해커들, CERT-UA를 사칭하여 AnyDesk를 활용한 사이버 공격 실행

적들은 종종 악의적인 캠페인에서 합법적인 도구를 활용합니다. 널리 알려진 AnyDesk 원격 유틸리티도 해커들에 의해 공격 목적으로 많이 악용되었습니다. 사이버 방어자들은 AnyDesk 소프트웨어를 최신 CERT-UA 활동으로 가장하여 표적 컴퓨터에 연결하는 최근의 악용 사례를 밝혀냈습니다.

CERT-UA 연구에 기반한 AnyDesk를 악용한 사이버 공격 탐지

적들은 종종 악의적인 목적으로 원격 관리 도구를 악용합니다. 예를 들어, Remote Utilities 소프트웨어는 우크라이나를 대상으로 한 공격 캠페인에서 광범위하게 사용되었습니다. 최신 CERT-UA 경고 는 또 다른 합법적인 원격 액세스 도구인 AnyDesk의 악용에 대해 조명하며, 공격자들이 보안 감사라는 허위 주장으로 피해자들을 속여 타협된 도구를 사용하게 만듭니다. 집단 사이버 방어를 위한 SOC Prime 플랫폼은 AnyDesk가 사용되는 호스트를 정의하여 침입 위험을 최소화하는 데 도움이 되는 관련 탐지 알고리즘 집합을 제공합니다. 적들이 AnyDesk ID를 알고 CERT-UA로 가장하여 호스트에 연결하려고 시도하기에, SOC Prime은 해당 ID가 잠재적인 대상이 될 수 있는 사례를 탐지할 수 있는 관련 SOC 콘텐츠를 제공합니다.

클릭하여 탐지 탐색 버튼을 눌러 MITRE ATT&CK® 프레임워크 와 align된 전용 탐지 콘텐츠 항목을 액세스하고 공격 타임라인, 오탐률, 감사 구성 권장사항과 같은 관련된 위협 인텔과 실행 가능한 메타데이터로 강화된 항목을 확인하세요. 모든 탐지는 원활한 교차 플랫폼 위협 탐지를 가능하게 하기 위해 업계 선두의 SIEM, EDR, 데이터 레이크 기술과 호환됩니다.

탐지 탐색

AnyDesk 악용: 사이버 공격 분석

CERT-UA 연구원들은 여러 적들이 CERT-UA를 대표하는 것처럼 가장하여 AnyDesk 애플리케이션을 사용하여 표적 인스턴스에 원격으로 연결하려는 시도가 있었다는 정보를 받았습니다.

연구에 따르면, 공격자들은 AnyDesk를 사용하여 연결 요청을 보내 보안 감사를 빙자하여 보호 수준을 확인하려고 하며, CERT-UA를 대표한다고 사칭하는 것으로 드러났습니다. 이러한 속임수는 CERT-UA 로고와 AnyDesk ID “1518341498”을 악용하며 다양한 사건에서 달라질 수 있습니다.

특히 CERT-UA 팀은 사이버 보안 자산을 보호하기 위해 특정 경우 AnyDesk를 포함한 원격 액세스 도구를 사용할 수 있습니다. 여기에는 사이버 사건의 예방, 탐지 및 결과 완화를 위한 활동이 포함되며, 이러한 작업은 사전에 설정된 커뮤니케이션 채널을 통해 사전 합의 후에만 수행됩니다.

최근의 악의적인 캠페인에서, 공격자들은 신뢰와 권위를 악용하는 사회 공학 기술을 적용합니다. 이 AnyDesk를 악용하는 사이버 공격은 적들이 피해자의 AnyDesk ID에 접근할 수 있는 경우와 영향받은 컴퓨터에 기능적인 AnyDesk 소프트웨어가 설치된 경우 성공할 수 있습니다. 또한 이는 기타 환경에서 공격자에 의해 원격 액세스가 이전에 승인되었던 시스템의 악용을 포함하여 특정 AnyDesk ID가 다른 상황에서 손상되었을 가능성을 나타냅니다.

최근의 악의적인 캠페인에서, 공격자들은 신뢰와 권위를 악용하는 사회 공학 기술을 적용합니다. 이 AnyDesk를 악용하는 사이버 공격은 적들이 피해자의 AnyDesk ID에 접근할 수 있는 경우와 영향받은 컴퓨터에 기능적인 AnyDesk 소프트웨어가 설치된 경우 성공할 수 있습니다. 또한 이는 기타 환경에서 공격자에 의해 원격 액세스가 이전에 승인되었던 시스템의 악용을 포함하여 특정 AnyDesk ID가 다른 상황에서 손상되었을 가능성을 나타냅니다.

AnyDesk 악용의 위험을 줄이기 위해, CERT-UA는 사용자들에게 주의를 기울이고 원격 액세스 도구가 활성 세션 동안에만 활성화되도록 하고 원격 액세스와 관련된 모든 작업이 사전에 설정된 커뮤니케이션 채널을 통해 개인적으로 합의되었음을 보장할 것을 촉구합니다. 조직들이 AnyDesk에 의존하는 경우, 권한 없는 원격 액세스 위험을 최소화하기 위해 이 원격 유틸리티가 사용하는 호스트를 사전에 탐지할 것을 적극 권장합니다. SOC Prime 플랫폼 는 집단 사이버 방어를 위해 보안 팀에게 진화에 대비한 사이버 방어를 위한 완벽한 제품군을 제공하며, 고급 위협 탐지, 자동화된 위협 추적 및 인텔리전스 기반 탐지 엔지니어링을 제공하여 조직이 적들보다 항상 한 발 앞서 나갈 수 있도록 돕습니다.

MITRE ATT&CK 컨텍스트

CERT-UA를 대신하여 활동할 것으로 추정되는 최신 공격의 심층적 컨텍스트를 얻기 위해, AnyDesk를 활용하여 호스트를 식별하는 데 도움이 되는 Sigma 규칙 세트를 확인하세요. MITRE ATT&CK에 의존함으로써 CERT-UA를 가장한 AnyDesk를 사용하여 관련된 악의적인 활동의 행동 패턴에 대한 가시성을 향상시킬 수 있습니다.