Hacker nutzen AnyDesk unter Vorspiegelung von CERT-UA, um Cyberangriffe zu starten
Inhaltsverzeichnis:
Angreifer nutzen häufig legitime Werkzeuge in ihren bösartigen Kampagnen. Der beliebte AnyDesk Fernzugriffsdienst wurde ebenfalls weitgehend von Hackern zu offensiven Zwecken ausgenutzt. Cyber-Verteidiger haben den jüngsten Missbrauch der AnyDesk-Software aufgedeckt, um sich mit Zielcomputern zu verbinden und die bösartigen Bemühungen als CERT-UA-Aktivität zu tarnen.
Erkennung von Cyberangriffen, die AnyDesk basierend auf CERT-UA-Forschung ausnutzen
Angreifer nutzen oft Fernverwaltungstools für bösartige Zwecke aus. Zum Beispiel wurde die Remote Utilities Software umfassend in offensiven Kampagnen gegen die Ukraine eingesetzt. Die jüngste CERT-UA-Warnung wirft Licht auf den Missbrauch eines anderen legitimen Fernzugriffstools, AnyDesk, das Opfer dazu verleitet, das kompromittierte Tool unter dem falschen Vorwand eines Sicherheitsaudits zu nutzen. Die SOC Prime-Plattform für kollektive Cyber-Abwehr kuratiert eine relevante Sammlung von Erkennungsalgorithmen, die Sicherheitstechniker dabei unterstützen, festzulegen, welche Hosts von AnyDesk verwendet werden, um die Risiken von Eindringlingen zu minimieren. Da Angreifer AnyDesk-IDs kennen und versuchen, sich bei Hosts als CERT-UA zu ausgeben, bietet SOC Prime den relevanten SOC-Inhalt, um diese Instanzen mit den potenziellen Zielen zu erkennen.
Klicken Sie auf die Erkennungen erkunden Schaltfläche, um auf die dedizierten Erkennungsinhalte zuzugreifen, die mit dem MITRE ATT&CK®-Framework ausgerichtet sind und mit relevanten Bedrohungsinformationen und umsetzbaren Metadaten wie Angriffstimen, Fehlalarmsraten und Empfehlungen zur Audit-Konfiguration erweitert wurden. Alle Erkennungen sind auch mit den führenden SIEM-, EDR- und Data-Lake-Technologien kompatibel, um eine nahtlose plattformübergreifende Bedrohungserkennung zu ermöglichen.
Missbrauch von AnyDesk: Analyse von Cyberangriffen
CERT-UA-Forscher haben Informationen über mehrere Versuche von Angreifern erhalten, mithilfe der AnyDesk-Anwendung angeblich im Auftrag von CERT-UA remote eine Verbindung zu Zielinstanzen herzustellen.
Laut der Forschung senden Angreifer Verbindungsanfragen über AnyDesk, die als Sicherheitsaudit getarnt sind, um Schutzmaßnahmen betrügerisch zu überprüfen, wobei sie fälschlicherweise behaupten, im Namen von CERT-UA zu handeln, und das CERT-UA-Logo sowie die AnyDesk-ID „1518341498“ ausnutzen, die in verschiedenen Fällen variieren kann.
Bemerkenswert ist, dass das CERT-UA-Team Fernzugriffstools, einschließlich AnyDesk, in bestimmten Fällen nutzen kann, um Organisationen beim Schutz ihrer Cybersicherheitsressourcen zu unterstützen. Dies umfasst Aktivitäten zur Vorbeugung, Erkennung und Minderung der Folgen von Cybervorfällen. Diese Operationen werden jedoch nur nach vorheriger Vereinbarung über festgelegte Kommunikationskanäle durchgeführt.
In der jüngsten bösartigen Kampagne wenden Angreifer Social-Engineering-Techniken an, die Vertrauen und Autorität ausnutzen. Diese Cyber-Angriffe, die AnyDesk ausnutzen, können erfolgreich sein, wenn Angreifer Zugriff auf die AnyDesk-ID des Opfers haben und vorausgesetzt, der betroffene Computer hat eine funktionierende AnyDesk-Software installiert. Zusätzlich kann dies darauf hindeuten, dass die gezielte AnyDesk-ID unter anderen Umständen kompromittiert wurde, einschließlich der Ausnutzung anderer Systeme, von denen aus Fernzugriff zuvor von Angreifern autorisiert wurde.
In der jüngsten bösartigen Kampagne wenden Angreifer Social-Engineering-Techniken an, die Vertrauen und Autorität ausnutzen. Diese Cyber-Angriffe, die AnyDesk ausnutzen, können erfolgreich sein, wenn Angreifer Zugriff auf die AnyDesk-ID des Opfers haben und vorausgesetzt, der betroffene Computer hat eine funktionierende AnyDesk-Software installiert. Zusätzlich kann dies darauf hindeuten, dass die gezielte AnyDesk-ID unter anderen Umständen kompromittiert wurde, einschließlich der Ausnutzung anderer Systeme, von denen aus Fernzugriff zuvor von Angreifern autorisiert wurde.
Um die Risiken der Ausnutzung von AnyDesk zu verringern, fordert CERT-UA Benutzer auf, wachsam zu bleiben und sicherzustellen, dass Fernzugriffstools nur während aktiver Sitzungen aktiviert sind und dass alle Operationen mit Fernzugriff persönlich über festgelegte Kommunikationskanäle vereinbart werden. Es wird auch dringend empfohlen, dass Organisationen eine proaktive Verteidigungsstrategie anwenden, um verdächtiges Verhalten rechtzeitig zu erkennen. Wenn Organisationen auf AnyDesk angewiesen sind, sollten sie proaktiv Hosts erkennen, die von diesem Remote-Dienstprogramm verwendet werden, um die Risiken eines unbefugten Fernzugriffs zu minimieren. SOC Prime Plattform für kollektive Cyberabwehr stattet Sicherheitsteams mit einer kompletten Produktsuite für zukunftssichere Cyberabwehr aus und bietet erweiterte Bedrohungserkennung, automatisierte Bedrohungssuche und intelligengestützte Erkennungstechnik, damit Organisationen immer einen Schritt voraus sind.
MITRE ATT&CK Kontext
Um einen tieferen Kontext der neuesten Angriffe zu gewinnen, die angeblich im Auftrag von CERT-UA erfolgen, schauen Sie sich ein Set an Sigma-Regeln an, die dabei helfen können, Hosts zu identifizieren, die AnyDesk nutzen. Der Rückgriff auf MITRE ATT&CK kann auch die Sichtbarkeit auf Verhaltensmuster verbessern, die mit bösartigen Aktivitäten verbunden sind, die AnyDesk zur Nachahmung von CERT-UA verwenden.
Tactics | Techniques | Sigma Rule |
Command and Control | Remote Access Software (T1219) | |
