Huntress’teki siber güvenlik araştırmacıları, siber saldırılarda son dönemde yaşanan artışa ilişkin bir uyarı yayınladı ve LockBit fidye yazılımını dağıtmak için TeamViewer’dan yararlanan siber suçlular tarafından kullanılan yeni bir stratejiye dikkat çekti.
TeamViewer’ın büyük ölçekli siber saldırılarda istismar edildiği bir geçmişi var. Son zamanlarda siber güvenlik uzmanları, siber suçluların güvenilir bir uzaktan erişim aracı olan TeamViewer’ı kullanarak LockBit fidye yazılımını dağıtma girişimlerinde bir kez daha şaşırtıcı bir artış gözlemledi; bu durum kullanıcıları potansiyel olarak veri şifreleme ve gasp taleplerine maruz bırakıyor.
Araştırmacılar, saldırganların kurban cihazlarına ilk erişim sağlamak ve ardından kritik dosyaları şifreleyen ve şifrenin çözülmesi için önemli miktarda fidye ödemesi talep eden agresif LockBit fidye yazılımını dağıtmak için TeamViewer’daki güvenlik açıklarından yararlandığını iddia ediyor.
Her ne kadar enfeksiyonlar kontrol altına alınmış ya da önlenmiş olsa da, izinsiz girişlerle resmi olarak ilişkilendirilen bir fidye yazılımı operasyonu bulunmuyor. Yük, LockBit fidye yazılımı şifreleyicilerine benziyordu. 2022’de LockBit 3.0 için fidye yazılımı oluşturucusunun sızdırıldığını ve Bl00dy ve Buhti çetelerinin kampanyalarını başlatmasına olanak sağladığını belirtmekte fayda var.
Bilginiz olsun diye söylüyorum, TeamViewer kurumsal dünyada popüler bir uzaktan erişim aracıdır. Ne yazık ki, yıllardır uzak masaüstlerine erişmek ve kötü amaçlı dosyaları yürütmek için dolandırıcılar ve fidye yazılımı aktörleri tarafından istismar ediliyor. Mart 2016’da çok sayıda kurban, cihazlarının TeamViewer aracılığıyla ihlal edildiğini ve Sürpriz fidye yazılımıyla dosyaları şifrelemeye çalışıldığını bildirdi.
O zamanlar TeamViewer’ın yetkisiz erişimi, saldırganların sıfır gün güvenlik açığından yararlanmak yerine kullanıcıların sızdırılan kimlik bilgilerini kullandığı kimlik bilgisi doldurmayla ilişkilendiriliyordu.
Yazılım satıcısı, çevrimiçi suçluların genellikle aynı kimlik bilgilerine sahip ilgili hesapları bulmak için güvenliği ihlal edilmiş hesaplarla oturum açtığını, bunun da potansiyel olarak kötü amaçlı yazılım veya fidye yazılımı yüklemesi için atanmış tüm cihazlara erişmelerine olanak sağladığını açıkladı.
Huntress SOC analistlerinin en son analizi, siber suçluların eski teknikleri kullanmaya devam ettiğini, TeamViewer’ı cihazları ele geçirmek ve fidye yazılımı dağıtmak için kötüye kullanmaya devam ettiğini ortaya koyuyor. Huntress tarafından gözlemlenen örneklerden birinde, tek bir tehdit aktörü TeamViewer’ı kullanarak masaüstüne bir DOS toplu iş dosyası dağıtarak ve bir DLL yükünü çalıştırarak iki uç noktanın güvenliğini ihlal etti.
Her iki durumda da Huntress araştırmacıları benzerlikler gözlemledi ve bu durum ortak bir saldırganın sorumlu olabileceğini ima etti. Huntress, güvenliği ihlal edilen ilk uç noktaya birden fazla çalışanın erişimini gözlemledi ve bu da bunun meşru idari görevler için kullanıldığını gösterdi. 2018’den bu yana çalışan ikinci uç noktanın üç ay boyunca günlüklerde hiçbir etkinliği yoktu, bu da onun daha az izlendiğini ve saldırganlar için potansiyel olarak daha çekici olduğunu gösteriyor.
