Resecurity发现不良行为者在暗网上出售大量AnyDesk客户凭证。
网络犯罪分子获得这些信息后,可能会催生新的攻击,包括有针对性的网络钓鱼活动。掌握了特定客户的更多信息,成功入侵的可能性就会大大增加。
例如,一种可能的情况是,这些详细信息被用于代表软件供应商、管理服务提供商 (MSP) 或 IT 外包公司发送的恶意电子邮件,目的是获取敏感信息--在这种情况下,下游损失可能会很大。获取此类数据的来源和方法可能因威胁行为者独特的战术、技术和程序(TTPs)而异。
虽然人们普遍认为这种凭证泄漏是信息窃取者感染的结果,但这种不确定性还是造成了一个新的关注领域。假设信息窃取者的假设是正确的,并考虑到最新的事件披露,及时重置密码将是所有 AnyDesk 客户必须采取的缓解措施。AnyDesk 的最终用户包括 IT 管理员,他们通常是威胁行为者的攻击目标。
因此,AnyDesk 必须确保这次网络攻击不会影响对其他关键系统的访问,因为他们的 IT 管理员可能有权限访问这些系统。通过访问 AnyDesk 门户网站,不良分子可以了解到有关客户的重要详细信息,包括但不限于使用的许可证密钥、活动连接数、会话持续时间、客户 ID 和联系信息、与账户相关的电子邮件、已激活远程访问管理软件的主机总数,以及它们的在线或离线状态和 ID。
熟悉该事件的网络犯罪分子可能会急于通过从不同来源获得的暗网将可用的客户凭据货币化,因为他们知道 AnyDesk 可能会采取主动措施来重置其凭据。此类数据对于初始访问代理和熟悉 AnyDesk 的勒索软件团体来说可能非常有价值,AnyDesk 经常被滥用为成功网络入侵后的工具之一。值得注意的是,根据从攻击者处获得的额外上下文,暗网上大多数暴露的帐户都没有启用 2FA。
值得注意的是,攻击者共享的屏幕截图上可见的时间戳表明,日期为 2024 年 2 月 3 日的会话已成功进行未经授权的访问(事件后披露)。某些用户可能尚未更改密码,或者此过程可能仍在进行中。处理补救措施(尤其是对于大型客户群而言)非常复杂,并且可能无法立即执行。
根据AnyDesk 于 2024 年 2 月 2 日发表的公开声明,“作为预防措施,我们 (AnyDesk) 将撤销我们门户网站 my.anydesk.com 的所有密码,如果使用相同的凭据,我们建议用户更改密码别处。”不过,这似乎有一个问题。Hudson Rock联合创始人兼首席技术官 Alon Gal 等其他网络安全专家也注意到了这个问题,并向更广泛的社区发出了警报。据 Gal 称,由于信息窃取者的活动,超过 30000 个用户凭据可能在暗网上流通。无论过去的事件公告如何,都应考虑采取适当的机制来减轻客户妥协的风险。
暗网参与者对 AnyDesk 客户凭证表示了浓厚的兴趣。对于参与垃圾邮件、网上银行盗窃、诈骗、商业电子邮件泄露 (BEC) 和帐户接管 (ATO) 活动的参与者来说,批量获取它们的机会将极具吸引力。与这一新发展相关的网络风险范围相应地发生变化,从利用这些信息进行进一步的欺诈和诈骗活动,到有针对性的网络钓鱼和恶意网络活动。
Resecurity 通知了 AnyDesk,并通知了其凭据已在暗网上暴露的多个消费者和企业。
值得注意的是,AnyDesk 的活动发生在 Cloudflare宣布成为攻击目标之后,微软和惠普企业也披露了疑似民族国家攻击者实施的网络安全事件。前不久,惠普企业遭受黑客攻击,数据遭黑客窃取并在暗网里出售。
更多详细信息请参见网络安全公司 Resecurity 发布的分析: