TeamViewer är programvara som organisationer länge har använt för att möjliggöra fjärrsupport, samarbete och åtkomst till endpoint-enheter. Liksom andra legitima fjärråtkomstteknologier är det också något som angripare har använt med relativ frekvens för att få initial åtkomst på målsystem.
Två försök till ransomware-incidenter som forskare vid Huntress nyligen observerade är det senaste fallet.
Misslyckade försök att distribuera ransomware
Attackerna som Huntress flaggade riktade sig mot två olika slutpunktsenheter som tillhör Huntress-kunder. Båda incidenterna involverade misslyckade försök att installera vad som verkade vara ransomware baserat på en läckt byggare för LockBit 3.0 ransomware.
Ytterligare undersökningar visade att angriparna hade fått första åtkomst till båda slutpunkterna via TeamViewer. Loggarna pekade på att attackerna härrörde från en slutpunkt med samma värdnamn, vilket indikerar att samma hotaktör låg bakom båda incidenterna. På en av datorerna spenderade hotaktören drygt sju minuter efter att ha fått första åtkomst via TeamViewer, medan angriparens session på den andra varade mer än 10 minuter.
Huntress rapport sa inte hur angriparen kan ha tagit kontroll över TeamViewer-instanserna i båda fallen. Men Harlan Carvey, senior hot intelligence-analytiker på Huntress, säger att en del av TeamViewer-inloggningarna verkar vara från äldre system.
"Loggarna ger ingen indikation på inloggningar under flera månader eller veckor innan hotaktörens åtkomst", säger han. "I andra fall finns det flera legitima inloggningar, som överensstämmer med tidigare inloggningar - användarnamn, arbetsstationsnamn, etc. - strax innan hotaktörens inloggning."
Carvey säger att det är möjligt att hotskådespelaren kunde köp åtkomst från en initial access broker (IAB), och att referenserna och anslutningsinformationen kan ha erhållits från andra slutpunkter genom användning av infostealers, en tangenttryckningslogger eller något annat sätt.
Tidigare TeamViewer Cyber Incidents
Det har förekommit flera tidigare incidenter där angripare har använt TeamViewer på liknande sätt. En var en kampanj i maj förra året av en hotaktör som ville installera XMRig kryptomineringsprogramvara på system efter att ha fått första åtkomst via verktyget. En annan involverade a dataexfiltreringskampanj som Huntress undersökte i december. Incidentloggar visade att hotaktören hade fått ett första fotfäste i offermiljön via TeamViewer. Långt tidigare rapporterade Kaspersky 2020 om attacker som de hade observerat industriella kontrollsystemmiljöer som innebar användning av fjärråtkomstteknologier som RMS och TeamViewer för initial åtkomst.
Det har också förekommit incidenter tidigare – om än färre – av angripare som använder TeamViewer som åtkomstvektor i ransomware-kampanjer. I mars 2016 rapporterade flera organisationer till exempel att de blivit smittade med en ransomware-stam som heter "Surprise" att forskare senare kunde koppla tillbaka till TeamViewer.
TeamViewers fjärråtkomstprogramvara har installerats på cirka 2.5 miljarder enheter sedan det namngivna företaget lanserades 2005. Förra året beskrev företaget sin programvara som för närvarande körs på mer än 400 miljoner enheter, varav 30 miljoner är anslutna till TeamViewer när som helst. Programvarans stora fotavtryck och användarvänlighet har gjort den till ett attraktivt mål för angripare, precis som annan fjärråtkomstteknik.
Hur man använder TeamViewer på ett säkert sätt
TeamViewer har själva implementerat mekanismer för att minska risken för att angripare missbrukar dess programvara för att bryta sig in i system. Företaget har hävdat att det enda sättet som en angripare kan komma åt en dator via TeamViewer är om angriparen har TeamViewer ID och tillhörande lösenord.
"Utan att känna till ID och lösenord, är det inte möjligt för andra att komma åt din dator." företaget har noterat, samtidigt som de listar åtgärder som organisationer kan vidta för att skydda sig mot missbruk.
Dessa inkluderar:
-
Avsluta TeamViewer när programvaran inte används;
-
Använda programvarans blockera och tillåta listfunktioner för att begränsa åtkomst till specifika individer och enheter;
-
Begränsa åtkomst till vissa funktioner för inkommande anslutningar;
-
Och neka anslutningar utanför företagsnätverket.
Företaget har också pekat på TeamViewers stöd för policyer för villkorad åtkomst som tillåter administratörer att upprätthålla fjärråtkomsträttigheter.
I ett uttalande till Dark Reading sa TeamViewer att de flesta fall av obehörig åtkomst innebär en försvagning av TeamViewers standardsäkerhetsinställningar.
"Detta inkluderar ofta användningen av lätt gissa lösenord, vilket bara är möjligt genom att använda en föråldrad version av vår produkt", heter det i uttalandet. "Vi betonar ständigt vikten av att upprätthålla starka säkerhetspraxis, som att använda komplexa lösenord, tvåfaktorsautentisering, godkännandelistor och regelbundna uppdateringar av de senaste programvaruversionerna." Uttalandet innehöll en länk till bästa praxis för säker obevakad åtkomst från TeamViewer Support.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/endpoint-security/ransomware-actor-teamviewer-initial-access-networks
