Hackers explotan AnyDesk haciƩndose pasar por CERT-UA para lanzar ciberataques
Tabla de contenidos:
Los adversarios frecuentemente aprovechan herramientas legĆtimas en sus campaƱas maliciosas. El popular AnyDesk utilitario remoto tambiĆ©n ha sido ampliamente explotado por hackers con fines ofensivos. Los defensores cibernĆ©ticos han desvelado el uso indebido reciente del software AnyDesk para conectarse a computadoras objetivo, disfrazando los esfuerzos maliciosos como actividad de CERT-UA.
Detectar ciberataques que explotan AnyDesk basado en la investigaciĆ³n de CERT-UA
Los adversarios a menudo explotan herramientas de gestiĆ³n remota para fines maliciosos. Por ejemplo, el Remote Utilities el software ha sido extensamente utilizado en campaƱas ofensivas dirigidas a Ucrania. La Ćŗltima alerta de CERT-UA arroja luz sobre el uso indebido de otra herramienta legĆtima de acceso remoto, AnyDesk, que atrae a las vĆctimas a aprovechar la herramienta comprometida bajo el falso pretexto de realizar una auditorĆa de seguridad. La plataforma SOC Prime para la defensa cibernĆ©tica colectiva cura un conjunto relevante de algoritmos de detecciĆ³n que ayudan a los ingenieros de seguridad a definir quĆ© hosts son utilizados por AnyDesk para minimizar los riesgos de intrusiones. Dado que los adversarios conocen los IDs de AnyDesk y tratan de conectarse a hosts haciĆ©ndose pasar por CERT-UA, SOC Prime ofrece el contenido SOC relevante para detectar estas instancias con los IDs, que son potencialmente los objetivos.
Haz clic en el Explorar Detecciones botĆ³n para acceder a los elementos de contenido de detecciĆ³n dedicados alineados con el marco MITRE ATT&CKĀ® y mejorados con informaciĆ³n de amenazas relevante y metadatos procesables, como cronogramas de ataques, tasas de falsos positivos y recomendaciones de configuraciĆ³n de auditorĆa. Todas las detecciones tambiĆ©n son compatibles con las tecnologĆas lĆderes de la industria SIEM, EDR y Data Lake para habilitar la detecciĆ³n de amenazas sin problemas a travĆ©s de plataformas.
Uso indebido de AnyDesk: AnƔlisis de Ataque CibernƩtico
Investigadores de CERT-UA han recibido informaciĆ³n sobre mĆŗltiples intentos de adversarios de conectarse remotamente a instancias objetivo utilizando la aplicaciĆ³n AnyDesk, supuestamente en nombre de CERT-UA.
SegĆŗn la investigaciĆ³n, los atacantes envĆan solicitudes de conexiĆ³n a travĆ©s de AnyDesk disfrazadas como una auditorĆa de seguridad para verificar niveles de protecciĆ³n, reclamando fraudulentamente actuar en nombre de CERT-UA, explotando el logo de CERT-UA y el ID de AnyDesk ā1518341498,ā que puede variar en diferentes incidentes.
Notablemente, el equipo de CERT-UA puede usar herramientas de acceso remoto, incluyendo AnyDesk, en ciertos casos para ayudar a las organizaciones a proteger sus activos de ciberseguridad. Esto incluye proporcionar actividades para prevenir, detectar y mitigar las consecuencias de los incidentes cibernĆ©ticos. Sin embargo, estas operaciones solo se llevan a cabo despuĆ©s de un acuerdo previo a travĆ©s de canales de comunicaciĆ³n preestablecidos.
En la Ćŗltima campaƱa maliciosa, los atacantes aplican tĆ©cnicas de ingenierĆa social que explotan la confianza y la autoridad. Estos ciberataques que explotan AnyDesk pueden tener Ć©xito si los adversarios tienen acceso al ID de AnyDesk de la vĆctima y siempre que la computadora afectada tenga el software AnyDesk funcional instalado. AdemĆ”s, esto puede indicar que el ID de AnyDesk objetivo probablemente fue comprometido en otras circunstancias, incluidas la explotaciĆ³n de otros sistemas de los cuales los adversarios autorizaron previamente el acceso remoto.
En la Ćŗltima campaƱa maliciosa, los atacantes aplican tĆ©cnicas de ingenierĆa social que explotan la confianza y la autoridad. Estos ciberataques que explotan AnyDesk pueden tener Ć©xito si los adversarios tienen acceso al ID de AnyDesk de la vĆctima y siempre que la computadora afectada tenga el software AnyDesk funcional instalado. AdemĆ”s, esto puede indicar que el ID de AnyDesk objetivo probablemente fue comprometido en otras circunstancias, incluidas la explotaciĆ³n de otros sistemas de los cuales los adversarios autorizaron previamente el acceso remoto.
Para reducir los riesgos de explotaciĆ³n de AnyDesk, CERT-UA insta a los usuarios a permanecer vigilantes y garantizar que las herramientas de acceso remoto solo estĆ©n habilitadas durante sesiones activas y que cualquier operaciĆ³n que involucre acceso remoto se acuerde personalmente a travĆ©s de canales de comunicaciĆ³n establecidos. TambiĆ©n se recomienda encarecidamente que las organizaciones apliquen una estrategia de defensa proactiva para detectar cualquier rastro de comportamiento sospechoso de manera oportuna. Si las organizaciones dependen de AnyDesk, deben detectar proactivamente los hosts utilizados por este utilitario remoto para minimizar los riesgos de acceso remoto no autorizado. Plataforma SOC Prime para la defensa cibernĆ©tica colectiva equipa a los equipos de seguridad con un conjunto completo de productos para la defensa cibernĆ©tica a prueba de futuro, ofreciendo detecciĆ³n avanzada de amenazas, caza de amenazas automatizada e ingenierĆa de detecciĆ³n guiada por inteligencia para ayudar a las organizaciones a mantenerse siempre un paso adelante de los adversarios.
Contexto MITRE ATT&CK
To gain a deeper context of the latest attacks purportedly acting on behalf of CERT-UA, check out a set of Sigma rules that can help identify hosts leveraging AnyDesk. Relying on MITRE ATT&CK can also improve visibility into behavioral patterns associated with malicious activities involving AnyDesk to impersonate CERT-UA.
Tactics | Techniques | Sigma Rule |
Command and Control | Remote Access Software (T1219) | |
