Saldırganlar, hedef bilgisayarlara erişim sağlamak için AnyDesk aracılığıyla Ukrayna Bilgisayar Acil Durum Müdahale Ekibi’nin (CERT-UA) kimliğine bürünüyor.
Talep (Kaynak: CERT-UA)
“Kimliği belirsiz kişiler, ‘CERT.UA’ adını, CERT-UA logosunu ve “1518341498” AnyDesk kimliğini kullanarak ‘koruma düzeyini doğrulamak için güvenlik denetimi’ yapma bahanesiyle AnyDesk aracılığıyla bağlantı istekleri gönderiyor. değişebilir),” CERT-UA Cuma günü açıkladı.
Taleplerin düzensiz olduğu ve saldırganların bu bilgisayarlarda çalışan kişilerin bunları sorgusuz sualsiz kabul edeceğine güvendiği görülüyor: “Saldırganların bir kez daha güvene ve yetki kullanımına dayalı sosyal mühendislik yöntemlerine başvurdukları açık.”
Bağlantı isteği gönderebilmek için saldırganın hedefin AnyDesk ID’sini bilmesi ve cihazında uzaktan erişim yazılımının çalışır durumda olması gerekir.
Saldırganların, önceden uzaktan erişime izin verilen diğer bilgisayarların güvenliğini ihlal ettikten sonra hedefin AnyDesk ID’sini ele geçirmiş olabileceğine inanıyorlar.
Uzaktan erişim araçlarını kullanan saldırganlar
AnyDesk ve diğer uzaktan erişim araçları, hedef bilgisayarlara erişim sağlamak için genellikle çeşitli saldırganlar tarafından kullanılır.
Ukrayna ulusal CERT, kullanıcıların siber olayları savuşturmasına, tespit etmesine ve hafifletmesine yardımcı olmak için çeşitli uzaktan erişim araçlarını kullanıyor. Ancak ekip, bu tür müdahalelerin önceden onaylanmış iletişim kanalları aracılığıyla kararlaştırıldığını belirtiyor.
Bu nedenle, birdenbire ortaya çıkan bir bağlantı isteği, potansiyel hedeflerin şüphelerini artırmalıdır.
Ekip, hedeflerin devlet çalışanları mı, şirket çalışanları mı yoksa özel kişiler mi olduğunu belirtmedi ancak böyle bir bağlantı talebi alan herkesi bunu ilgili siber koruma birimlerine veya CERT-UA’ya bildirmeye çağırdı.