AnyDesk白工具黑利用:RMM软件与“兜圈子”的网络钓鱼活动
AnyDesk白工具黑利用:RMM软件与“兜圈子”的网络钓鱼活动
远程监控和管理(RMM)软件,包括AnyDesk、Atera和Splashtop等流行工具在内,对当今的IT管理员来说是非常宝贵的,因为它们可以简化IT任务并确保网络的完整性。然而,这些工具也引起了威胁行为者的注意,而他们会利用这些工具渗透目标组织的网络系统并窃取敏感数据。
这些威胁行为者会通过复杂的网络诈骗活动和欺骗性在线广告来欺骗目标组织的人员,如果不够谨慎的话,目标用户很可能会被威胁行为者的攻击策略误导,进而导致威胁行为者成功渗透进他们的系统。威胁行为者会通过欺诈策略告诉目标用户自己系统出现了压根不存在的安全问题,从而诱使它们下载看似无害的RMM应用程序,从而实现不受任何限制地访问目标组织的网络系统。
在这篇文章中,我们将会详细分析一个利用AnyDesk远程软件针对企业用户的特定网络钓鱼活动,以及如何检测和防御此类攻击活动。
网络钓鱼网站托管远程软件
首先,威胁行为者会选择特定的目标用户,然后再根据他们所在的企业以及职位来精心构建网络钓鱼信息,并根据钓鱼邮件或钓鱼短信来与他们取得联系。
毫无疑问,威胁行为者可以直接欺骗目标用户访问他们的网络钓鱼页面,或者让他们下载恶意软件来实现凭证窃取或初始访问,但是威胁行为者并没有这么做,而是采用了一系列“兜圈子”的方法来实现最终目标。
在此活动中,目标用户会被重定向到一个模仿金融机构制作的钓鱼网站注册页面,为了获得技术支持,目标用户需要下载一款伪装成实时聊天应用程序的远程桌面软件。
uk-barclaysliveteam[.]com/corp/AnyDesk.exe
uk-barclaysliveteam[.]com/corp/anydesk.dmg需要注意的是,此时目标用户所下载的并非恶意软件。在该场景中,威胁行为者使用的是合法的但过时了的AnyDesk可执行文件,同时该文件也并不会被检测为恶意软件。
运行该应用程序之后,该程序会显示一个连接码,我们可以将该连接码转发给任何一个你需要求助的人。如果目标用户将其发送给了威胁行为者,那么他们就能够拿到目标设备的远程控制权,并以目标用户的身份执行各种操作。
威胁行为者会为不同的金融机构注册不同的网络钓鱼域名,并使用相同的“Windows实时聊天”风格。但我们目前尚不清楚此活动背后是否只有一个威胁行为团伙。
这些网络钓鱼域名大多都托管在AS200593上,而AS200593上还托管有很多“传统”的钓鱼网站。
某些银行网站在允许用户登录之前,会尝试检测用户当前是否正在运行有远程管理控制软件。然而,并非所有银行的网站都具备这一功能,在某些情况下,威胁行为者甚至还可以绕过这些检测。
AnyDesk似乎已经成为了威胁行为者眼中的“香饽饽”
目前社区有很多的RMM工具,威胁行为者会利用这些工具,但更具有讽刺意味的是,那些更受欢迎且更简单的工具往往被滥用的可能性也就越大。
2024年2月2日,AnyDesk就已经因为一个安全问题而上了热门,这个安全漏洞可以允许威胁行为者破坏AnyDesk的产品生态系统。为了解决这个问题,供应商已经废除了相关版本的产品代码签名证书,并敦促广大用户尽快更新产品版本。
实际上,很多RMM厂商都意识到了他们自己的产品可能已经被威胁行为者利用,因此他们都会定期提醒用户相关的安全提示。比如说AnyDesk就在其官网上明确提醒了用户:
规则1:千万不要将你设备的访问权给任何一个你不认识的人。 规则2:千万不要与任何你不认识的人分享网银登录凭证和任何密码。
安全建议
1、警惕网络钓鱼电子邮件:不要点击可疑电子邮件中的链接或打开附件,即使它们看起来来自 AnyDesk。 2、报告可疑活动:如果您发现 AnyDesk 帐户有任何可疑活动,请立即向 AnyDesk 报告。 3、使用强密码:为所有在线帐户使用强且唯一的密码,并避免对多个帐户使用相同的密码。 4、启用双因素身份验证:双因素身份验证需要第二个因素(例如手机中的代码)才能登录,从而增加了额外的安全层。 5、随时了解情况:随时了解最新的安全威胁和最佳实践。
使用ThreatDown屏蔽RMM工具
入侵威胁指标IoC
网络钓鱼域名
uk-barclaysliveteam[.]com barclaysbusinesslivechat[.]com boi-bb-onlineservice[.]com santanderbusiness-helpcentre[.]com