专家警告说，威胁者正越来越多地滥用远程访问软件Action1执行各种恶意任务。其中一些用途包括在受损网络上的持久性，以及运行命令、二进制文件和脚本。Action1软件主要被MSP和企业用于远程管理端点。

Action1在勒索软件攻击中的使用

DFIR Report（一个志愿者分析小组）的一名成员发现Action1 RMM平台正被多个威胁行为者使用。其最近被用于三次使用不同恶意软件的勒索软件攻击的初始阶段。这些攻击被归咎于一个被认定为叫做蒙蒂的组织，该组织正在滥用Log4Shell。

在Monti攻击中观察到的许多TTP和IoC都与过去与Conti集团相关的勒索软件攻击有关，但是RMM代理的使用发生了一个明显的变化。

Conti攻击依赖远程访问软件Atera RMM和AnyDesk应用程序在受损网络上尽心安装代理。与此相比，过去和现在的Monti攻击都使用Action1进行远程访问。

操作细节

安装Action1后，威胁参与者会创建一个策略，用于攻击所需的执行二进制文件（如PowerShell、进程监视器和命令提示符）的自动化。

Action1最多可免费提供100个端点，这是该产品免费版本的唯一限制，因此在威胁者中很受欢迎。

结论

Action1的滥用日益严重，这是一个令人严重关切的问题，因为它在受害者的网络中有着广泛的影响力，并且持续存在。此外，环境中的安全工具通常不会将其标记为威胁，因为这些工具被识别为合法的白名单软件。为了安全起见，Action1正在采取新措施来阻止滥用该平台。