流行的远程桌面软件提供商 AnyDesk 已确认其生产系统在网络攻击后遭到破坏。
AnyDesk 于 2 月 2 日透露,该公司的系统遭到攻击者的入侵,他们成功窃取了源代码和私有代码签名密钥,并获得了对该公司生产系统的访问权限。
“我们立即启动了一项由网络安全专家 CrowdStrike 参与的补救和响应计划。修复计划已成功完成。”AnyDesk 在一份公开声明中表示。
该公司已通过维护撤销了所有与安全相关的证书和门户网站密码,并认为威胁行为者现已脱离其网络。
此次黑客攻击与勒索软件无关,AnyDesk 没有发现任何证据表明任何最终用户设备已受到影响。
“我们的系统设计为不存储可被用来连接最终用户设备的私钥、安全令牌或密码。”
“我们可以确认情况已得到控制,使用 AnyDesk 是安全的。请确保您使用的是最新版本,带有新的代码签名证书,并且如果在其他地方使用相同的凭据,请更改您的密码。”该公司表示。
数以千计的被盗 AnyDesk 凭证在暗网上出售
2 月 4 日,即 AnyDesk 公开声明两天后,网络安全公司 Resecurity透露,多个威胁行为者正在明网和暗网出售受损的 AnyDesk 登录凭据。
“其中一个化名‘Jobaaaaa’的威胁行为者最初于 2021 年注册了论坛帐户,在著名的暗网论坛 Exploit[.] 上列出了超过 18,000 个 AnyDesk 客户凭证以供出售,”Resecurity亨特团队在一份报告中写道。
根据威胁情报提供商 SOS Intelligence 的说法,这次新的漏洞可能与之前的网络攻击无关。
“这些凭证的来源很可能是最终客户通过窃取恶意软件进行的攻击,而不是 AnyDesk 漏洞。通过将一些暴露的客户电子邮件与我们能够获得的准确的窃取者日志条目进行匹配,这一点已得到部分证实。”SOS Intelligence在 X 上表示。
另一家威胁情报提供商Hudson Rock 也证实了这一点。
然而,Resecurity 认为,时间框架表明,熟悉最初事件的网络犯罪分子正急于在 AnyDesk 客户采取主动措施重置其凭证之前利用可用的客户凭证获利。
值得注意的是,威胁行为者与 Resecurity 共享的屏幕截图中可见的时间戳显示,日期为 2 月 3 日,即 AnyDesk 表示他们解决了该事件之后,成功进行了未经授权的访问。
AnyDesk的维护时间为1月29日至2月1日,期间无法登录AnyDesk门户。
Resecurity 写道:“这表明许多客户仍未更改其访问凭据,或者受影响的各方仍在继续使用此机制。”
“通过访问 AnyDesk 门户,不良威胁行为者可以了解有关客户的有意义的详细信息,包括但不限于使用的许可证密钥、活动连接数量、会话持续时间、客户 ID 和联系信息、与帐户关联的电子邮件,以及激活远程访问管理软件的主机总数,以及它们的在线或离线状态和 ID,”Resecurity 补充道。
发表评论
您还未登录,请先登录。
登录