黑客利用AnyDesk冒充CERT-UA发起网络攻击

业界来源：安全客 2025-01-21 18:32:45

黑客经常利用合法工具进行恶意攻击。广受欢迎的 AnyDesk 远程工具也在很大程度上被黑客用于攻击目的。网络防御者揭露了最近滥用 AnyDesk 软件连接目标计算机的情况，并将这些恶意行为伪装成 CERT-UA 的活动。

根据 CERT-UA 的研究检测利用 AnyDesk 的网络攻击

攻击者经常利用远程管理工具进行恶意攻击。例如，在针对乌克兰的攻击活动中，远程实用工具软件被广泛使用。最新的 CERT-UA 警报揭示了另一种合法远程访问工具 AnyDesk 被滥用的情况，它以进行安全审计为名，诱使受害者利用被入侵的工具。用于集体网络防御的 SOC Prime Platform 收集了一套相关的检测算法，可帮助安全工程师确定 AnyDesk 使用了哪些主机，从而最大限度地降低入侵风险。由于对手知道 AnyDesk ID 并试图冒充 CERT-UA 连接到主机，因此 SOC Prime 提供了相关的 SOC 内容，以检测这些具有 ID 的实例，它们可能是目标。

单击 “探索检测 ”按钮，访问与 MITRE ATT&CK® 框架一致的专用检测内容项，并通过相关威胁情报和可操作元数据（如攻击时间表、误报率和审计配置建议）进行增强。所有检测还与业界领先的 SIEM、EDR 和数据湖技术兼容，以实现无缝跨平台威胁检测。

AnyDesk 滥用：网络攻击分析

CERT-UA 的研究人员收到了有关多个攻击者试图使用 AnyDesk 应用程序远程连接目标实例的信息，据称这些攻击者是代表 CERT-UA 进行攻击的。

根据研究，攻击者通过 AnyDesk 发送连接请求，伪装成安全审计以验证保护级别，谎称代表 CERT-UA，利用 CERT-UA 徽标和 AnyDesk ID “1518341498”（在不同事件中可能会有所不同）。

值得注意的是，在某些情况下，CERT-UA 团队可能会使用包括 AnyDesk 在内的远程访问工具来帮助组织保护其网络安全资产。这包括提供预防、检测和减轻网络事件后果的活动。但是，只有在通过预先建立的通信渠道达成事先协议后，才能执行这些操作。

在最新的恶意活动中，攻击者采用了利用信任和权威的社交工程技术。如果对手可以访问受害者的 AnyDesk ID，并且受影响的计算机上安装了功能正常的 AnyDesk 软件，那么这些利用 AnyDesk 的网络攻击就会成功。此外，这可能表明目标 AnyDesk ID 很可能是在其他情况下泄露的，包括利用对手先前授权远程访问的其他系统。

为降低 AnyDesk 被利用的风险，CERT-UA 提示用户保持警惕，确保仅在活动会话期间启用远程访问工具，并确保任何涉及远程访问的操作都是通过既定通信渠道亲自商定的。此外，还强烈建议企业采用主动防御策略，及时发现任何可疑行为的蛛丝马迹。如果组织依赖 AnyDesk，则应主动检测该远程实用程序使用的主机，以最大限度地降低未经授权的远程访问风险。用于集体网络防御的 SOC Prime Platform 为安全团队提供了面向未来的网络防御的完整产品套件，提供高级威胁检测、自动威胁捕猎和智能驱动的检测工程，帮助企业始终领先对手一步。

MITRE ATT&CK 背景

要深入了解据称以 CERT-UA 名义实施的最新攻击，请查看一组 Sigma 规则，这些规则可帮助识别利用 AnyDesk 的主机。依靠 MITRE ATT&CK 还可以提高与涉及 AnyDesk 冒充 CERT-UA 的恶意活动相关的行为模式的可见性。

黑客利用AnyDesk冒充CERT-UA发起网络攻击

AnyDesk 滥用： 网络攻击分析

MITRE ATT&CK 背景

HopToDesk远程管理工具，支持 Linux、Mac 和 Windows

AnyDesk 滥用：网络攻击分析