Федеральные агентства США столкнулись с мошенничеством с использованием AnyDesk

2 неназванных федеральных агентства США подверглись мошеннической кампании с использованием ПО для удаленного мониторинга и управления (Remote Monitoring and Management, RMM ).

Агентство кибербезопасности и безопасности инфраструктуры ( CISA ), Агентство национальной безопасности (АНБ) и Межгосударственный центр обмена и анализа информации (MS-ISAC) обнаружили кампанию ещё в октябре . Одно федеральное бюро было взломано в июне, а другое подверглось нападению в сентябре.

Киберпреступник отправлял фишинговые электронные письма, которые приводили к загрузке легитимных программ удаленного доступа ScreenConnect (ConnectWise Control) и AnyDesk, которые злоумышленник использовал для кражи денег с банковских счетов жертв.

Хакер сначала подключился к системе получателя денег и убедил его войти в свой онлайн-банк. Затем хакер через удаленный доступ изменил баланс счёта так, как будто получателю по ошибке была переведена избыточная сумма денег. Затем мошенник попросил жертву вернуть ему эту сумму.

В июне в ходе похожей кампании на email-адрес госслужащего было отправлено фишинговое письмо с номером телефона. Сотрудник позвонил по указанному номеру, и его отправили на вредоносный сайт.

Оттуда хакер загрузил портативные версии AnyDesk и ScreenConnect, которые затем были настроены для подключения к серверу злоумышленника. CISA отметила, что киберпреступники используют портативные версии, поскольку они могут запускаться на устройстве без установки и прав администратора.

После подключения к системе жертвы мошенник убеждает пользователя войти в онлайн-банк. Затем он меняет баланс счета, чтобы создать впечатление, что жертве вернули слишком много денег, и просит вернуть средства мошеннику.

Пример фишингового письма от лица службы поддержки

Оба инцидента были связаны с фишинговыми электронными письмами от лица службы поддержки, отправленными на личные и рабочие адреса сотрудников. По словам CISA и АНБ, эта кампания направлена на кражу денег, но злоумышленник также может продать доступ к счёту жертвы правительственным хакерам. RMM-программы позволяют злоумышленникам устанавливать локальный пользовательский доступ без привилегий администратора и обходить средства мониторинга.