TeamViewer היא תוכנה שארגונים השתמשו בה זמן רב כדי לאפשר תמיכה מרחוק, שיתוף פעולה וגישה למכשירי נקודת קצה. כמו טכנולוגיות לגיטימיות אחרות של גישה מרחוק, זה גם משהו שתוקפים השתמשו בו בתדירות יחסית כדי להשיג גישה ראשונית למערכות היעד.

שני תקריות פריסת תוכנת כופר שחוקרים ב-Hunttress צפו לאחרונה הם המקרה האחרון.

ניסיונות פריסת תוכנת כופר נכשלו

ההתקפות שסימנה Huntress כוונו לשני מכשירי קצה שונים השייכים ללקוחות Huntress. שני התקריות כללו ניסיונות כושלים להתקין מה שנראה כמו תוכנת כופר המבוססת על בונה שדלף עבור תוכנת כופר של LockBit 3.0.

חקירה נוספת הראתה שהתוקפים קיבלו גישה ראשונית לשתי נקודות הקצה באמצעות TeamViewer. היומנים הצביעו על ההתקפות שמקורן בנקודת קצה עם אותו שם מארח, מה שמצביע על כך שאותו שחקן איום עמד מאחורי שני האירועים. באחד המחשבים, שחקן האיום בילה קצת יותר משבע דקות לאחר שהשיג גישה ראשונית דרך TeamViewer, בעוד שבשני, הפגישה של התוקף נמשכה יותר מ-10 דקות.

הדו"ח של Huntress לא אמר כיצד ייתכן שהתוקף השתלט על מקרי TeamViewer בשני המקרים. אבל הרלן קארווי, אנליסט בכיר למודיעין איומים ב-Hunttress, אומר שחלק מהכניסות של TeamViewer נראות ממערכות מדור קודם.

"היומנים אינם מספקים אינדיקציה לכניסות במשך מספר חודשים או שבועות לפני הגישה של שחקן האיום", הוא אומר. "במקרים אחרים, יש כמה כניסות לגיטימיות, התואמות עם כניסות קודמות - שם משתמש, שם תחנת עבודה וכו' - זמן קצר לפני הכניסה של שחקן האיום."

קארווי אומר שייתכן ששחקן האיום הצליח רכישת גישה מתווך גישה ראשוני (IAB), וכי ייתכן שהאישורים ומידע החיבור הושגו מנקודות קצה אחרות באמצעות שימוש בגנבי מידע, לוגר הקשות או אמצעי אחר.

תקריות סייבר של TeamViewer קודמות

היו מספר תקריות בעבר שבהם תוקפים השתמשו ב-TeamViewer בצורה דומה. אחד מהם היה מסע פרסום במאי האחרון של שחקן איום שרצה להתקין את תוכנת הצפנה XMRig במערכות לאחר קבלת גישה ראשונית באמצעות הכלי. אחר מעורב א מסע סינון נתונים אותה צייד חקרה בדצמבר. יומני תקריות הראו ששחקן האיום השיג דריסת רגל ראשונית בסביבת הקורבן באמצעות TeamViewer. הרבה קודם לכן, קספרסקי בשנת 2020 דיווחה על התקפות עליהן צפתה סביבות מערכות בקרה תעשייתיות שכלל שימוש בטכנולוגיות גישה מרחוק כגון RMS ו-TeamViewer לגישה ראשונית.

היו גם מקרים בעבר - אם כי פחות - של תוקפים שמשתמשים ב-TeamViewer בתור וקטור גישה בקמפיינים של תוכנות כופר. במרץ 2016, למשל, מספר ארגונים דיווחו שנדבקו בא זן תוכנת כופר הנקרא "הפתעה" שחוקרים הצליחו מאוחר יותר להיקשר ל-TeamViewer.

תוכנת הגישה מרחוק של TeamViewer הותקנה בכ-2.5 מיליארד מכשירים מאז שהושקה החברה המכונה בשמו בשנת 2005. בשנה שעברה, החברה תיארה את התוכנה שלה כמו כרגע פועל על יותר מ-400 מיליון מכשירים, מתוכם 30 מיליון מחוברים ל-TeamViewer בכל עת. טביעת הרגל העצומה של התוכנה וקלות השימוש בה הפכו אותה למטרה אטרקטיבית עבור תוקפים, בדיוק כמו טכנולוגיות אחרות של גישה מרחוק.

כיצד להשתמש ב-TeamViewer בצורה מאובטחת

TeamViewer עצמה הטמיעה מנגנונים כדי להפחית את הסיכון של תוקפים להשתמש לרעה בתוכנה שלה כדי לפרוץ למערכות. החברה טענה שהדרך היחידה שבה תוקף יכול לגשת למחשב באמצעות TeamViewer היא אם לתוקף יש את מזהה TeamViewer והסיסמה הקשורה אליו.

"בלי לדעת את המזהה והסיסמה, זה לא אפשרי עבור אחרים לגשת למחשב שלך," ה החברה ציינה, תוך פירוט אמצעים שארגונים יכולים לנקוט כדי להגן על עצמם מפני שימוש לרעה.

אלה כוללים:

החברה גם הצביעה על התמיכה של TeamViewer במדיניות גישה מותנית המאפשרת למנהלי מערכת לאכוף זכויות גישה מרחוק.

בהצהרה ל-Dark Reading, TeamViewer אמר שרוב המקרים של גישה לא מורשית כרוכים בהחלשה של הגדרות האבטחה המוגדרות כברירת מחדל של TeamViewer.

"זה כולל לעתים קרובות שימוש בסיסמאות ניתנות לניחוש, מה שמתאפשר רק על ידי שימוש בגרסה מיושנת של המוצר שלנו", נאמר בהצהרה. "אנו מדגישים כל הזמן את החשיבות של שמירה על נוהלי אבטחה חזקים, כגון שימוש בסיסמאות מורכבות, אימות דו-גורמי, רשימות היתרים ועדכונים שוטפים לגרסאות התוכנה העדכניות ביותר." ההצהרה כללה קישור אל שיטות עבודה מומלצות לגישה מאובטחת ללא השגחה מתמיכה של TeamViewer.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/endpoint-security/ransomware-actor-teamviewer-initial-access-networks