管理工具Tiflux於受害電腦建立存取管道

在今年2月，威脅情報公司Huntress開始觀察到駭客使用巴西遠端監控及管理工具Tiflux的活動，並從2月27日出現顯著增加的情形。駭客先透過網路釣魚活動與誘餌文件檔案建立初期存取管道，然後再將存取管道與其他遠端管理工具串連使用，這些工具包括：UltraVNC、Splashtop、ScreenConnect。值得留意的是，駭客挑選Tiflux的原因，不光是該應用程式鮮為人知，其安裝程式亦存在過時且疑似有問題的元件，其中一個是驅動程式HwRwDrv.sys，此元件存在可被用於權限提升的弱點，而且簽章已經過期，因此，Huntress認為，駭客濫用Tiflux帶來的危險，已超越一般利用遠端監控及管理工具的活動。

針對攻擊發生的過程，駭客通常會假借服務合約即將到期等誘餌寄送釣魚信，將收信人導向Cloudflare人機驗證網頁，最終要求他們下載經掃描確認為安全的文件檔案，但實際上，駭客提供的連結會下載Tiflux的安裝程式。若是收信人依照指示安裝，對方就會利用Tiflux內建功能，在完全不會出現通知訊息的情況下，將ScreenConnect與Splashtop偷偷推送到受害電腦。