Les Hackers Exploitent AnyDesk en Usurpant CERT-UA pour Lancer des Cyberattaques
Table des matières :
Les adversaires exploitent fréquemment des outils légitimes dans leurs campagnes malveillantes. Le populaire AnyDesk outil de télétravail a également été largement exploité par les hackers à des fins offensives. Les défenseurs cybersécurité ont dévoilé la récente utilisation abusive du logiciel AnyDesk pour se connecter à des ordinateurs ciblés, déguisant les efforts malveillants en activité CERT-UA.
Détectez les cyber-attaques exploitant AnyDesk selon la recherche de CERT-UA
Les adversaires exploitent souvent des outils de gestion à distance à des fins malveillantes. Par exemple, le Remote Utilities logiciel a été utilisé de manière intensive dans des campagnes offensives ciblant l’Ukraine. Le dernier avertissement CERT-UA met en lumière l’utilisation abusive d’un autre outil d’accès à distance légitime, AnyDesk, qui attire les victimes à utiliser l’outil compromis sous le faux prétexte de réaliser un audit de sécurité. La plate-forme SOC Prime pour la défense cyber collective élabore un ensemble pertinent d’algorithmes de détection qui aident les ingénieurs en sécurité à identifier quels hôtes sont utilisés par AnyDesk afin de minimiser les risques d’intrusions. Étant donné que les adversaires connaissent les IDs AnyDesk et tentent de se connecter aux hôtes en se faisant passer pour CERT-UA, SOC Prime offre le contenu SOC pertinent pour détecter ces instances avec les IDs, qui sont potentiellement les cibles.
Cliquez sur le Explorer les détections bouton pour accéder aux éléments de contenu de détection dédiés alignés avec le cadre MITRE ATT&CK® et enrichis avec des informations pertinentes sur les menaces et des métadonnées exploitables, telles que les chronologies d’attaque, les taux de faux positifs et les recommandations de configuration d’audit. Toutes les détections sont également compatibles avec les technologies de pointe SIEM, EDR et Data Lake pour permettre une détection des menaces inter-plateformes sans faille.
Utilisation abusive d’AnyDesk : Analyse de cyber-attaque
Les chercheurs CERT-UA ont reçu des informations concernant plusieurs tentatives adverses de se connecter à distance à des instances ciblées en utilisant l’application AnyDesk, soi-disant au nom de CERT-UA.
Selon la recherche, les attaquants envoient des demandes de connexion via AnyDesk déguisées en audit de sécurité pour vérifier frauduleusement les niveaux de protection en prétendant agir au nom de CERT-UA, exploitant le logo de CERT-UA et l’ID AnyDesk « 1518341498 », qui peut varier dans divers incidents.
Notamment, l’équipe CERT-UA peut utiliser des outils d’accès à distance, y compris AnyDesk, dans certains cas, pour aider les organisations à protéger leurs actifs de cybersécurité. Cela comprend la fourniture d’activités pour prévenir, détecter et atténuer les conséquences des incidents cybernétiques. Cependant, ces opérations ne sont menées qu’après accord préalable via des canaux de communication préétablis.
Dans la dernière campagne malveillante, les attaquants appliquent des techniques d’ingénierie sociale qui exploitent la confiance et l’autorité. Ces cyber-attaques exploitant AnyDesk peuvent réussir si les adversaires ont accès à l’ID AnyDesk de la victime et à condition que l’ordinateur impacté ait le logiciel AnyDesk fonctionnel installé. De plus, cela peut indiquer que l’ID AnyDesk ciblé était probablement compromis dans d’autres circonstances, y compris l’exploitation d’autres systèmes à partir desquels l’accès à distance a été précédemment autorisé par des adversaires.
Dans la dernière campagne malveillante, les attaquants appliquent des techniques d’ingénierie sociale qui exploitent la confiance et l’autorité. Ces cyber-attaques exploitant AnyDesk peuvent réussir si les adversaires ont accès à l’ID AnyDesk de la victime et à condition que l’ordinateur impacté ait le logiciel AnyDesk fonctionnel installé. De plus, cela peut indiquer que l’ID AnyDesk ciblé était probablement compromis dans d’autres circonstances, y compris l’exploitation d’autres systèmes à partir desquels l’accès à distance a été précédemment autorisé par des adversaires.
Pour réduire les risques d’exploitation d’AnyDesk, CERT-UA incite les utilisateurs à rester vigilants et à s’assurer que les outils d’accès à distance sont activés uniquement lors de sessions actives et que toutes les opérations impliquant l’accès à distance sont convenues personnellement via des canaux de communication établis. Il est également fortement recommandé que les organisations appliquent une stratégie de défense proactive pour repérer toute trace de comportement suspect en temps opportun. Si les organisations dépendent d’AnyDesk, elles devraient détecter de manière proactive les hôtes utilisés par cet outil de télétravail pour minimiser les risques d’accès à distance non autorisé. Plate-forme SOC Prime pour la défense cyber collective équipe les équipes de sécurité d’une suite complète de produits pour une défense cyber résiliente, offrant une détection avancée des menaces, une chasse proactive des menaces et une ingénierie de détection pilotée par l’intelligence pour aider les organisations à toujours garder une longueur d’avance sur les adversaires.
Contexte MITRE ATT&CK
Pour obtenir un contexte plus approfondi des dernières attaques prétendument agissant au nom de CERT-UA, découvrez un ensemble de règles Sigma qui peuvent aider à identifier les hôtes utilisant AnyDesk. S’appuyer sur MITRE ATT&CK peut également améliorer la visibilité sur les modèles de comportement associés aux activités malveillantes impliquant AnyDesk pour se faire passer pour CERT-UA.
Tactics | Techniques | Sigma Rule |
Command and Control | Remote Access Software (T1219) | |
