Các tác nhân đe dọa đang sử dụng TeamViewer để giành quyền truy cập ban đầu vào các thiết bị và cố gắng mã hóa dữ liệu trên các thiết bị bị xâm phạm bằng phần mềm ransomware.
TeamViewer là một công cụ truy cập từ xa hợp pháp được sử dụng rộng rãi. Thật không may, công cụ này đã bị những kẻ lừa đảo và nhóm ransomware lạm dụng nó để truy cập vào máy tính để bàn từ xa, tải và thực thi các tệp độc hại mà không bị cản trở.
Một trường hợp tương tự được báo cáo lần đầu tiên vào tháng 3 năm 2016, khi nhiều nạn nhân xác nhận với BleepingComputer rằng thiết bị của họ đã bị xâm phạm bằng cách sử dụng TeamViewer để lây nhiễm phần mềm ransomware Surprise.
Vào thời điểm đó, giải thích cho việc truy cập trái phép, TeamViewer cho biết những kẻ tấn công không khai thác lỗ hổng zero-day trong phần mềm mà chúng sử dụng thông tin xác thực bị rò rỉ của người dùng.
TeamViewer bị nhắm mục tiêu
Báo cáo mới từ Huntress cho thấy tội phạm mạng vẫn chưa từ bỏ kỹ thuật cũ này mà vẫn chiếm quyền điều khiển các thiết bị thông qua TeamViewer để thử và triển khai ransomware.
Trong cả hai trường hợp được ghi nhận, các tệp nhật ký (log) được phân tích cho thấy các kết nối đến từ cùng một nguồn, điều này chỉ ra khả năng do cùng một kẻ tấn công.
Kẻ tấn công đã cố gắng triển khai phần mềm ransomware bằng cách sử dụng tệp DOS batch (PP.bat), tệp này kích hoạt tệp DLL độc hại (payload) thông qua lệnh rundll32.exe.
Cuộc tấn công vào thiết bị đầu tiên đã thành công nhưng đã được kiểm soát. Trường hợp thứ hai, sản phẩm chống vi-rút đã nỗ lực ngăn chặn khiến payload không được thực thi.
Mặc dù không thể xác định chắc chắn nhóm ransomware nào đã thực hiện các cuộc tấn công, nhưng Huntress lưu ý rằng nó tương tự với các công cụ mã hóa của LockBit.
Mặc dù không rõ bằng cách nào các tác nhân đe dọa hiện đang kiểm soát các phiên bản TeamViewer, công ty chia sẻ rằng:
"Phân tích của chúng tôi cho thấy rằng hầu hết các trường hợp truy cập trái phép đều liên quan đến việc làm suy yếu cài đặt bảo mật mặc định của TeamViewer. Điều này thường bao gồm việc sử dụng mật khẩu dễ đoán do sử dụng phiên bản sản phẩm đã lỗi thời. Chúng tôi liên tục nhấn mạnh tầm quan trọng của việc duy trì các biện pháp bảo mật mạnh mẽ, như sử dụng mật khẩu phức tạp, xác thực hai yếu tố, danh sách cho phép và cập nhật thường xuyên lên các phiên bản phần mềm mới nhất. Các bước này rất quan trọng trong việc bảo vệ chống truy cập trái phép.
Để hỗ trợ thêm cho người dùng trong việc duy trì hoạt động an toàn, chúng tôi đã phát hành một nhóm các biện pháp tốt nhất để truy cập an toàn mà không cần giám sát. Chúng tôi đặc biệt khuyến khích tất cả người dùng tuân theo các nguyên tắc này để nâng cao trạng thái bảo mật của họ."
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Data Center Atlassian và Máy chủ Confluence dễ bị tấn công bởi lỗ hổng thực thi mã từ xa nghiêm trọng, ảnh hưởng đến các phiên bản được phát hành trước ngày 5 tháng 12 năm 2023
Tín nhiệm mạng | Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, bao gồm một lỗ hổng zero-day đã bị khai thác trong thực tế.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã phát hiện hơn 178.000 tường lửa next-generation của SonicWall có giao diện quản lý có thể truy cập trực tuyến có nguy cơ bị tấn công từ chối dịch vụ và tiềm ẩn khả năng bị RCE
Tín nhiệm mạng | Chiến dịch phát tán mã độc đánh cắp thông tin Phemedrone đã khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL
Tín nhiệm mạng | Có tới 5 dòng mã độc khác nhau đã được các tác nhân đe dọa triển khai như một phần của các hoạt động sau khai thác, lợi dụng hai lỗ hổng zero-day trong các thiết bị VPN Ivanti Connect Secure (ICS) kể từ đầu tháng 12 năm 2023
Tín nhiệm mạng | GitLab đã phát hành các bản cập nhật bảo mật để giải quyết hai lỗ hổng nghiêm trọng, bao gồm một lỗ hổng có thể bị khai thác để chiếm đoạt tài khoản mà không yêu cầu bất kỳ tương tác nào của người dùng.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
