TeamViewer on tarkvara, mida organisatsioonid on pikka aega kasutanud kaugtoe, koostöö ja lõpp-punktiseadmetele juurdepääsu võimaldamiseks. Sarnaselt teistele legitiimsetele kaugjuurdepääsutehnoloogiatele on ründajad ka seda suhteliselt sageli kasutanud sihtsüsteemidele esialgse juurdepääsu saamiseks.
Kaks lunavara juurutamise katset, mida Huntressi teadlased hiljuti täheldasid, on viimane näide.
Ebaõnnestunud lunavara juurutamise katsed
Huntressi tähistatud rünnakud olid suunatud kahele erinevale Huntressi klientidele kuuluvale lõpp-punktile. Mõlemad juhtumid hõlmasid ebaõnnestunud katseid installida lekkinud ehitajal põhinevat lunavara. LockBit 3.0 lunavara.
Edasine uurimine näitas, et ründajad said TeamVieweri kaudu esialgse juurdepääsu mõlemale lõpp-punktile. Logid viitasid rünnakutele, mis pärinevad sama hostinimega lõpp-punktist, mis näitab, et mõlema intsidendi taga oli sama ohustaja. Ühes arvutis veetis ähvardaja veidi üle seitsme minuti pärast TeamVieweri kaudu esialgse juurdepääsu saamist, teises aga kestis ründaja seanss üle 10 minuti.
Huntressi aruanne ei öelnud, kuidas ründaja võis mõlemal juhul TeamVieweri juhtumite üle kontrolli haarata. Kuid Huntressi ohuluure vanemanalüütik Harlan Carvey ütleb, et mõned TeamVieweri sisselogimisandmed näivad olevat pärit pärandsüsteemidest.
"Logid ei anna märke sisselogimiste kohta mitu kuud või nädalat enne ohustaja juurdepääsu," ütleb ta. „Muul juhul on mitu seaduslikku sisselogimist, mis on kooskõlas eelnevate sisselogimistega – kasutajanimi, tööjaama nimi jne – vahetult enne ohus osaleja sisselogimist.”
Carvey sõnul on võimalik, et ohunäitleja suutis osta juurdepääs esialgselt juurdepääsu vahendajalt (IAB), ja et volikirjad ja ühenduse teave võidi saada muudest lõpp-punktidest infostealeri, klahvivajutuste logija või mõne muu vahendi abil.
Eelmised TeamVieweri küberintsidendid
Varem on olnud mitu juhtumit, kus ründajad on TeamViewerit sarnaselt kasutanud. Üks neist oli eelmise aasta mais korraldatud kampaania, mille korraldas ohus osaleja, kes soovis selle installida XMRig krüptomineerimise tarkvara süsteemides pärast esmase juurdepääsu saamist tööriista kaudu. Teine kaasatud a andmete väljafiltreerimise kampaania mida Huntress detsembris uuris. Juhtumilogid näitasid, et ohunäitleja oli TeamVieweri kaudu ohvrikeskkonnas esialgselt jalad alla saanud. Palju varem teatas Kaspersky 2020. aastal rünnakutest, mida ta oli täheldanud tööstuslike juhtimissüsteemide keskkonnad mis hõlmas kaugjuurdepääsu tehnoloogiate (nt RMS ja TeamViewer) kasutamist esialgseks juurdepääsuks.
Varem on esinenud ka intsidente – kuigi vähem – ründajad kasutavad TeamViewerit lunavarakampaaniates juurdepääsuvektorina. Näiteks 2016. aasta märtsis teatasid mitmed organisatsioonid, et on nakatunud a lunavara tüvi nimega "Üllatus" et teadlased suutsid hiljem TeamVieweriga siduda.
TeamVieweri kaugjuurdepääsu tarkvara on installitud umbes 2.5 miljardile seadmele alates samanimelise nimega ettevõtte käivitamisest 2005. aastal. Eelmisel aastal kirjeldas ettevõte oma tarkvara praeguseks töötab enam kui 400 miljonis seadmes, millest 30 miljonit on igal ajal TeamVieweriga ühendatud. Tarkvara suur jalajälg ja kasutuslihtsus on muutnud selle ründajatele atraktiivseks sihtmärgiks, nagu ka muu kaugjuurdepääsu tehnoloogia.
Kuidas TeamViewerit turvaliselt kasutada
TeamViewer ise on rakendanud mehhanisme, et vähendada ohtu, et ründajad kasutavad süsteemidesse sissemurdmiseks tema tarkvara vääralt. Ettevõte on väitnud, et ainus viis, kuidas ründaja pääseb TeamVieweri kaudu arvutisse juurde, on see, kui ründajal on TeamVieweri ID ja sellega seotud parool.
"Ilma ID-d ja parooli teadmata pole teistel võimalik teie arvutile juurde pääseda," teatab ettevõte on märkinud, samas loetledes meetmed, mida organisatsioonid saavad võtta, et kaitsta end väärkasutuse eest.
Nende hulka kuuluvad:
-
TeamViewerist väljumine, kui tarkvara ei kasutata;
-
Tarkvara blokeerimis- ja lubamisloendi funktsioonide kasutamine, et piirata juurdepääsu konkreetsetele isikutele ja seadmetele;
-
Sissetulevate ühenduste teatud funktsioonidele juurdepääsu piiramine;
-
Ja väljastpoolt ettevõtte võrku tulevate ühenduste keelamine.
