TeamViewer는 원격 지원, 협업, 엔드포인트 장치 액세스를 지원하기 위해 조직에서 오랫동안 사용해 온 소프트웨어입니다. 다른 합법적인 원격 액세스 기술과 마찬가지로 공격자가 대상 시스템에 대한 초기 액세스를 얻기 위해 상대적인 빈도로 사용하는 기술이기도 합니다.
최근 Huntress 연구원들이 관찰한 두 건의 랜섬웨어 배포 시도 사건이 가장 최근의 사례입니다.
실패한 랜섬웨어 배포 시도
Huntress가 지적한 공격은 Huntress 고객에 속한 두 개의 서로 다른 엔드포인트 장치를 표적으로 삼았습니다. 두 사건 모두 유출된 빌더를 기반으로 랜섬웨어로 보이는 것을 설치하려는 시도가 실패한 것과 관련이 있습니다. LockBit 3.0 랜섬웨어.
추가 조사에 따르면 공격자는 TeamViewer를 통해 두 엔드포인트에 대한 초기 액세스 권한을 얻은 것으로 나타났습니다. 로그는 동일한 호스트 이름을 가진 엔드포인트에서 발생한 공격을 가리키며, 이는 두 사건의 배후에 동일한 위협 행위자가 있음을 나타냅니다. 컴퓨터 중 하나에서는 위협 행위자가 TeamViewer를 통해 최초 접근 권한을 얻은 후 10분 남짓 소요된 반면, 다른 컴퓨터에서는 공격자의 세션이 XNUMX분 이상 지속되었습니다.
Huntress의 보고서에는 공격자가 두 경우 모두 TeamViewer 인스턴스를 어떻게 제어했는지 언급하지 않았습니다. 그러나 Huntress의 수석 위협 인텔리전스 분석가인 Harlan Carvey는 TeamViewer 로그인 중 일부가 레거시 시스템에서 나온 것으로 보인다고 말합니다.
“로그에는 위협 행위자가 액세스하기 몇 달 또는 몇 주 동안 로그인에 대한 징후가 없습니다.”라고 그는 말합니다. "다른 경우에는 위협 행위자가 로그인하기 직전에 이전 로그인(사용자 이름, 워크스테이션 이름 등)과 일치하는 여러 가지 합법적인 로그인이 있습니다."
Carvey는 위협 행위자가 다음을 수행할 수 있었을 가능성이 있다고 말합니다. IAB(초기 액세스 브로커)로부터 액세스를 구입합니다. 자격 증명 및 연결 정보는 인포스틸러, 키스트로크 로거 또는 기타 수단을 사용하여 다른 엔드포인트에서 획득되었을 수 있습니다.
이전 TeamViewer 사이버 사건
과거에도 공격자가 TeamViewer를 비슷한 방식으로 사용한 사건이 여러 번 있었습니다. 하나는 지난 5월 위협 행위자가 악성 프로그램을 설치하려는 캠페인이었습니다. XMRig 암호화폐 채굴 소프트웨어 도구를 통해 초기 액세스 권한을 얻은 후 시스템에서. 또 다른 사람은 데이터 유출 캠페인 Huntress가 2020월에 조사한 내용입니다. 사건 로그에 따르면 위협 행위자는 TeamViewer를 통해 피해자 환경에 초기 기반을 확보했습니다. 훨씬 이전에 Kaspersky는 XNUMX년에 관찰한 공격에 대해 보고했습니다. 산업 제어 시스템 환경 초기 액세스를 위해 RMS 및 TeamViewer와 같은 원격 액세스 기술을 사용했습니다.
과거에는 공격자가 TeamViewer를 랜섬웨어 캠페인의 액세스 벡터로 사용하는 사건이 있었습니다. 예를 들어 2016년 XNUMX월에 여러 조직에서 다음 바이러스에 감염되었다고 보고했습니다. “Surprise”라는 랜섬웨어 변종 연구원들은 나중에 TeamViewer에 연결할 수 있었습니다.
TeamViewer의 원격 액세스 소프트웨어는 2.5년에 TeamViewer라는 이름의 회사가 출시된 이후 약 2005억 대의 장치에 설치되었습니다. 작년에 이 회사는 해당 소프트웨어를 현재 400억 개 이상의 장치에서 실행, 그 중 30천만 개가 언제든지 TeamViewer에 연결되어 있습니다. 이 소프트웨어는 방대한 공간과 사용 편의성으로 인해 다른 원격 액세스 기술과 마찬가지로 공격자의 매력적인 표적이 되었습니다.
TeamViewer를 안전하게 사용하는 방법
TeamViewer 자체는 공격자가 소프트웨어를 오용하여 시스템에 침입할 위험을 완화하는 메커니즘을 구현했습니다. 회사는 공격자가 TeamViewer를 통해 컴퓨터에 접근할 수 있는 유일한 방법은 공격자가 TeamViewer ID와 관련 비밀번호를 갖고 있는 경우라고 주장했습니다.
“ID와 비밀번호를 모르면 타인이 귀하의 컴퓨터에 접근할 수 없습니다.” 회사는 지적했다. 조직이 오용으로부터 자신을 보호하기 위해 취할 수 있는 조치를 나열합니다.
이들은 다음을 포함한다 :
-
소프트웨어를 사용하지 않을 때 TeamViewer를 종료합니다.
