这些信息如果落入网络犯罪分子手中,可能会成为新攻击的催化剂,包括针对性的网络钓鱼活动。如果有关特定客户的额外背景信息,成功侵害的可能性可能会显著增加。例如,一种可能的情况是,这些细节被用于代表软件供应商、托管服务提供商(MSPs)或IT外包公司发送的恶意电子邮件中,目的是获取敏感信息——在这种情况下,下游损害可能是重大的。获取此类数据的来源和方法可能因威胁行为者的独特策略、技术和程序(TTPs)而异。虽然这次凭证泄露普遍被认为是信息窃取器感染的结果,但这种不确定性仍然引发了新的关注领域。假设流行的信息窃取器假设是正确的,并考虑到最新的事件披露,及时重置密码将是所有AnyDesk客户的强制性缓解措施。AnyDesk的最终用户包括IT管理员,他们经常成为威胁行为者的目标。因此,确保这次网络攻击没有影响到IT管理员可能拥有特权访问权限的任何其他关键系统至关重要。
通过访问AnyDesk门户,坏人可以了解到有关客户的有意义的细节——包括但不限于使用的许可证密钥、活跃连接数量、会话持续时间、客户ID和联系信息、与账户关联的电子邮件,以及激活了远程访问管理软件的主机总数,连同它们的在线或离线状态和ID。
了解到AnyDesk可能会采取主动措施重置他们的凭证,熟悉此次事件的网络犯罪分子可能正急于通过从不同来源获得的暗网出售可用的客户凭证来实现货币化。这些数据对于熟悉AnyDesk的初始访问代理和勒索软件团队来说可能极具价值,这些团队经常在成功侵入网络后滥用AnyDesk作为其中一个工具。值得注意的是,根据从行为者那里获得的额外背景信息,大多数在暗网上曝光的账户没有启用两因素认证(2FA)。
值得注意的是,行为者分享的截图上可见的时间戳显示了成功的未授权访问,会话日期为2024年2月3日(事件披露后)。一些用户可能尚未更改他们的密码,或者这个过程可能仍在进行中。处理补救措施,特别是对于庞大的客户基础,是复杂的,可能无法立即执行。
根据AnyDesk在2024年2月2日的一份公开声明,“作为预防措施,我们(AnyDesk)正在撤销对我们的网站门户my.anydesk.com的所有密码,并且我们建议用户更改他们的密码,如果相同的凭证在其他地方被使用。”然而,似乎存在一个问题。其他网络安全专家,如Hudson Rock的联合创始人兼首席技术官Alon Gal,也注意到了这个问题并向更广泛的社区发出了警告。根据Gal的说法,由于信息窃取器活动,超过30,000个用户凭证可能在暗网上流通。无论过去的事件公告如何,都应考虑适当的机制来减轻客户遭受妥协的风险。
暗网行为者对AnyDesk客户凭证表现出了浓厚的兴趣。批量获取这些凭证的机会对于参与垃圾邮件、在线银行盗窃、诈骗、商业电子邮件妥协(BEC)和账户接管(ATO)活动的行为者来说将极具吸引力。与这一新发展相关的网络风险范围相应变化,从在进一步的欺诈和诈骗活动中使用这些信息,到针对性的网络钓鱼和恶意网络活动。
Resecurity通知了AnyDesk,并告知了多个在暗网上被曝光凭证的消费者和企业。
值得注意的是,AnyDesk的活动紧随Cloudflare宣布其成为攻击目标之后,同时微软和惠普企业也披露了由疑似国家支持的攻击者所进行的网络安全事件。
更多细节可在网络安全公司Resecurity发布的分析中找到:https://www.resecurity.com/blog/article/following-the-anydesk-incident-customer-credentials-leaked-and-published-for-sale-on-the-dark-web
原文始发于微信公众号(黑猫安全):Anydesk Incident:客户凭证泄露并在暗网上出售
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论