ハッカーがCERT-UAを装ったAnyDeskを悪用してサイバー攻撃を展開

[post-views]
1月 20, 2025 · 6 分で読めます
ハッカーがCERT-UAを装ったAnyDeskを悪用してサイバー攻撃を展開

攻撃者は、悪意あるキャンペーンにおいてしばしば正当なツールを利用します。この人気のある AnyDesk リモートユーティリティも、攻撃者によって多く悪用されています。サイバー防衛者は、CERT-UA活動を偽装した悪意ある試みとして、AnyDeskソフトウェアを利用したターゲットコンピュータへの接続の最近の悪用を明らかにしました。

CERT-UAの研究に基づいてAnyDeskを悪用したサイバー攻撃を検出する

攻撃者はしばしば、リモート管理ツールを悪用して悪意ある目的で使用します。例えば、 Remote Utilities ソフトウェアは、ウクライナをターゲットとした攻撃キャンペーンで広範に使用されています。 最新のCERT-UAアラート は、別の正当なリモートアクセスツールであるAnyDeskの悪用についての詳細を提供しています。このツールは、セキュリティ監査の実施を偽装して被害者を引きつけ、その利用を促します。SOC Primeプラットフォームは、AnyDeskによって使用されるホストを特定し、侵入のリスクを最小限に抑えるための関連検出アルゴリズムのセットを提供し、セキュリティエンジニアを支援します。攻撃者がAnyDesk IDを知っていて、CERT-UAになりすましてホストに接続しようとするため、SOC PrimeはこれらのインスタンスをIDで検出するための関連するSOCコンテンツを提供しています。

をクリックして 検出を探索 ボタンを押し、MITRE ATT&CK®フレームワークに沿った専用の検出コンテンツアイテムにアクセスします。 MITRE ATT&CK®フレームワーク および関連する脅威インテルと実用的なメタデータ(攻撃タイムライン、誤検知率、監査構成推奨など)で強化されています。すべての検出は、業界をリードするSIEM、EDR、データレイク技術と互換性があり、シームレスなクロスプラットフォーム脅威検出を可能にします。

検出を探索

AnyDeskの悪用: サイバー攻撃分析

CERT-UAの研究者は、 AnyDeskアプリケーションを使用してターゲットインスタンスにリモート接続しようとする複数の敵対者からの情報を受け取りました。

研究によると、攻撃者はCERT-UAを名乗り、セキュリティ監査として偽装した接続要求をAnyDesk経由で送信し、偽造して防護レベルを確認しようとします。CERT-UAのロゴとAnyDesk ID「1518341498」を悪用し、異なる事例では変更される可能性があります。

特に、CERT-UAチームはサイバーセキュリティ資産を保護するために、特定の場合にはリモートアクセスツール(AnyDeskを含む)を使用することがあります。これには、サイバーインシデントの結果を防止、検出、軽減する活動が含まれます。しかし、これらの操作は事前に合意された通信チャネルを通じてのみ実施されます。

最新の悪意あるキャンペーンにおいて、攻撃者は信頼と権威を利用するソーシャルエンジニアリング技術を適用しています。AnyDeskを悪用するこれらのサイバー攻撃は、攻撃者が被害者のAnyDesk IDにアクセスし、影響を受けたコンピュータにAnyDeskソフトウェアがインストールされていると成功する恐れがあります。さらに、これはターゲットとされたAnyDesk IDが他の状況下で侵害された可能性を示唆し、以前に攻撃者によってリモートアクセスを許可されていたシステムの悪用を含みます。

最新の悪意あるキャンペーンにおいて、攻撃者は信頼と権威を利用するソーシャルエンジニアリング技術を適用しています。AnyDeskを悪用するこれらのサイバー攻撃は、攻撃者が被害者のAnyDesk IDにアクセスし、影響を受けたコンピュータにAnyDeskソフトウェアがインストールされていると成功する恐れがあります。さらに、これはターゲットとされたAnyDesk IDが他の状況下で侵害された可能性を示唆し、以前に攻撃者によってリモートアクセスを許可されていたシステムの悪用を含みます。

AnyDeskの悪用リスクを削減するために、CERT-UAはユーザーに警戒を怠らず、リモートアクセスツールがアクティブなセッション中のみ有効にされ、リモートアクセスに関わるいかなる操作も個人的に合意した通信チャネルを通じて行われることを保証するよう促しています。また、組織がAnyDeskに頼っている場合、未承認のリモートアクセスのリスクを最小限に抑えるために、このリモートユーティリティによって使用されるホストを積極的に検出することを強くお勧めします。 フォロー シーベ分受こと推薦です 脅威について知り、可能性予測し、化したしてくださいはいなかふんい!

MITRE ATT&CKのコンテキスト

CERT-UAを名乗る最新の攻撃のコンテキストを理解するために、AnyDeskを利用するホストを特定するのに役立つシグマルールのセットをチェックしてください。MITRE ATT&CKに頼ることで、CERT-UAになりすます悪質な活動に関連する行動パターンへの可視性が向上します。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer
ブログ, 最新の脅威 — 6 分で読めます
UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer
Veronika Telychko
UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動
ブログ, 最新の脅威 — 6 分で読めます
UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動
Veronika Telychko
UAC-0200攻撃検出:DarkCrystal RATを使用したウクライナの防衛産業部門および武装勢力を標的とするサイバー諜報活動
ブログ, 最新の脅威 — 5 分で読めます
UAC-0200攻撃検出:DarkCrystal RATを使用したウクライナの防衛産業部門および武装勢力を標的とするサイバー諜報活動
Veronika Telychko