Hackers Exploram AnyDesk Se Passando por CERT-UA para Lançar Ciberataques

Os adversários frequentemente utilizam ferramentas legítimas em suas campanhas maliciosas. O popular AnyDesk utilitário remoto também tem sido amplamente explorado por hackers para fins ofensivos. Defensores cibernéticos descobriram o uso indevido recente do software AnyDesk para conectar-se a computadores-alvo, disfarçando os esforços maliciosos como atividade da CERT-UA.

Detectar Ataques Cibernéticos Exploiting AnyDesk Baseado na Pesquisa CERT-UA

Os adversários frequentemente exploram ferramentas de gerenciamento remoto para fins maliciosos. Por exemplo, o Remote Utilities software tem sido extensivamente utilizado em campanhas ofensivas visando a Ucrânia. O alerta mais recente da CERT-UA joga luz sobre o mau uso de outra ferramenta de acesso remoto legítima, AnyDesk, que atrai vítimas a utilizar a ferramenta comprometida sob a alegação falsa de conduzir uma auditoria de segurança. A Plataforma SOC Prime para defesa cibernética coletiva organiza um conjunto relevante de algoritmos de detecção que ajudam engenheiros de segurança a definir quais hosts são usados pelo AnyDesk para minimizar os riscos de intrusões. Como os adversários conhecem os IDs do AnyDesk e tentam conectar-se aos hosts se passando pela CERT-UA, a SOC Prime oferece o conteúdo SOC relevante para detectar essas instâncias com os IDs, que são potencialmente os alvos.

Clique no botão Explorar Detecções para acessar os itens de conteúdo de detecção dedicados alinhados com o MITRE ATT&CK® framework e aprimorados com informações relevantes de ameaça e metadados acionáveis, como cronogramas de ataques, taxas de falso positivo e recomendações de configuração de auditoria. Todas as detecções também são compatíveis com as tecnologias líderes do setor, SIEM, EDR, e Data Lake, para permitir a detecção de ameaças perfeita e multiplataforma.

Explorar Detecções

Mau Uso do AnyDesk: Análise de Ataque Cibernético

Pesquisadores da CERT-UA receberam informações sobre múltiplas tentativas de adversários de conectar-se remotamente a instâncias-alvo usando o aplicativo AnyDesk, supostamente em nome da CERT-UA.

De acordo com a pesquisa, os atacantes enviam solicitações de conexão via AnyDesk disfarçadas como uma auditoria de segurança para verificar fraudulentamente os níveis de proteção, alegando falsamente serem em nome da CERT-UA, explorando o logotipo da CERT-UA e o ID do AnyDesk “1518341498”, que pode variar em diversos incidentes.

Notavelmente, a equipe CERT-UA pode usar ferramentas de acesso remoto, incluindo AnyDesk, em certos casos para ajudar as organizações a proteger seus ativos de cibersegurança. Isso inclui fornecer atividades para prevenir, detectar e mitigar as consequências de incidentes cibernéticos. No entanto, essas operações são realizadas apenas após acordo prévio através de canais de comunicação preestabelecidos.

Na mais recente campanha maliciosa, os atacantes aplicam técnicas de engenharia social que exploram confiança e autoridade. Esses ataques cibernéticos explorando AnyDesk podem ser bem-sucedidos se os adversários tiverem acesso ao ID AnyDesk da vítima e desde que o computador impactado tenha o software AnyDesk funcional instalado. Além disso, isso pode indicar que o ID AnyDesk alvo foi provavelmente comprometido em outras circunstâncias, incluindo a exploração de outros sistemas dos quais o acesso remoto foi anteriormente autorizado por adversários.

Na mais recente campanha maliciosa, os atacantes aplicam técnicas de engenharia social que exploram confiança e autoridade. Esses ataques cibernéticos explorando AnyDesk podem ser bem-sucedidos se os adversários tiverem acesso ao ID AnyDesk da vítima e desde que o computador impactado tenha o software AnyDesk funcional instalado. Além disso, isso pode indicar que o ID AnyDesk alvo foi provavelmente comprometido em outras circunstâncias, incluindo a exploração de outros sistemas dos quais o acesso remoto foi anteriormente autorizado por adversários.

Para reduzir os riscos de exploração do AnyDesk, a CERT-UA incentiva os usuários a permanecerem vigilantes e garantir que as ferramentas de acesso remoto estejam habilitadas apenas durante sessões ativas e que quaisquer operações envolvendo acesso remoto sejam acordadas pessoalmente através de canais de comunicação estabelecidos. Também é altamente recomendado que as organizações apliquem uma estratégia de defesa proativa para detectar qualquer vestígio de comportamento suspeito em tempo hábil. Se as organizações contam com AnyDesk, elas devem detectar proativamente os hosts usados por este utilitário remoto para minimizar os riscos de acessos remotos não autorizados. Plataforma SOC Prime para defesa cibernética coletiva equipa equipes de segurança com um conjunto completo de produtos para defesa cibernética à prova de futuro, oferecendo detecção avançada de ameaças, caça automatizada de ameaças e engenharia de detecção orientada por inteligência para ajudar as organizações a sempre estarem um passo à frente dos adversários.

Contexto MITRE ATT&CK

Para obter um contexto mais profundo dos ataques mais recentes supostamente agindo em nome da CERT-UA, confira um conjunto de regras Sigma que podem ajudar a identificar hosts utilizando AnyDesk. Confiar no MITRE ATT&CK também pode melhorar a visibilidade sobre padrões de comportamento associados a atividades maliciosas envolvendo AnyDesk para se passar pela CERT-UA.