TeamViewer’ın popülaritesi ve uzaktan erişim yetenekleri, onu kendi çıkarları için sistemlerden ödün vermek isteyenler için çekici bir hedef haline getiriyor.
Tehdit aktörleri, TeamViewer’ı yasadışı amaçları doğrultusunda hedef alıyor çünkü bu, potansiyel güvenlik zayıflıklarına sahip, yaygın olarak kullanılan bir uzak masaüstü yazılımıdır.
TeamViewer’daki güvenlik açıklarından yararlanmak, sistemlere ve hassas verilere yetkisiz erişim sağlayarak siber suçluların veri hırsızlığı, mali dolandırıcılık gibi çeşitli kötü amaçlı faaliyetler gerçekleştirmesine ve hatta başka hedeflere saldırı başlatmak için güvenliği ihlal edilmiş sistemleri kullanmasına olanak sağlayabilir.
2022’nin sonlarında, QiAnXin Tehdit İstihbarat Merkezi, Inno Setup ile oluşturulan resmi olmayan ancak görünüşte geçerli kurulum paketlerini dağıtmak için arama sıralamaları değiştirilmiş sahte yazılım indirme siteleri kullanan yeni bir tehdit aktörü grubu tespit etti.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Rus Hackerlar EDR’yi Atladı
Saldırganların karmaşık saldırı zinciri ve manuel operasyonları nedeniyle ilişkilendirme zordu.
2023’ün ortalarında TeamViewer’ın DLL Sideloading’i SFTP aracılığıyla teslim edildi ve bu, 2021’de güvenlik araştırmacılarına yönelik saldırılarla bir bağlantı olduğunu ima etti.
Yürütme zinciri, EDR uç nokta tespitini atlamak için OpenSSH’den yararlanarak SSH ters tünellerine odaklanır.
Saldırganlar, TeamViewer ele geçirme bileşenini sunmak için sftp-server.exe’yi kullandı ve MINEBRIDGE RAT’ın kullanıldığını ortaya çıkardı.
AnyDesk ve PsExec de yanal yayılma için kullanıldı ve veri şifresinin çözülmesi kurbanın kullanıcı bağlamında gerçekleşti.
Toplamda, bu kimlik avı operasyonunda Amadey Trojan’ın esrarengiz bir şekilde kullanıldığı dört meşru imza kullanıldı; bunlardan bazıları raporda hala geçerli.
- GUTTON LLC: FC2BDF5BD23470669F63B9A5BAE6305160DCBC67
- NTB DANIŞMANLIK HİZMETLERİ A.Ş: A05536924F1BA8F99BA6B1AA3C97B809E32A477E
- OOO KAFİYE: A1C753F5271F24B8067AC864BB4192C37265840C
- KATEN LLC: 9A865A28A85CABC3F79C88BE54AF3B20962BC35C
Araştırmacılar, eski C&C talimatlarını ortadan kaldıran, LLVM gizleme özelliğine sahip yeni bir MINEBRIDGE RAT çeşidini ortaya çıkardı.
Örnek, önceki komut dosyalarıyla tutarlı olarak SSH bileşeni indirmeye yönelik PowerShell komutlarını yürütmek üzere sunucudan bir DLL alır.
İlişkilendirme
Grup, alan adı kayıt sürelerine göre 2021 yılından beri aktiftir. IP’lerini gizlemek için Cloudflare CDN’yi kullandılar, ancak MINEBRIDGE ile ilgili çok az OSINT raporu izlemeyi zorlaştırıyordu.
QiAnXin’in verileri, kötü amaçlı alan adlarının Cloudflare CDN aşaması sırasında Çin ana karasındaki hem kurumsal özel hatlarla hem de evdeki geniş bantla iletişim kurduğunu gösteriyor.
İlgili işletmeler aşağıdaki sektörlerdeydi: –
- Kripto para
- Elektronik parçalar
- Teknoloji
- Yatırım
- Sağlık hizmeti
Son bulgular Storm-0978 (RomCom), TA505 ve MINEBRIDGE’in güçlü bağlantılara sahip olduğunu ve muhtemelen ekonomik motivasyonların ötesinde ortak faaliyetlere işaret ettiğini gösteriyor.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.