CERT-UA waarschuwt voor cyberoplichting met behulp van valse AnyDesk-verzoeken voor frauduleuze beveiligingsaudits

Het Computer Emergency Response Team van Oekraïne (CERT-UA) waarschuwt voor aanhoudende pogingen van onbekende bedreigingsactoren om zich voor te doen als de cyberbeveiligingsdienst door AnyDesk-verbindingsverzoeken te sturen.

De AnyDesk-verzoeken claimen een audit uit te voeren om het “veiligheidsniveau” te beoordelen, voegde CERT-UA eraan toe en waarschuwde organisaties om op hun hoede te zijn voor dergelijke social engineering-pogingen die het vertrouwen van gebruikers willen misbruiken.

“Het is belangrijk op te merken dat CERT-UA onder bepaalde omstandigheden gebruik kan maken van software voor externe toegang, zoals AnyDesk”, aldus CERT-UA. “Dergelijke acties worden echter alleen ondernomen na voorafgaande overeenstemming met de eigenaren van cyberdefensieobjecten via officieel goedgekeurde communicatiekanalen.”

Om deze aanval te laten slagen, is het echter noodzakelijk dat de AnyDesk-software voor externe toegang op de computer van het doelwit is geïnstalleerd en operationeel is. Het vereist ook dat de aanvaller in het bezit is van de AnyDesk-identificatie van het doelwit, wat erop wijst dat hij/zij de identificatie mogelijk eerst via andere methoden moet verkrijgen.

Om het risico dat deze aanvallen met zich meebrengen te beperken, is het essentieel dat programma’s voor toegang op afstand alleen worden ingeschakeld voor de duur van het gebruik ervan en dat de toegang op afstand wordt gecoördineerd via officiële communicatiekanalen.

Het nieuws over de campagne komt op het moment dat de Oekraïense Staatsdienst voor Speciale Communicatie en Informatiebescherming (SSSCIP) onthulde dat het incidentresponscentrum van het cyberagentschap in 2024 meer dan 1.042 incidenten heeft gedetecteerd, waarbij kwaadaardige code en inbraakinspanningen verantwoordelijk waren voor meer dan 75% van alle gebeurtenissen.

“In 2024 waren de meest actieve cyberdreigingsclusters UAC-0010, UAC-0050 en UAC-0006, gespecialiseerd in cyberspionage, financiële diefstal en informatiepsychologische operaties”, aldus de SSSCIP.

UAC-0010, ook bekend als Aqua Blizzard en Gamaredon, is naar schatting verantwoordelijk voor 277 incidenten. UAC-0050 en UAC-0006 blijken verband te houden met respectievelijk 99 en 174 incidenten.

De ontwikkeling volgt ook op de ontdekking van 24 voorheen niet gerapporteerde .shop-topniveaudomeinen die waarschijnlijk geassocieerd zijn met de pro-Russische hackgroep GhostWriter (ook bekend als TA445, UAC-0057 en UNC1151) door vorig jaar ongelijksoortige campagnes gericht op Oekraïne met elkaar te verbinden.

Uit een analyse uitgevoerd door beveiligingsonderzoeker Will Thomas (@BushidoToken) bleek dat de domeinen die in deze campagnes werden gebruikt hetzelfde generieke topniveaudomein (gTLD), de PublicDomainsRegistry-registrar en Cloudflare-naamservers gebruikten. Voor alle geïdentificeerde servers is ook een robots.txt-map geconfigureerd.

Nu de Russisch-Oekraïense oorlog het einde van zijn derde jaar nadert, zijn er ook cyberaanvallen tegen Rusland geregistreerd met als doel gevoelige gegevens te stelen en de bedrijfsactiviteiten te ontwrichten door de inzet van ransomware.

Vorige week schreef cyberbeveiligingsbedrijf FACCT de Sticky Werewolf-acteur toe aan een spearphishing-campagne gericht tegen Russische onderzoeks- en productiebedrijven om een ​​trojan voor externe toegang te leveren, bekend als Ozone, die in staat is om externe toegang te verlenen tot geïnfecteerde Windows-systemen.

Het omschreef Sticky Werewolf ook als een pro-Oekraïense cyberspionagegroep die zich voornamelijk richt op staatsinstellingen, onderzoeksinstituten en industriële ondernemingen in Rusland. Uit een eerdere analyse van het Israëlische cyberbeveiligingsbedrijf Morphisec bleek echter dat dit verband ‘onzeker blijft’.

Het is niet bekend hoe succesvol deze aanvallen waren. Enkele van de andere clusters van dreigingsactiviteiten die de afgelopen maanden zijn waargenomen tegen Russische entiteiten zijn Core Werewolf, Venture Wolf en Paper Werewolf (ook bekend als GOFFEE), waarvan de laatste gebruik heeft gemaakt van een kwaadaardige IIS-module genaamd Owowa om diefstal van inloggegevens te vergemakkelijken.

Thijs Van der Does