Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Федеральные агентства США столкнулись с мошенничеством с использованием AnyDesk

26/01/23

what-is-new-small-cdc3f2

2 неназванных федеральных агентства США подверглись мошеннической кампании с использованием ПО для удаленного мониторинга и управления (Remote Monitoring and Management, RMM).

Агентство кибербезопасности и безопасности инфраструктуры (CISA), Агентство национальной безопасности (АНБ) и Межгосударственный центр обмена и анализа информации (MS-ISAC) обнаружили кампанию ещё в октябре. Одно федеральное бюро было взломано в июне, а другое подверглось нападению в сентябре.

Киберпреступник отправлял фишинговые электронные письма, которые приводили к загрузке легитимных программ удаленного доступа ScreenConnect (ConnectWise Control) и AnyDesk, которые злоумышленник использовал для кражи денег с банковских счетов жертв.

Хакер сначала подключился к системе получателя денег и убедил его войти в свой онлайн-банк. Затем хакер через удаленный доступ изменил баланс счёта так, как будто получателю по ошибке была переведена избыточная сумма денег. Затем мошенник попросил жертву вернуть ему эту сумму.

В июне в ходе похожей кампании на email-адрес госслужащего было отправлено фишинговое письмо с номером телефона. Сотрудник позвонил по указанному номеру, и его отправили на вредоносный сайт.

Оттуда хакер загрузил портативные версии AnyDesk и ScreenConnect, которые затем были настроены для подключения к серверу злоумышленника. CISA отметила, что киберпреступники используют портативные версии, поскольку они могут запускаться на устройстве без установки и прав администратора.

После подключения к системе жертвы мошенник убеждает пользователя войти в онлайн-банк. Затем он меняет баланс счета, чтобы создать впечатление, что жертве вернули слишком много денег, и просит вернуть средства мошеннику.

fijsqjwqkdqydca7o3eaqxx4gqn607gf

Оба инцидента были связаны с фишинговыми электронными письмами от лица службы поддержки, отправленными на личные и рабочие адреса сотрудников. По словам CISA и АНБ, эта кампания направлена на кражу денег, но злоумышленник также может продать доступ к счёту жертвы правительственным хакерам. RMM-программы позволяют злоумышленникам устанавливать локальный пользовательский доступ без привилегий администратора и обходить средства мониторинга.

Темы:СШАПреступленияКиберугрозы
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...