AnyDesk ukryty w fałszywej fakturze. Nowa kampania
2026-07-12
Fałszywa faktura prowadziła do ukrytej instalacji AnyDesk, trwałego zdalnego dostępu i usuwania śladów. Kampania dotyczyła sektora lotniczego.

TL;DR
Badacze Seqrite opisali kampanię spear phishingową, w której wiadomość z rzekomą fakturą prowadziła do uruchomienia przenośnej wersji AnyDesk. Program był konfigurowany do zdalnego dostępu bez udziału użytkownika, a dodatkowe narzędzia pomagały ukryć jego działanie i przesłać konfigurację do operatorów kampanii.
Atak był wymierzony w rosyjskie organizacje związane z lotnictwem, przemysłem i elektroniką. Nie oznacza to podatności samego AnyDesk. Program został wykorzystany jako legalne narzędzie w nieautoryzowanym procesie uruchomionym po otwarciu pliku z wiadomości phishingowej.
Fałszywa faktura otwierała drogę do AnyDesk
Wiadomość podszywała się pod rosyjski instytut badawczy związany z lotnictwem. Nadawca korzystał ze świeżo zarejestrowanej domeny podobnej do nazwy prawdziwej instytucji, a załącznik przedstawiono jako fakturę lub dokument dotyczący dostawy.
Archiwum RAR było zabezpieczone hasłem podanym w treści wiadomości. Po jego otwarciu i uruchomieniu pliku użytkownik widział dokument PDF pełniący rolę przynęty. W tle wykonywany był jednak wieloetapowy zestaw poleceń, który pobierał kolejne składniki kampanii.
Wśród nich znajdowała się przenośna wersja AnyDesk. Skrypt ustalał hasło do dostępu bez nadzoru, uruchamiał program oraz przygotowywał jego pliki konfiguracyjne do wysłania na adres kontrolowany przez atakujących. Zadanie harmonogramu uruchamiane przy logowaniu miało podtrzymywać dostęp, a końcowy etap usuwał część plików wykorzystanych podczas instalacji.

Kampania łączyła wiarygodny kontekst faktury, archiwum chronione hasłem, dokument-przynętę oraz legalne narzędzia prowadzące do utrzymania zdalnego dostępu.
Legalne narzędzia zamiast własnego malware
W analizowanym zestawie pojawiły się również Blat, WinRAR i Tray Minimizer. Są to narzędzia o legalnych zastosowaniach, ale tutaj zostały użyte odpowiednio do wysłania danych, obsługi archiwów i ograniczenia widoczności okna programu.
Taki dobór oprogramowania zmniejsza liczbę elementów, które od razu wyglądają jak typowy złośliwy program. Dopiero pełna sekwencja zdarzeń — wiadomość, uruchomienie instalatora, konfiguracja AnyDesk, utworzenie zadania oraz przesłanie danych — pokazuje właściwy cel kampanii.
Seqrite wskazał podobieństwa do wcześniejszej aktywności Rare Werewolf, znanej również jako Librarian Ghouls. Badacze zaznaczyli jednak, że dostępne artefakty nie pozwalają na definitywną atrybucję. Zaobserwowali też kilka pokrewnych próbek wykorzystujących podobny sposób działania, co sugeruje szerszą i kontynuowaną operację, a nie pojedynczy incydent.
Dlaczego ten przypadek warto odnotować
Nowa kampania nie tworzy odrębnej kategorii phishingu. Jest kolejnym przykładem wykorzystania faktury jako uzasadnienia uruchomienia pliku oraz legalnego programu zdalnego dostępu jako właściwego celu ataku.
Szerszy mechanizm phishingu prowadzącego do instalacji narzędzi zdalnego zarządzania opisujemy w artykułach Phishing z użyciem legalnych narzędzi RMM daje napastnikom cichy dostęp oraz Fałszywy Word Online i RMM. Ten news uzupełnia je o nową kampanię, konkretną przynętę fakturową i sposób ukrywania dostępu AnyDesk.
Firmy, które chcą sprawdzić reakcję pracowników na wiadomości prowadzące do pobierania plików lub uruchamiania nieautoryzowanych narzędzi, mogą wykorzystać testy phishingowe dla firm jako element szerszego programu security awareness. Zakres scenariuszy można omówić przez kontakt z PHISHLY.
Najczęstsze pytania
Czy opisana kampania oznacza, że AnyDesk zostało przejęte?
Nie. Badacze opisali nadużycie legalnego programu AnyDesk przez atakujących. Źródła nie wskazują na naruszenie infrastruktury lub aktualizacji producenta.
Kogo dotyczyła kampania z fałszywą fakturą?
Analizowana aktywność była wymierzona w rosyjskie organizacje związane z lotnictwem, przemysłem i elektroniką. Seqrite ocenił, że jej cechy przypominają wcześniejsze działania grupy Rare Werewolf, ale nie przedstawił definitywnej atrybucji.
Źródła
- Seqrite — From Invoice to AnyDesk: Uncovering a Phishing Campaign Targeting Russian Aerospace Organizations— Źródło pierwotne opisujące wiadomość z fałszywą fakturą, wdrożenie AnyDesk, zadanie harmonogramu, wysłanie konfiguracji i usuwanie artefaktów.
- Cyber Security News — AnyDesk Phishing Attack Uses Scheduled Task Persistence and Artifact Deletion to Evade Detection— Wtórne omówienie ustaleń Seqrite, wykorzystane do weryfikacji kontekstu publikacji i zakresu kampanii.