🛡 CRATU раскрывает: AnyDesk как оружие Rare Werewolf — легитимный инструмент в руках фишеров! 🐺 Кто такие Rare Werewolf и как они используют AnyDesk? Rare Werewolf (также известны как Librarian Ghouls, Rezet) — APT-группа, которую CRATU связывает с текущим набором IOC и цепочкой фишинга/исполнения/удалённого доступа. В текущем пакете IOC, после фишинговой доставки вредоносного RAR, злоумышленники используют AnyDesk для удалённого контроля: ▶️URL артефакта: hxxps://aviator-concern.site/newincoming/jgbfsofrtysdfd.rar ▶️Домены: aviator-concern.site, npo-avia.online [FIX: добавил второй домен из IOC] ▶️IP: 198.54.115.63 Группировка активно применяет техники из MITRE ATT&CK: 🎯 T1566.001 — Фишинг: Spearphishing Attachment (вложения в emails, маскирующиеся под RAR). 📄 T1204.002 — User Execution: Malicious File (запуск вредоносного файла пользователем). 📦 T1219 — Remote Access Software (злоупотребление AnyDesk для удаленного доступа). ⚠️ Как это добро детектить в любой SIEM-системе Для детекции злоупотребления AnyDesk настройте правило на мониторинг установки и трафика. В SIEM: 1️⃣ Шаг 1: Детекция установки. Ищите запуск AnyDesk.exe вне стандартных путей или после RAR-разархивирования. 2️⃣ Шаг 2: Мониторинг трафика. Коррелируйте с соединениями к IP 198.54.115.* или AnyDesk-серверам. 3️⃣ Шаг 3: Поведенческие признаки. Проверяйте необычный RDP/удаленный доступ в 5 минутах после установки. 4️⃣ Шаг 4: Цепочка событий. Если установка + трафик + эксфильтрация, алерт как "Злоупотребление AnyDesk". Дополнительно: Матчинг по хэшам, блокировка доменов в фаерволе. 👁‍🗨 Подписывайтесь на CRATU — мы отслеживаем Rare Werewolf и обновляем IOCs в реальном времени!