网络安全公司Resecurity近日发现了不良行为者在暗网上售卖大量AnyDesk客户凭据。相关研究人员指出，网络犯罪分子获得这些凭据后，可以将其演化成新的攻击，比如有针对性的网络钓鱼活动。

而有了关于特定客户的信息和背景，成功妥协攻击的可能性会显著增加。举个例子，这些信息细节可被用于软件供应商、托管服务提供商（MSP）或IT外包公司发送的恶意电子邮件中，其目的是为了获取敏感信息。而在这种情况下，会给下游供应链带来很大的损害。

此外，获取这种性质数据的来源和方法，可能会因威胁行为体的战术、技术和程序（TTP）而不同。虽然这种证书泄露被认为是信息窃取者遭受病毒感染的结果，但这种不确定性还是带来了新的漏洞。假设主流的信息窃取者预料是正确的，那从最近的事件来看，及时重置密码将是所有AnyDesk客户目前而言最好的缓解措施。AnyDesk的最终用户包括IT管理员，他们经常成为威胁行为者的目标。

因此，至关重要的是，AnyDesk应确保此次网络攻击不会影响其他关键系统，特别是能被其IT管理员进行访问的。通过访问AnyDesk的用户，威胁行为者可以了解有关客户的详细信息，包括但不限于使用的许可证密钥、活动连接的数量、会话的持续时间、客户ID和联系信息、与帐户相关的电子邮件，以及激活了远程访问管理软件的主机总数，还有相关系统的在线或离线状态和ID。

熟悉该事件的网络犯罪分子可能正急从暗网上将可用的客户凭据货币化，因为他们知道AnyDesk会采取相关措施重置他们的凭据。可以看到，这些数据对初始访问代理和熟悉AnyDesk的勒索软件集团来说非常有价值。值得注意的是，暗网上大多数被暴露的帐户都没有启用2FA。

AnyDesk在2024年2月2日公开声明：“作为预防措施，我们将撤销门户网站my.AnyDesk.com的所有密码，如果用户在其他地方使用了相同的凭据，我们建议需及时更改密码。”Hudson Rock的联合创始人兼CTO Alon Gal表示，由于信息被窃取，暗网上可能有超过30000个用户证书在流通。因此，无论过去的事件公告如何，都应考虑采取适当的机制来降低客户风险。

暗网参与者对AnyDesk的客户证书有着强烈的兴趣。对于参与垃圾邮件、网上银行盗窃、诈骗、商业电子邮件泄露（BEC）和账户接管（ATO）活动者来说，大量收购这些凭据将能发动更具针对性的网络钓鱼和恶意网络活动。

另一方面，AnyDesk事件发生之后，微软和惠普企业披露了疑似民族国家攻击者实施的网络安全事件。

往期精彩回顾

FBI称美国的网络安全受到了中国威胁

原文始发于微信公众号（安在）：ANYDESK超3万用户证书被泄露并在暗网出售