Fast16 恶意软件在供应链攻击中重新出现，滥用可信

执行摘要

根据2026年4月27日The Hacker News发布的每周回顾，Fast16恶意软件家族在新一轮供应链攻击中重新出现。该活动滥用受信任的远程监控和管理（RMM）工具和浏览器扩展来窃取凭证，并在企业环境中建立持久性。攻击利用安全团队应该在几年前就已缓解的技术，突显出软件供应链卫生方面持续存在的差距。

技术分析

The Hacker News报告描述Fast16使用“老把戏”——包括假冒帮助台电话和恶意浏览器扩展——来获得初始访问权限。一旦进入，恶意软件滥用合法的RMM工具进行横向移动和命令与控制，使得基于签名的防御难以检测。该活动似乎通过官方渠道分发的受损软件更新或木马化扩展来针对组织，尽管源材料中没有详细说明具体的分发途径。恶意软件的凭证盗窃能力集中在浏览器存储的密码和会话令牌上，使得横向移动和数据外流成为可能。

源材料中没有披露具体的CVE ID、文件哈希值或命令与控制IP。报告将此框架为已知家族的复兴，而不是新颖技术，建议防御者应优先考虑行为检测而不是签名匹配。

缓解措施与建议

鉴于对受信任的RMM工具和浏览器扩展的滥用，防御者应为远程管理工具实施应用程序允许列表，并限制浏览器扩展安装到组织批准的列表。启用RMM工具执行的日志记录，并监控异常使用模式，如来自意外地理位置的连接或在非工作时间。组织还应强制执行所有远程访问的多因素认证，并审查软件供应链验证流程，特别是浏览器扩展和第三方更新。没有可用的供应商补丁；检测依赖于端点检测和响应（EDR）遥测和用户意识培训，以识别社会工程诱饵。