Hacker sfruttano AnyDesk impersonando CERT-UA per lanciare attacchi informatici
Indice:
Gli avversari spesso sfruttano strumenti legittimi nelle loro campagne dannose. Il popolare AnyDesk strumento di controllo remoto è stato ampiamente sfruttato dagli hacker per scopi offensivi. I difensori informatici hanno rivelato il recente abuso del software AnyDesk per connettersi a computer mirati, mascherando gli sforzi dannosi come attività del CERT-UA.
Rileva attacchi informatici che sfruttano AnyDesk basandosi sulla ricerca del CERT-UA
Gli avversari spesso sfruttano strumenti di gestione remota per scopi dannosi. Ad esempio, il Remote Utilities software è stato ampiamente utilizzato in campagne offensive mirate all’Ucraina. L’ ultimo avviso CERT-UA fa luce sull’abuso di un altro strumento legittimo di accesso remoto, AnyDesk, che attira le vittime a utilizzare lo strumento compromesso sotto la falsa pretesa di condurre una verifica di sicurezza. La piattaforma SOC Prime per la difesa informatica collettiva cura un insieme rilevante di algoritmi di rilevamento che aiutano gli ingegneri della sicurezza a definire quali host sono utilizzati da AnyDesk per minimizzare i rischi di intrusioni. Poiché gli avversari conoscono gli ID AnyDesk e tentano di connettersi agli host impersonando il CERT-UA, SOC Prime offre il contenuto SOC rilevante per rilevare questi casi con gli ID, che sono potenzialmente gli obiettivi.
Fai clic sul pulsante Esplora Rilevamenti per accedere agli elementi di contenuto di rilevamento dedicati allineati al framework MITRE ATT&CK® e arricchiti con informazioni di minaccia rilevanti e metadati azionabili, come cronologie degli attacchi, tassi di falsi positivi e raccomandazioni per la configurazione degli audit. Tutti i rilevamenti sono anche compatibili con le tecnologie leader del settore SIEM, EDR e Data Lake per abilitare un rilevamento delle minacce trasversale e senza soluzione di continuità.
Abuso di AnyDesk: Analisi di Attacco Informatico
I ricercatori del CERT-UA hanno ricevuto informazioni su diversi tentativi degli avversari di connettersi a distanza a istanze mirate utilizzando l’applicazione AnyDesk, presumibilmente per conto del CERT-UA.
Secondo la ricerca, gli aggressori inviano richieste di connessione tramite AnyDesk mascherate da un controllo di sicurezza per verificare fraudolentemente i livelli di protezione, sostenendo falsamente di essere per conto del CERT-UA, sfruttando il logo CERT-UA e l’ID AnyDesk “1518341498,” che può variare in diversi incidenti.
Notoriamente, il team CERT-UA può utilizzare strumenti di accesso remoto, compreso AnyDesk, in determinati casi per aiutare le organizzazioni a proteggere le proprie risorse informatiche. Ciò include fornire attività per prevenire, rilevare e mitigare le conseguenze di incidenti informatici. Tuttavia, queste operazioni sono condotte solo previo accordo tramite canali di comunicazione predefiniti.
Nella più recente campagna malevola, gli aggressori applicano tecniche di ingegneria sociale che sfruttano la fiducia e l’autorità. Questi attacchi informatici che sfruttano AnyDesk possono avere successo se gli avversari hanno accesso all’ID AnyDesk della vittima e a condizione che il computer colpito abbia installato un software AnyDesk funzionante. Inoltre, ciò può indicare che l’ID AnyDesk mirato sia stato probabilmente compromesso in altre circostanze, incluso lo sfruttamento di altri sistemi dai quali l’accesso remoto era precedentemente autorizzato dagli avversari.
Nella più recente campagna malevola, gli aggressori applicano tecniche di ingegneria sociale che sfruttano la fiducia e l’autorità. Questi attacchi informatici che sfruttano AnyDesk possono avere successo se gli avversari hanno accesso all’ID AnyDesk della vittima e a condizione che il computer colpito abbia installato un software AnyDesk funzionante. Inoltre, ciò può indicare che l’ID AnyDesk mirato sia stato probabilmente compromesso in altre circostanze, incluso lo sfruttamento di altri sistemi dai quali l’accesso remoto era precedentemente autorizzato dagli avversari.
Per ridurre i rischi di sfruttamento di AnyDesk, il CERT-UA invita gli utenti a rimanere vigili e a garantire che gli strumenti di accesso remoto siano abilitati solo durante le sessioni attive e che tutte le operazioni che coinvolgono l’accesso remoto siano concordate personalmente tramite canali di comunicazione stabiliti. Si raccomanda inoltre vivamente che le organizzazioni applichino una strategia di difesa proattiva per individuare tempestivamente eventuali tracce di comportamenti sospetti. Se le organizzazioni si affidano a AnyDesk, dovrebbero rilevare proattivamente gli host utilizzati da questa utility remota per minimizzare i rischi di accesso remoto non autorizzato. Piattaforma SOC Prime per la difesa informatica collettiva equipaggia i team di sicurezza con una suite completa di prodotti per una difesa informatica a prova di futuro, offrendo rilevamento avanzato delle minacce, ricerca automatizzata delle minacce e ingegneria di rilevamento guidata dall’intelligence per aiutare le organizzazioni a rimanere sempre un passo avanti rispetto agli avversari.
Contesto MITRE ATT&CK
Per ottenere un contesto più approfondito degli ultimi attacchi presumibilmente agendo per conto del CERT-UA, consulta un insieme di regole Sigma che possono aiutare a identificare gli host che sfruttano AnyDesk. Fare affidamento su MITRE ATT&CK può anche migliorare la visibilità sui modelli comportamentali associati ad attività dannose che coinvolgono AnyDesk per impersonare CERT-UA.
Tactics | Techniques | Sigma Rule |
Command and Control | Remote Access Software (T1219) | |