“Her uç noktaya yönelik bir araştırma, her uç noktaya ilk erişimin TeamViewer aracılığıyla sağlandığını gösterdi. TeamViewer links_incoming.txt günlük dosyasındaki son giriş, tehdit aktörünün her uç noktaya erişimini gösterdi.”
Avcı
TeamViewer, yetkisiz erişim durumlarını aracın varsayılan güvenlik ayarlarındaki sorunlara bağlar. Saldırıların parola korumalı LockBit 3 DLL’yi kullandığı görülüyor. Ancak Bleeping Computer, VirusTotal’a yüklenen ve LockBit Black olarak algılanan farklı bir örnek tespit etti, ancak standart LockBit 3.0 fidye yazılımı notunu kullanmıyordu, bu da geliştiricinin oluşturulmasında başka bir fidye yazılımı çetesinin rol oynadığını gösteriyor.
Raporlar, saldırganların henüz yaygın bir saldırı başlatmadığını gösteriyor, bu da genişleme potansiyeli olduğu anlamına geliyor. Kendinizi korumak için TeamViewer yazılımını güncelleyin, iki faktörlü kimlik doğrulamayı etkinleştirin, şüpheli bağlantılara karşı dikkatli olun ve potansiyel tehditleri tespit edip önlemek için antivirüs, kötü amaçlı yazılımdan koruma ve uç nokta algılama ve yanıt (EDR) araçları gibi hayati siber güvenlik çözümlerine yatırım yapın.
En son gelişmeye ilişkin bilgi edinmek için Xage Security’nin CEO’su Geoffrey Mattson’a ulaştık ve kendisi TeamViewer’ın kötüye kullanılmasıyla ilgili aşağıdaki açıklamayı paylaştı:
“Bu saldırı, siber saldırganların eski güvenlik ve sanallaştırma yazılımlarındaki güvenlik açıklarından yararlanarak tarayıcılar ve uç noktalar gibi geleneksel hedeflerden uzaklaştığı siber tehditlerde giderek artan bir eğilimin altını çiziyor. Özellikle VPN’ler, Güvenlik Duvarları, VDI’ler ve Uzaktan Erişim Araçları çok aşamalı saldırılar için ana vektörler haline geldi ve Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) “Uzaktan İzleme ve Yönetim Yazılımının Kötü Amaçlı Kullanımına Karşı Koruma” gibi yeni tavsiyeler yayınlamasına neden oldu. .”
Geoffrey, “Güvenlik açığı başka bir zorlukla daha da artıyor: TeamViewer genellikle şirketlerindeki resmi seçenekten daha kolay erişim çözümleri arayan çalışanlar tarafından “gölge BT” olarak kuruluyor” dedi. “Bu, güvenlik ve BT ekiplerinin kendi ortamlarında TeamViewer’ın varlığından bile haberdar olamayacakları ve dolayısıyla bu saldırı vektörüne maruz kaldıklarını bile bilmeyecekleri anlamına geliyor. Mevcut kurumsal uzaktan erişim çözümlerinin karmaşıklığı, çalışanların güvenlik riskleri yaratmasına yol açmaktadır. Kullanım kolaylığı bir güvenlik sorunudur” diye uyardı.
İLGİLİ MAKALELER
- TeamViewer 2016’da Çinli Hackerların Hedefindeydi
- Su kaynağı zehirlenmesinde çalışanın bilgisayarı TeamViewer aracılığıyla saldırıya uğradı
- TeamViewer Güvenlik Açığı, Saldırganların Bilgisayarların Tam Kontrolünü Ele Geçirmesine Olanak Sağlıyor
- Yeni ZLoader çeşidini dağıtan sahte TeamViewer indirme reklamları
- Bilgisayar korsanları TeamViewer’ın truva atı haline getirilmiş sürümüyle elçilikleri hedef alıyor