TeamViewer вернулся в арсенал злоумышленников: как легитимный софт помогает взламывать крупные компании

TeamViewer вернулся в арсенал злоумышленников: как легитимный софт помогает взламывать крупные компании

Где хакеры берут учётные данные для проникновения и возможно ли его предотвратить?

image

В недавнем отчёте компании Huntress было выявлено , что киберпреступники снова используют TeamViewer, легитимный инструмент удалённого доступа, для первоначального проникновения на корпоративные устройства и попыток развёртывания шифровальщиков.

Впервые массовое использование TeamViewer злоумышленниками наблюдалось в марте 2016 года при развёртывании программы-вымогателя Surprise. Тогда же представители TeamViewer заверили общественность, что несанкционированный доступ стал возможен благодаря утечкам учётных данных пользователей, а не уязвимости в самой программе для удалённого доступа.

«Поскольку TeamViewer является широко распространённым программным обеспечением, многие онлайн-преступники пытаются войти в целевую систему, используя данные скомпрометированных учётных записей, чтобы выяснить, существует ли учётная запись TeamViewer с такими же учётными данными», — объяснил тогда поставщик программного обеспечения.

Возвращаясь к текущей вредоносной кампании, можно с уверенностью сказать, что TeamViewer снова в ходу у киберпреступников. В рассмотренной Huntress цепочке атаки злоумышленники проникли в целевую систему с помощью TeamViewer и пытались развернуть вредоносную полезную нагрузку с помощью батника «PP.bat», который запускал вредоносный DLL-файл через команду rundll32.exe.

Хотя рассмотренная специалистами атака и не увенчалась успехом, так как была отражена антивирусным ПО, оставленных злоумышленниками «хлебных крошек» стало достаточно для проведения расследования.

В Huntress не смогли точно установить, к какой известной вымогательской группе относились эти атаки, однако отметила сходство с шифровальщиками LockBit, созданными с использованием утекшего в сентябре 2022 года конструктора LockBit Black.

Хотя неясно, каким именно образом хакеры смогли получить контроль над экземплярами TeamViewer на этот раз, представители компании напомнили, что для защиты от подобных атак принципиально важно соблюдать основные принципы кибербезопасности: использовать сложные пароли, двухфакторную аутентификацию, белые списки и не забывать про регулярное обновление используемого ПО.

Только так можно предотвратить несанкционированный доступ и обезопасить сети своей компании от компрометации.

Ученые доказали: чтение нашего канала продлевает жизнь!

Ладно, не доказали. Но мы работаем над этим

Поучаствуйте в эксперименте — подпишитесь