TeamViewer to oprogramowanie od dawna używane przez organizacje w celu umożliwienia zdalnej pomocy, współpracy i dostępu do urządzeń końcowych. Podobnie jak inne legalne technologie zdalnego dostępu, jest to również coś, co atakujący stosują stosunkowo często w celu uzyskania początkowego dostępu do systemów docelowych.
Najnowszym przykładem są dwie próby wdrożenia oprogramowania ransomware, które niedawno zaobserwowali badacze z Huntress.
Nieudane próby wdrożenia ransomware
Celem ataków oznaczonych przez Huntress były dwa różne urządzenia końcowe należące do klientów Huntress. Obydwa incydenty dotyczyły nieudanych prób instalacji oprogramowania wyglądającego na oprogramowanie ransomware oparte na kreatorze, który wyciekł Ransomware LockBit 3.0.
Dalsze dochodzenie wykazało, że napastnicy uzyskali początkowy dostęp do obu punktów końcowych za pośrednictwem TeamViewer. Dzienniki wskazywały na ataki pochodzące z punktu końcowego o tej samej nazwie hosta, co oznaczało, że za obydwoma incydentami stał ten sam podmiot zagrażający. Na jednym z komputerów ugrupowanie zagrażające spędziło nieco ponad siedem minut po uzyskaniu pierwszego dostępu za pośrednictwem TeamViewer, podczas gdy na drugim sesja atakującego trwała ponad 10 minut.
W raporcie Huntress nie podano, w jaki sposób atakujący mógł w obu przypadkach przejąć kontrolę nad instancjami TeamViewer. Jednak Harlan Carvey, starszy analityk ds. analizy zagrożeń w Huntress, twierdzi, że niektóre loginy do TeamViewer wydają się pochodzić ze starszych systemów.
„Dzienniki nie wskazują żadnych logowań przez kilka miesięcy lub tygodni przed dostępem ugrupowania zagrażającego” – mówi. „W innych przypadkach istnieje kilka prawidłowych logowań, zgodnych z wcześniejszymi logowaniami – nazwą użytkownika, nazwą stacji roboczej itp. – na krótko przed zalogowaniem się podmiotu zagrażającego”.
Carvey twierdzi, że możliwe jest, że podmiotowi zagrażającemu się to udało wykupić dostęp od brokera początkowego dostępu (IAB), oraz że dane uwierzytelniające i informacje o połączeniu mogły zostać uzyskane z innych punktów końcowych za pomocą programów kradnących informacje, rejestratorów naciśnięć klawiszy lub w inny sposób.
Poprzednie incydenty cybernetyczne dotyczące TeamViewer
W przeszłości miało miejsce kilka incydentów, w których napastnicy używali TeamViewer w podobny sposób. Jedną z nich była kampania prowadzona w maju zeszłego roku przez ugrupowanie cyberprzestępcze chcące zainstalować oprogramowanie Oprogramowanie do kopania kryptowalut XMRig w systemach po uzyskaniu wstępnego dostępu za pośrednictwem narzędzia. Inny dotyczył A kampania eksfiltracji danych którą Huntress badała w grudniu. Dzienniki incydentów wykazały, że ugrupowanie zagrażające zyskało wstępną pozycję w środowisku ofiary za pośrednictwem TeamViewer. Znacznie wcześniej Kaspersky w 2020 r. poinformował o zaobserwowanych przez siebie atakach środowiska przemysłowych systemów sterowania Wiązało się to z wykorzystaniem technologii zdalnego dostępu, takich jak RMS i TeamViewer w celu uzyskania początkowego dostępu.
W przeszłości zdarzały się również incydenty – choć mniej – atakujących wykorzystujących TeamViewer jako wektor dostępu w kampaniach ransomware. Na przykład w marcu 2016 r. kilka organizacji zgłosiło zakażenie wirusem a odmiana ransomware o nazwie „Surprise” które badacze mogli później powiązać z TeamViewerem.
Od chwili uruchomienia firmy o tej samej nazwie w 2.5 roku oprogramowanie TeamViewer do zdalnego dostępu zostało zainstalowane na około 2005 miliarda urządzeń. W zeszłym roku firma określiła swoje oprogramowanie jako obecnie działa na ponad 400 milionach urządzeńz czego 30 milionów jest w dowolnym momencie podłączonych do TeamViewer. Ogromny zasięg oprogramowania i jego łatwość obsługi sprawiły, że stało się ono atrakcyjnym celem dla atakujących, podobnie jak inne technologie zdalnego dostępu.
Jak bezpiecznie korzystać z TeamViewer
Sam TeamViewer wdrożył mechanizmy zmniejszające ryzyko niewłaściwego wykorzystania jego oprogramowania przez osoby atakujące w celu włamania się do systemów. Firma twierdzi, że jedyny sposób, w jaki osoba atakująca może uzyskać dostęp do komputera za pośrednictwem TeamViewer, to posiadanie identyfikatora TeamViewer i powiązanego hasła.
„Bez znajomości identyfikatora i hasła inne osoby nie będą mogły uzyskać dostępu do Twojego komputera” – the firma zauważyła, wymieniając jednocześnie środki, jakie organizacje mogą podjąć, aby chronić się przed nadużyciami.
Obejmują one:
-
Wychodzenie z TeamViewer, gdy oprogramowanie nie jest używane;
-
Korzystanie z funkcji list blokowania i dozwolonych w oprogramowaniu w celu ograniczania dostępu określonym osobom i urządzeniom;
-
Ograniczanie dostępu do niektórych funkcji dla połączeń przychodzących;
-
I odmawianie połączeń spoza sieci korporacyjnej.
