Bilgisayar korsanları, sistemlere uzaktan erişim sağladığı ve tehdit aktörlerinin bunları kontrol etmesine olanak tanıdığı için TeamViewer’dan yararlanıyor.
Bu, yasa dışı veri erişimi, sistem manipülasyonu ve virüs dağıtımı gibi çeşitli yasa dışı amaçlar için kullanılabilir.
Bunun yanı sıra TeamViewer’ın yaygın kullanımı, güvenlik açıklarından yararlanmaya ve sosyal mühendislik saldırıları gerçekleştirmeye çalışan tehdit aktörleri için onu çekici bir hedef haline getiriyor.
Huntress’teki siber güvenlik araştırmacıları yakın zamanda tehdit aktörlerinin fidye yazılımı saldırıları başlatmak için TeamViewer’ı aktif olarak kötüye kullandığını tespit etti.
MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.
Ücretsiz Kayıt Ol
Bilgisayar korsanları TeamViewer’ı kötüye kullanıyor
Huntress’teki SOC analistleri kısa süre önce, fidye yazılımının minimum etkiyle, tehdit aktörü keşfi veya yanal hareket olmaksızın 2 uç noktayı vurduğu konusunda uyarıda bulundu. Ancak güvenlik yazılımları tehdit aktörlerinin eylemlerini engellemeyi başardı.
TeamViewer, tehdit aktörlerinin A ve B uç noktalarına erişimini etkinleştirdi. Günlükler, oturumlar için zaman damgalarıyla her ikisine de bağlanan ortak bir kaynak uç noktası adını ortaya koyuyor: –
- A (7½ dakika)
- B (10+ dakika)
Geçmişteki olaylar arasında kripto madenci dağıtımı için TeamViewer ve veri sızdırma için curl.exe yer alıyordu.
‘A’ uç noktasında meşru yönetici erişimleri kaydedildi ve üç ay önce TeamViewer’a son giriş yapılan uç nokta ‘B’, tehdit aktörünün 10 dakikalık bir oturumda erişimini gördü.
Önceki olaylar, veri sızdırma amacıyla TeamViewer’ı kripto madencilerini konuşlandıran ve curl.exe’yi kullanan tehdit aktörleriyle ilişkilendirmişti.
Her iki uç noktadaki ilk fidye yazılımı dağıtımı, kullanıcının masaüstünden başlatılan bir DOS toplu dosyası olan “PP.bat” ile başladı.
Buna karşılık, yukarıda belirtilen toplu iş dosyası aşağıdaki “rundll32.exe” komutunu çalıştırdı: –
- rundll32 C:\Kullanıcılar\kullanıcı\Desktop\LB3_Rundll32_pass.dll,gdll -pass <32-char password>
Uç Nokta A’nın fidye yazılımı etkisi yalnızca bu uç noktayla sınırlıydı. B’de güvenlik yazılımı tehdit aktörünü engelledi ve bu da dosyaları şifrelemek için birden fazla başarısız girişimde bulunulmasına yol açtı.
Günlük mesajları, tehdit aktörünün sonunda karantinaya alınan başka bir dosyayı başlatmak için gereksiz girişimlerde bulunmasına neden olan bir DLL dosyasının karantinaya alındığını ortaya çıkardı.
Ancak temel güvenlik, fiziksel ve sanal uç noktaları ve yüklü uygulamaları kapsayarak varlıkların izlenmesine dayanır.
IOC’ler
- WIN-8GPEJ3VGB8U – TeamViewer links_incoming.txt günlüğünden alınan tehdit aktörü uç noktası adı
- LB3_Rundll32_pass.dll (A uç noktasından) SHA256: 60ab8cec19fb2d1ab588d02a412e0fe7713ad89b8e9c6707c63526c7768fd362
Dijital sistem güvenliğini değerlendirmek için Kelltron’un uygun maliyetli sızma testi hizmetlerini deneyin. Ücretsiz demo mevcut.