TeamViewer là phần mềm được các tổ chức sử dụng từ lâu để hỗ trợ, cộng tác và truy cập từ xa vào các thiết bị đầu cuối. Giống như các công nghệ truy cập từ xa hợp pháp khác, đây cũng là thứ mà những kẻ tấn công đã sử dụng với tần suất tương đối để có được quyền truy cập ban đầu vào hệ thống mục tiêu.
Hai sự cố triển khai ransomware mà các nhà nghiên cứu tại Huntress quan sát gần đây là trường hợp mới nhất.
Nỗ lực triển khai ransomware không thành công
Các cuộc tấn công mà Huntress gắn cờ nhắm vào hai thiết bị đầu cuối khác nhau của khách hàng Huntress. Cả hai sự cố đều liên quan đến những nỗ lực thất bại trong việc cài đặt thứ có vẻ là ransomware dựa trên một trình xây dựng bị rò rỉ cho Phần mềm tống tiền LockBit 3.0.
Điều tra sâu hơn cho thấy những kẻ tấn công đã có được quyền truy cập ban đầu vào cả hai điểm cuối thông qua TeamViewer. Nhật ký chỉ ra các cuộc tấn công bắt nguồn từ một điểm cuối có cùng tên máy chủ, cho thấy cùng một tác nhân đe dọa đứng đằng sau cả hai sự cố. Trên một trong các máy tính, kẻ tấn công chỉ mất hơn bảy phút sau khi có được quyền truy cập ban đầu thông qua TeamViewer, trong khi trên máy tính kia, phiên của kẻ tấn công kéo dài hơn 10 phút.
Báo cáo của Huntress không cho biết kẻ tấn công có thể chiếm quyền kiểm soát các phiên bản TeamViewer như thế nào trong cả hai trường hợp. Nhưng Harlan Carvey, nhà phân tích tình báo mối đe dọa cấp cao tại Huntress, nói rằng một số thông tin đăng nhập TeamViewer dường như là từ các hệ thống cũ.
Ông nói: “Nhật ký không cung cấp dấu hiệu đăng nhập trong vài tháng hoặc vài tuần trước khi tác nhân đe dọa truy cập”. “Trong các trường hợp khác, có một số thông tin đăng nhập hợp pháp, phù hợp với những lần đăng nhập trước đó – tên người dùng, tên máy trạm, v.v. – ngay trước khi kẻ đe dọa đăng nhập.”
Carvey nói có thể kẻ đe dọa đã có thể mua quyền truy cập từ nhà môi giới truy cập ban đầu (IAB), và rằng thông tin xác thực và thông tin kết nối có thể được lấy từ các điểm cuối khác thông qua việc sử dụng công cụ đánh cắp thông tin, trình ghi nhật ký thao tác bàn phím hoặc một số phương tiện khác.
Trước Sự cố mạng của TeamViewer
Trước đây đã có một số sự cố xảy ra khi những kẻ tấn công sử dụng TeamViewer theo cách tương tự. Một là chiến dịch vào tháng 5 năm ngoái bởi một kẻ đe dọa đang tìm cách cài đặt Phần mềm khai thác tiền điện tử XMRig trên hệ thống sau khi có được quyền truy cập ban đầu thông qua công cụ. Một người khác liên quan đến một chiến dịch lọc dữ liệu mà Huntress đã điều tra vào tháng 2020. Nhật ký sự cố cho thấy tác nhân đe dọa đã có được chỗ đứng ban đầu trong môi trường nạn nhân thông qua TeamViewer. Trước đó rất lâu, Kaspersky vào năm XNUMX đã báo cáo về các cuộc tấn công mà họ đã quan sát thấy trên môi trường hệ thống điều khiển công nghiệp liên quan đến việc sử dụng các công nghệ truy cập từ xa như RMS và TeamViewer để truy cập lần đầu.
Trước đây cũng từng xảy ra sự cố — mặc dù ít hơn — về những kẻ tấn công sử dụng TeamViewer làm phương tiện truy cập trong các chiến dịch ransomware. Ví dụ: vào tháng 2016 năm XNUMX, một số tổ chức đã báo cáo việc bị nhiễm một loại virus Chủng ransomware mang tên “Surprise” mà các nhà nghiên cứu sau đó đã có thể liên kết lại với TeamViewer.
Phần mềm truy cập từ xa của TeamViewer đã được cài đặt trên khoảng 2.5 tỷ thiết bị kể từ khi công ty mang tên này ra mắt vào năm 2005. Năm ngoái, công ty đã mô tả phần mềm của mình như hiện tại. chạy trên hơn 400 triệu thiết bị, trong đó 30 triệu được kết nối với TeamViewer bất cứ lúc nào. Phạm vi rộng lớn và tính dễ sử dụng của phần mềm đã khiến nó trở thành mục tiêu hấp dẫn đối với những kẻ tấn công, giống như các công nghệ truy cập từ xa khác.
Cách sử dụng TeamViewer một cách an toàn
Bản thân TeamViewer đã triển khai các cơ chế để giảm thiểu nguy cơ kẻ tấn công lạm dụng phần mềm của họ để đột nhập vào hệ thống. Công ty đã tuyên bố rằng cách duy nhất kẻ tấn công có thể truy cập vào máy tính thông qua TeamViewer là nếu kẻ tấn công có ID TeamViewer và mật khẩu liên quan.
“Nếu không biết ID và mật khẩu, người khác sẽ không thể truy cập vào máy tính của bạn” công ty đã lưu ý, đồng thời liệt kê các biện pháp mà tổ chức có thể thực hiện để tự bảo vệ mình khỏi việc sử dụng sai mục đích.
Bao gồm các:
-
Thoát TeamViewer khi không sử dụng phần mềm;
-
Sử dụng các tính năng danh sách Chặn và Cho phép của phần mềm để hạn chế quyền truy cập vào các cá nhân và thiết bị cụ thể;
-
Hạn chế quyền truy cập vào một số tính năng nhất định đối với các kết nối đến;
-
Và từ chối các kết nối từ bên ngoài mạng doanh nghiệp.
Công ty cũng đã chỉ ra sự hỗ trợ của TeamViewer đối với các chính sách truy cập có điều kiện cho phép quản trị viên thực thi quyền truy cập từ xa.
Trong một tuyên bố với Dark Reading, TeamViewer cho biết hầu hết các trường hợp truy cập trái phép đều liên quan đến việc làm suy yếu cài đặt bảo mật mặc định của TeamViewer.
Tuyên bố cho biết: “Điều này thường bao gồm việc sử dụng các mật khẩu dễ đoán mà chỉ có thể thực hiện được bằng cách sử dụng phiên bản sản phẩm lỗi thời của chúng tôi”. “Chúng tôi liên tục nhấn mạnh tầm quan trọng của việc duy trì các biện pháp bảo mật mạnh mẽ, chẳng hạn như sử dụng mật khẩu phức tạp, xác thực hai yếu tố, danh sách cho phép và cập nhật thường xuyên lên các phiên bản phần mềm mới nhất.” Tuyên bố bao gồm một liên kết đến các biện pháp tốt nhất để có quyền truy cập an toàn mà không cần giám sát từ bộ phận Hỗ trợ TeamViewer.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/endpoint-security/ransomware-actor-teamviewer-initial-access-networks