Ettevõte on osutanud ka TeamVieweri toele tingimusjuurdepääsupoliitikatele, mis võimaldavad administraatoritel jõustada kaugjuurdepääsu õigusi.
TeamViewer ütles Dark Readingule tehtud avalduses, et enamik volitamata juurdepääsu juhtudest hõlmab TeamVieweri vaiketurvaseadete nõrgenemist.
"See hõlmab sageli kergesti äraarvatavate paroolide kasutamist, mis on võimalik ainult meie toote vananenud versiooni kasutades," seisis avalduses. "Rõhutame pidevalt tugevate turvatavade säilitamise tähtsust, nagu keeruliste paroolide kasutamine, kahefaktoriline autentimine, lubade loendid ja uusimate tarkvaraversioonide regulaarne värskendamine." Avalduses oli link aadressile TeamVieweri toe turvalise järelevalveta juurdepääsu parimad tavad.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/endpoint-security/ransomware-actor-teamviewer-initial-access-networks
- :on
- :on
- :mitte
- : kus
- 10
- 2005
- 2016
- 2020
- 30
- 400
- 7
- 8
- a
- Võimalik
- juurdepääs
- administraatorid
- pärast
- vastu
- võimaldama
- Ka
- an
- analüütik
- ja
- Teine
- mistahes
- ilmuma
- ilmunud
- OLEME
- AS
- seotud
- At
- Reageerib
- üritasin
- Katsed
- ahvatlev
- põhineb
- BE
- olnud
- enne
- taga
- kuulumine
- Miljard
- Blokeerima
- mõlemad
- Murdma
- maakler
- ehitaja
- kuid
- by
- kutsutud
- Kampaania
- Kampaaniad
- CAN
- juhul
- juhtudel
- kindel
- Ring
- väitis
- koostöö
- ettevõte
- keeruline
- arvuti
- arvutid
- seotud
- ühendus
- Side
- järjepidev
- pidevalt
- kontrollida
- volikiri
- Praegu
- Kliendid
- cyber
- tume
- Tume lugemine
- Detsember
- vaikimisi
- kasutuselevõtu
- kirjeldatud
- seadmed
- DID
- erinevad
- Ajalugu
- leevendada
- kasutusmugavus
- kergesti
- rõhuta
- võimaldama
- Lõpp-punkt
- jõustada
- ettevõte
- keskkond
- jms
- eksfiltreerimine
- Ebaõnnestunud
- mood
- FUNKTSIOONID
- vähem
- märgistatud
- Jalajälg
- eest
- Sagedus
- Alates
- kasu
- saadud
- kasumi saamine
- saamine
- olnud
- Olema
- he
- Kuidas
- HTTPS
- ICON
- ID
- if
- rakendatud
- tähtsus
- in
- Teistes
- juhtum
- sisaldama
- lisatud
- hõlmab
- Sissetulev
- näidustus
- inimesed
- info
- esialgne
- paigaldama
- paigaldatud
- Näiteks
- Intelligentsus
- sisse
- uurimine
- kaasama
- seotud
- IT
- ITS
- ise
- jpg
- lihtsalt
- Kaspersky
- Teades
- viimane
- Eelmisel aastal
- pärast
- hiljemalt
- käivitatud
- Pärand
- õigustatud
- nagu
- LINK
- nimekiri
- loetelu
- Logi sisse
- Pikk
- otsin
- tehtud
- säilitamine
- Märts
- mai..
- vahendid
- meetmed
- mehhanismid
- võib
- miljon
- protokoll
- kuritarvitamine
- Leevendada
- kuu
- rohkem
- kõige
- palju
- nimi
- Nimega
- võrk
- võrgustikud
- ei
- märkida
- saadud
- of
- sageli
- on
- ONE
- ainult
- or
- organisatsioonid
- päritolu
- Muu
- teised
- meie
- väljaspool
- üle
- Parool
- paroolid
- minevik
- Platon
- Platoni andmete intelligentsus
- PlatoData
- Punkt
- Poliitika
- võimalik
- tavad
- Eelnev
- Toode
- kaitsma
- anda
- ransomware
- Lugemine
- hiljuti
- regulaarne
- suhteline
- kauge
- Remote Access
- aru
- Teatatud
- Teadlased
- piirata
- õigusi
- Oht
- s
- Ütlesin
- sama
- ütlema
- ütleb
- kindlustama
- turvalisus
- vanem
- istung
- seaded
- seitse
- mitu
- Varsti
- näitas
- sarnane
- alates
- tarkvara
- mõned
- midagi
- konkreetse
- kasutatud
- väljavõte
- tugev
- selline
- toetama
- üllatus
- süsteem
- süsteemid
- Võtma
- võtnud
- sihtmärk
- suunatud
- Tehnoloogiad
- Tehnoloogia
- kui
- et
- .
- ennast
- Seal.
- see
- kuigi?
- oht
- Läbi
- aeg
- et
- tööriist
- kaks
- volitamata
- Uudised
- kasutama
- Kasutatud
- kasutusalad
- kasutamine
- suur
- versioon
- versioonid
- kaudu
- Ohver
- oli
- Tee..
- we
- nädalat
- olid
- M
- millal
- mis
- kuigi
- koos
- ilma
- töökoht
- aasta
- Sinu
- sephyrnet