TeamViewer, kuruluşların uzaktan destek, işbirliği ve uç nokta cihazlarına erişimi sağlamak için uzun süredir kullandığı bir yazılımdır. Diğer meşru uzaktan erişim teknolojileri gibi bu da saldırganların hedef sistemlere ilk erişim sağlamak için göreceli sıklıkta kullandığı bir şeydir.
Huntress’teki araştırmacıların yakın zamanda gözlemlediği iki fidye yazılımı dağıtım girişimi olayı bunun en son örneğidir.
Başarısız Fidye Yazılımı Dağıtımı Denemeleri
Huntress’in işaretlediği saldırılar, Huntress müşterilerine ait iki farklı uç nokta cihazını hedef aldı. Her iki olay da, sızdırılmış bir inşaatçıyı temel alan fidye yazılımı gibi görünen bir yazılımı yüklemeye yönelik başarısız girişimleri içeriyordu. LockBit 3.0 fidye yazılımı.
Daha ileri araştırmalar, saldırganların her iki uç noktaya da TeamViewer aracılığıyla ilk erişim sağladığını gösterdi. Günlükler, saldırıların aynı ana bilgisayar adına sahip bir uç noktadan kaynaklandığını gösteriyordu; bu da her iki olayın arkasında aynı tehdit aktörünün olduğunu gösteriyordu. Tehdit aktörü, bilgisayarlardan birinde TeamViewer aracılığıyla ilk erişimi sağladıktan sonra yedi dakikadan biraz fazla zaman harcadı, diğerinde ise saldırganın oturumu 10 dakikadan fazla sürdü.
Huntress’in raporunda, her iki durumda da saldırganın TeamViewer örneklerinin kontrolünü nasıl ele geçirmiş olabileceği belirtilmedi. Ancak Huntress’in kıdemli tehdit istihbaratı analisti Harlan Carvey, TeamViewer oturum açma bilgilerinin bazılarının eski sistemlerden geldiğini söylüyor.
“Günlükler, tehdit aktörünün erişiminden önceki birkaç ay veya hafta boyunca giriş yapıldığına dair hiçbir gösterge sunmuyor” diyor. “Diğer durumlarda, tehdit aktörünün oturum açmasından kısa bir süre önce önceki oturum açma işlemleriyle tutarlı birkaç meşru oturum açma işlemi (kullanıcı adı, iş istasyonu adı vb.) vardır.”
Carvey, tehdit aktörünün bunu başarmış olmasının mümkün olduğunu söyledi bir ilk erişim aracısından (IAB) erişim satın alın, ve kimlik bilgilerinin ve bağlantı bilgilerinin bilgi hırsızları, tuş vuruşu kaydedici veya başka araçlar kullanılarak diğer uç noktalardan elde edilmiş olabileceği.
Önceki TeamViewer Siber Olayları
Saldırganların TeamViewer’ı benzer şekilde kullandığı geçmişte birçok olay yaşandı. Bunlardan biri, geçen Mayıs ayında, bir tehdit aktörünün, sistemi kurmak istediği bir kampanyaydı. XMRig kripto madenciliği yazılımı araç aracılığıyla ilk erişimi sağladıktan sonra sistemlerde. Bir başkası şunları içeriyordu: veri sızıntısı kampanyası Huntress’in Aralık ayında araştırdığı. Olay kayıtları, tehdit aktörünün kurban ortamında TeamViewer aracılığıyla ilk tutunma noktasını elde ettiğini gösterdi. Kaspersky, 2020’de çok daha önce gözlemlediği saldırıları bildirmişti. endüstriyel kontrol sistemi ortamları ilk erişim için RMS ve TeamViewer gibi uzaktan erişim teknolojilerinin kullanımını içeriyordu.
Geçmişte de (daha az da olsa) saldırganların fidye yazılımı kampanyalarında erişim vektörü olarak TeamViewer’ı kullandığı olaylar yaşanmıştı. Örneğin Mart 2016’da birçok kuruluş bir virüse yakalandığını bildirdi. “Sürpriz” adı verilen fidye yazılımı türü araştırmacılar daha sonra TeamViewer’a bağlanabildiler.
TeamViewer’ın uzaktan erişim yazılımı, kendi adını taşıyan şirketin 2005 yılında piyasaya sürülmesinden bu yana yaklaşık 2,5 milyar cihaza kuruldu. Geçen yıl şirket, yazılımını şu anda şu şekilde tanımladı: 400 milyondan fazla cihazda çalışıyorBunlardan 30 milyonu herhangi bir zamanda TeamViewer’a bağlı. Yazılımın geniş kaplama alanı ve kullanım kolaylığı, diğer uzaktan erişim teknolojileri gibi onu da saldırganlar için çekici bir hedef haline getirdi.
TeamViewer’ı Güvenli Bir Şekilde Kullanma
TeamViewer’ın kendisi, saldırganların yazılımını kötüye kullanarak sistemlere sızma riskini azaltacak mekanizmalar uygulamaktadır. Şirket, bir saldırganın TeamViewer aracılığıyla bir bilgisayara erişmesinin tek yolunun, saldırganın TeamViewer ID’sine ve ilgili şifreye sahip olması olduğunu iddia etti.
“Kimlik ve şifreyi bilmeden başkalarının bilgisayarınıza erişmesi mümkün değildir” şirket şunu kaydetti: kuruluşların kendilerini kötüye kullanıma karşı korumak için alabilecekleri önlemleri sıralarken.
Bunlar şunları içerir:
Yazılım kullanılmadığında TeamViewer’dan çıkmak;
Belirli kişilere ve cihazlara erişimi kısıtlamak için yazılımın Engelle ve İzin Ver listesi özelliklerini kullanma;
Gelen bağlantılar için belirli özelliklere erişimin kısıtlanması;
Ve kurumsal ağ dışından gelen bağlantıları reddetmek.
Şirket ayrıca TeamViewer’ın, yöneticilerin uzaktan erişim haklarını uygulamasına olanak tanıyan koşullu erişim ilkelerini desteklediğine de dikkat çekti.
TeamViewer, Dark Reading’e yaptığı açıklamada, yetkisiz erişim vakalarının çoğunun TeamViewer’ın varsayılan güvenlik ayarlarının zayıflatılmasından kaynaklandığını söyledi.
Açıklamada, “Bu genellikle, yalnızca ürünümüzün eski bir sürümünün kullanılmasıyla mümkün olan, kolayca tahmin edilebilir şifrelerin kullanımını içerir” dedi. “Karmaşık parolalar, iki faktörlü kimlik doğrulama, izin verilenler listeleri ve en son yazılım sürümlerine düzenli güncellemeler kullanmak gibi güçlü güvenlik uygulamalarını sürdürmenin önemini sürekli vurguluyoruz.” Açıklamada şu bağlantı yer aldı: TeamViewer Desteğinden güvenli gözetimsiz erişim için en iyi uygulamalar.