-
소프트웨어의 차단 및 허용 목록 기능을 사용하여 특정 개인 및 장치에 대한 액세스를 제한합니다.
-
들어오는 연결에 대해 특정 기능에 대한 액세스를 제한합니다.
-
그리고 기업 네트워크 외부로부터의 연결을 거부합니다.
또한 회사는 관리자가 원격 액세스 권한을 시행할 수 있도록 하는 조건부 액세스 정책에 대한 TeamViewer의 지원을 지적했습니다.
TeamViewer는 Dark Reading에 보낸 성명에서 대부분의 무단 액세스 사례가 TeamViewer의 기본 보안 설정을 약화시키는 것과 관련이 있다고 밝혔습니다.
“여기에는 우리 제품의 오래된 버전을 사용해야만 가능한 쉽게 추측할 수 있는 비밀번호의 사용이 종종 포함됩니다.”라고 성명서는 말했습니다. "우리는 복잡한 비밀번호, 이중 인증, 허용 목록, 최신 소프트웨어 버전에 대한 정기적인 업데이트 등 강력한 보안 관행을 유지하는 것의 중요성을 지속적으로 강조합니다." 성명서에는 다음 링크가 포함되어 있습니다. TeamViewer 지원팀의 안전한 무인 액세스 모범 사례.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/endpoint-security/ransomware-actor-teamviewer-initial-access-networks
- :있다
- :이다
- :아니
- :어디
- 10
- 2005
- 2016
- 2020
- 30
- 400
- 7
- 8
- a
- 할 수 있는
- ACCESS
- 관리자
- 후
- 반대
- 수
- 또한
- an
- 분석자
- 및
- 다른
- 어떤
- 표시
- 등장
- 있군요
- AS
- 관련
- At
- 공격
- 시도하다
- 시도
- 매력적인
- 기반으로
- BE
- 된
- 전에
- 뒤에
- 귀속
- 억원
- 블록
- 두
- 흩어져
- 브로커
- 건축업자
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- 라는
- 운동
- 캠페인
- CAN
- 케이스
- 가지 경우
- 어떤
- 원
- 주장
- 협동
- 회사
- 복잡한
- 컴퓨터
- 컴퓨터
- 연결
- 연결
- 연결
- 일관된
- 끊임없이
- 제어
- 신임장
- 현재
- 고객
- 사이버
- 어두운
- 어두운 독서
- XNUMX월
- 태만
- 전개
- 기술 된
- 디바이스
- DID
- 다른
- 이전
- 완화
- 사용의 용이성
- 용이하게
- 강조하다
- 가능
- 종점
- 억지로 시키다
- Enterprise
- 환경
- 등
- 압출
- 실패한
- 패션
- 특징
- 적은
- 신고 된
- 발자국
- 럭셔리
- 진동수
- 에
- 이득
- 획득
- 획득
- 점점
- 했다
- 있다
- he
- 방법
- HTTPS
- ICON
- ID
- if
- 구현
- 중요성
- in
- 기타의
- 사건
- 포함
- 포함
- 포함
- 들어오는
- 표시
- 개인
- 정보
- 처음에는
- 설치
- 설치
- 예
- 인텔리전스
- 으로
- 조사
- 감다
- 참여
- IT
- 그
- 그 자체
- JPG
- 다만
- 카스퍼 스키
- 아는
- 성
- 작년
- 후에
- 최근
- 시작
- 유산
- 합법적 인
- 처럼
- LINK
- 명부
- 리스팅
- 로그인
- 긴
- 찾고
- 만든
- 유지 보수
- Mar
- XNUMX월..
- 방법
- 조치들
- 메커니즘
- 수도
- 백만
- 회의록
- 오용
- 완화
- 개월
- 배우기
- 가장
- 많은
- name
- 이름
- 네트워크
- 네트워크
- 아니
- 유명한
- 획득
- of
- 자주
- on
- ONE
- 만
- or
- 조직
- 원산지
- 기타
- 기타
- 우리의
- 외부
- 위에
- 비밀번호
- 암호
- 과거
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 포인트 적립
- 정책
- 가능한
- 사례
- 이전에
- 프로덕트
- 보호
- 제공
- 랜섬
- 읽기
- 최근에
- 정규병
- 상대적인
- 먼
- 원격 액세스
- 신고
- 보고
- 연구원
- 얽매다
- 권리
- 위험
- s
- 말했다
- 같은
- 라고
- 라고
- 안전해야합니다.
- 보안
- 연장자
- 세션
- 설정
- 일곱
- 몇몇의
- 곧
- 보여
- 비슷한
- 이후
- 소프트웨어
- 일부
- 무언가
- 구체적인
- 지출
- 성명서
- 강한
- 이러한
- SUPPORT
- 놀람
- 체계
- 시스템은
- 받아
- 촬영
- 목표
- 대상
- 기술
- Technology
- 보다
- 그
- XNUMXD덴탈의
- 그들 자신
- 그곳에.
- 이
- 그래도?
- 위협
- 을 통하여
- 시간
- 에
- 수단
- 두
- 무단의
- 업데이트
- 사용
- 익숙한
- 사용
- 사용
- 거대한
- 버전
- 버전
- 를 통해
- 희생자
- 였다
- 방법..
- we
- 주
- 했다
- 뭐
- 언제
- 어느
- 동안
- 과
- 없이
- 워크 스테이션
- year
- 너의
- 제퍼 넷