Firma zwróciła również uwagę na obsługę przez TeamViewer zasad dostępu warunkowego, które pozwalają administratorom egzekwować prawa dostępu zdalnego.
W oświadczeniu dla Dark Reading TeamViewer stwierdził, że większość przypadków nieautoryzowanego dostępu wiąże się z osłabieniem domyślnych ustawień zabezpieczeń TeamViewer.
„Często wiąże się to ze stosowaniem łatwych do odgadnięcia haseł, co jest możliwe jedynie w przypadku korzystania z przestarzałej wersji naszego produktu” – czytamy w oświadczeniu. „Nieustannie podkreślamy znaczenie utrzymywania rygorystycznych praktyk bezpieczeństwa, takich jak używanie złożonych haseł, uwierzytelnianie dwuskładnikowe, listy dozwolonych i regularne aktualizacje do najnowszych wersji oprogramowania”. W oświadczeniu zawarto link do najlepsze praktyki dotyczące bezpiecznego dostępu bez nadzoru od pomocy technicznej TeamViewer.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/endpoint-security/ransomware-actor-teamviewer-initial-access-networks
- :ma
- :Jest
- :nie
- :Gdzie
- 10
- 2005
- 2016
- 2020
- 30
- 400
- 7
- 8
- a
- Zdolny
- dostęp
- Administratorzy
- Po
- przed
- dopuszczać
- również
- an
- analityk
- i
- Inne
- każdy
- zjawić się
- pojawił się
- SĄ
- AS
- powiązany
- At
- Ataki
- próbę
- Próby
- atrakcyjny
- na podstawie
- BE
- być
- zanim
- za
- należący
- Miliard
- Blokować
- obie
- przerwa
- pośrednik
- budowniczy
- ale
- by
- nazywa
- Kampania
- Kampanie
- CAN
- walizka
- Etui
- pewien
- Okrągłe
- twierdził,
- współpraca
- sukcesy firma
- kompleks
- komputer
- komputery
- połączony
- połączenie
- połączenia
- zgodny
- stale
- kontrola
- Listy uwierzytelniające
- Obecnie
- Klientów
- cyber
- Ciemny
- Mroczne czytanie
- grudzień
- Domyślnie
- Wdrożenie
- opisane
- urządzenia
- ZROBIŁ
- różny
- Wcześniej
- łatwość
- łatwość użycia
- z łatwością
- podkreślać
- umożliwiać
- Punkt końcowy
- egzekwować
- Enterprise
- Środowisko
- itp
- eksfiltracja
- Failed
- Moda
- Korzyści
- mniej
- taflowy
- Ślad stopy
- W razie zamówieenia projektu
- Częstotliwość
- od
- Wzrost
- zdobyte
- zyskuje
- miejsce
- miał
- Have
- he
- W jaki sposób
- HTTPS
- ICON
- ID
- if
- realizowane
- znaczenie
- in
- W innych
- incydent
- zawierać
- włączony
- obejmuje
- Przybywający
- wskazanie
- osób
- Informacja
- początkowy
- zainstalować
- zainstalowany
- przykład
- Inteligencja
- najnowszych
- śledztwo
- angażować
- zaangażowany
- IT
- JEGO
- samo
- jpg
- właśnie
- Kaspersky
- Wiedząc
- Nazwisko
- Ostatni rok
- później
- firmy
- uruchomiona
- Dziedzictwo
- prawowity
- lubić
- LINK
- Lista
- wymienianie kolejno
- Zaloguj Się
- długo
- poszukuje
- zrobiony
- Utrzymywanie
- March
- Może..
- znaczy
- środków
- Mechanizmy
- może
- milion
- minut
- nadużycie
- Złagodzić
- miesięcy
- jeszcze
- większość
- dużo
- Nazwa
- O imieniu
- sieć
- sieci
- Nie
- zauważyć
- uzyskane
- of
- często
- on
- ONE
- tylko
- or
- organizacji
- pochodzący
- Inne
- Pozostałe
- ludzkiej,
- zewnętrzne
- koniec
- Hasło
- hasła
- Przeszłość
- plato
- Analiza danych Platona
- PlatoDane
- punkt
- polityka
- możliwy
- praktyki
- Wcześniejszy
- Produkt
- chronić
- zapewniać
- ransomware
- Czytający
- niedawno
- regularny
- względny
- zdalny
- zdalny dostęp
- raport
- Zgłoszone
- Badacze
- ograniczać
- prawa
- Ryzyko
- s
- Powiedział
- taki sam
- powiedzieć
- mówią
- bezpieczne
- bezpieczeństwo
- senior
- Sesja
- w panelu ustawień
- siedem
- kilka
- Wkrótce
- pokazał
- podobny
- ponieważ
- Tworzenie
- kilka
- coś
- specyficzny
- spędził
- Zestawienie sprzedaży
- silny
- taki
- wsparcie
- niespodzianka
- system
- systemy
- Brać
- Zadania
- cel
- ukierunkowane
- Technologies
- Technologia
- niż
- że
- Połączenia
- sami
- Tam.
- to
- chociaż?
- groźba
- Przez
- czas
- do
- narzędzie
- drugiej
- Nieupoważniony
- Nowości
- posługiwać się
- używany
- zastosowania
- za pomocą
- Naprawiono
- wersja
- Wersje
- przez
- Ofiara
- była
- Droga..
- we
- tygodni
- były
- Co
- jeśli chodzi o komunikację i motywację
- który
- Podczas
- w
- bez
- stacja robocza
- rok
- Twój
- zefirnet