Nova TeamViewer zloupotreba
Otkrivena je nova TeamViewer zloupotreba u kojoj zlonamjerni akteri koriste upotrebu legitimnog TeamViewer softvera za daljinski pristup da bi dobili početni pristup uređajima u organizacijama kako bi pokušali da primjene enkriptore, posebno one zasnovane na procurjelom alatu za kreiranje LockBit ransomvare zlonamjernog softvera.
TEAMVIEWER ZLOUPOTREBA
TeamViewer je legitimni alat za daljinski pristup koja se intenzivno koristi u poslovnom okruženju, cijenjen zbog svoje jednostavnosti i svojih mogućnosti. Nažalost, ovu alatku favorizuju i zlonamjerni akteri, koji je koriste da bi dobili pristup udaljenim radnim površinama, nesmetano ispuštajući i izvršavajući zlonamjerne datoteke.
Postoji sličan slučaj iz 2016. godine kada su se korisnici žalili da je da su njihovi uređaji povaljeni korištenjem TeamViewer alata za daljinski pristup kako bi se izvršilo šifrovanje datoteka pomoću Surprise ransomware zlonamjernog softvera. U to vrijeme objašnjenje kompanije koja stoji iza TeamViewer alata za daljinski pristup je bilo korištenje tehnike napada popunjavanje akreditiva (eng. credential stuffing) – korištenje parova korisničkog imena i lozinke koji potiču iz prethodnih curenja podataka na različitim internet lokacijama.
TEAMVIEWER NOVA ZLOUPOTREBA
U izvještaju sigurnosne kompanije Huntress sve vidi da zlonamjerni akteri nisu napustili ove stare tehnike, i dalje preuzimaju uređaje preko TeamViewer alata za daljinski pristup kako bi pokušali da primjene ransomware zlonamjerni softver.
Analizirane datoteke evidencije u dva slučaja su pokazale veze iz istog izvora, što ukazuje na zajedničkog napadača. U prvoj kompromitovanoj krajnjoj tački, analiza evidencija pokazuje višestruke pristupe zaposlenih, što ukazuje da je softver aktivno koristilo osoblje za legitimne administrativne zadatke. U drugoj krajnjoj tački koja je analizirana, a koja je pokrenuta od 2018. godine, nije bilo aktivnosti u evidenciji u prethodna tri mjeseca, što ukazuje da je rjeđe nadgledana, što je možda čini privlačnijom za napadače.
U oba slučaja, napadači su pokušali da primjene ransomware korisni sadržaj koristeći DOS batch datoteku (PP.bat) postavljenu na radnu površinu, koja je izvršila DLL datoteku (payload) preko rundll32.exe komande. Napad na prvu krajnju tačku je uspeo, ali je obuzdan. U drugom slučaju, antivirusni proizvod je zaustavio napore, omogućavajući ponovljene pokušaje izvršavanja korisnog opterećenja.
“U TeamViewer-u, izuzetno ozbiljno shvatamo bezbjednost i integritet naše platforme i nedvosmisleno osuđujemo svaki oblik zlonamjerne upotrebe našeg softvera.
Naša analiza pokazuje da većina slučajeva neovlaštenog pristupa uključuje slabljenje podrazumijevanih bezbjednih postavki TeamViewer-a. Ovo često uključuje upotrebu lozinki koje je lako pogoditi, što je moguće samo korištenjem zastarele verzije našeg proizvoda. Stalno naglašavamo važnost održavanja jakih bezbjednosnih praksi, kao što su korištenje složenih lozinki, dvofaktorska autentifikacija, liste dozvoljenih i redovno ažuriranje najnovijih verzija softvera. Ovi koraci su ključni u zaštiti od neovlaštenog pristupa.
Da bismo dodatno podržali naše korisnike u održavanju bezbjednih operacija, objavili smo skup najboljih praksi za bezbjedan pristup bez nadzora, koji se mogu naći na [Best practices for secure unattended access – TeamViewer Support]. Snažno podstičemo sve naše korisnike da prate ove smjernice kako bi poboljšali svoj bezbjednosni položaj.”
– TeamViewer –
CURENJE RANSOMWARE KÔDA
Sigurnosni istraživači nisu bili u mogućnosti da sa sigurnošću pripišu napade nijednoj poznatoj ransomware grupi, ali oni napominju da je sličan LockBit enkriptorima kreiranim korištenjem procurjelog graditelja LockBit Black zlonamjernog softvera.
U 2022. godini došlo je do curenja kôda za LockBit 3.0 ransomware zlonamjerni softver, koji su odmah iskoristile zlonamjerne grupe Bl00dy i Buhti i brzo pokrenule sopstvene kampanje koristeći taj alat. Procurjeli alat za izgradnju ransomware zlonamjernog softvera zlonamjernim akterima omogućava da kreiraju različite verzije enkriptora, uključujući izvršnu datoteku, DLL datoteku i šifrovanu DLL datoteku za koji je potrebna lozinka da bi se pravilno pokrenula.
ZAKLJUČAK
Osnovne bezbjednosne mjere su zasnovane na inventaru sredstava, ne samo fizičkih i virtuelnih krajnjih tačaka, već i instaliranih aplikacija. Ovaj i prethodni incidenti jasno pokazuju da zlonamjerni akteri traže bilo koje dostupno sredstvo pristupa pojedinačnim krajnjim tačkama kako bi izazvali haos i eventualno proširili svoj domet dalje u infrastrukturu.
ZAŠTITA
Kako bi se korisnici zaštitili od ovakvih zlonamjernih prijetnji, potrebno je da primjenjuju robusne mjere sajber bezbjednosti:
- Ažuriranje svih uređaja i softvera je ključno za smanjenje rizika od infekcije zlonamjernim softverom. Proizvođači često objavljuju bezbjednosna ažuriranja i ispravke kako bi riješili probleme poznatih ranjivosti. Blagovremenom primjenom ovih ažuriranja, korisnici mogu da zatvore potencijalne ulazne tačke.
- Koristiti provjerena sigurnosna riješenja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i spriječile zlonamjerne aktivnosti.
- Potrebno je biti oprezna sa dolaznom elektronskom poštom i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatnoće da će pokrenuti proces infekcije uređaja.
- Izbjegavati preuzimanje i instaliranje softvera iz nepouzdanih izvora.
- Biti oprezan prilikom pretraživanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadrže zlonamjerni softver koji može zaraziti uređaj prilikom otvaranja takvih stranica.