最新網路詐騙手法!駭客利用 AnyDesk 遠端操控民眾電腦
烏克蘭電腦緊急應變小組 (CERT-UA) 稱 未知網路攻擊者正在嘗試透過發送 AnyDesk 連線請求來冒充網路安全機構,CERT-UA 補充說,AnyDesk 要求聲稱進行審計以評估“安全等級”,並警告組織警惕此類 試圖利用 用戶信任的社會工程嘗試,值得注意的是,CERT-UA 在某些情況下可能會使用 AnyDesk 等遠端存取軟體,但只有在通過官方批准的溝通渠道與網絡防禦對象的所有者,事先達成協議後才能採取此類行動。
但要使此攻擊成功,目標電腦上必須安裝並執行 AnyDesk 遠端存取軟體,它還要求攻擊者擁有目標的AnyDesk 標識符,這表明他們可能必須先透過其他方法取得該標識符,為了減輕這些攻擊帶來的風險,必須僅在其使用期間啟用遠端存取程序,並且透過官方通訊管道協調遠端存取。
該活動的消息發布之際,烏克蘭國家特殊通訊和資訊保護服務局(SSSCIP) 透露,該網路機構的事件響應中心在2024 年檢測到超過1,042 起事件,其中惡意程式碼和入侵行為佔所有事件的75 % 以上。
SSSCIP表示 「2024 年,最活躍的網絡威脅集群是UAC-0010、UAC-0050和UAC-0006 ,專門從事網絡間諜活動、金融盜竊和信息心理活動。 」
UAC-0010,也稱為 Aqua Blizzard 和 Gamaredon,估計是 277 起事件的幕後黑手。 UAC-0050 和 UAC-0006 已被發現分別與 99 起和 174 起事件有關,先前,透過連接 去年針對烏克蘭的不同 活動,發現了 24 個先前未報告的 .shop 頂級域名,這些域名可能與親俄羅斯黑客組織 GhostWriter(又名 TA445、UAC-0057 和 UNC1151)有關。
安全研究員近一步分析發現,這些活動中使用的網域使用相同的通用頂級網域 (gTLD)、PublicDomainsRegistry 註冊商和 Cloudflare 名稱伺服器,所有已識別的伺服器也配置了 robots.txt 目錄,而隨著俄羅斯-烏克蘭戰爭進入第三年,針對俄羅斯的網路攻擊也被記錄下來,其目的是透過部署勒索軟體竊取敏感資料並擾亂商業運作。
網路安全公司 FACCT將Sticky Werewolf攻擊者歸咎於針對俄羅斯研究和生產企業的魚叉式網路釣魚活動,該活動旨在提供一種名為Ozone 的遠端存取木馬,該木馬能夠授予對受感染Windows 系統的遠端存取權限,它還將「黏性狼人」描述為一個親烏克蘭的網路間諜組織,主要針對俄羅斯的國家機構、研究機構和工業企業。然而,以色列網路安全公司 Morphisec 先前的分析指出,這種關聯「仍然不確定」。
目前尚不清楚這些攻擊有多成功,但近幾個月來觀察到的其他一些針對俄羅斯實體的威脅活動群集包括Core Werewolf、Venture Wolf和Paper Werewolf(又名GOFFEE),其中最後一個利用名為Owowa的惡意 IIS 模組來促進憑證盜竊。
因此,面對這類利用 AnyDesk 進行的詐騙手法,我們絕對不能掉以輕心,更不要輕易提供 AnyDesk 連線代碼給任何人,若您懷疑自己可能已成為受害者,請立即向警方或 CERT-UA 報案,唯有透過全民共同的警惕與防範,才能有效杜絕網路詐騙,共同守護我們的網路安全 !
參考資料:
https://thehackernews.com/2025/01/cert-ua-warns-of-cyber-scams-using-fake.html
https://gemini.google.com/app/796151a7dcc31b03