黑客从哪里获得渗透凭证?是否可以阻止它?
Huntress 最近的一份报告发现 ,网络犯罪分子再次使用合法的远程访问工具TeamViewer来最初渗透企业设备并尝试部署勒索软件。
攻击者首次广泛使用 TeamViewer 是在 2016 年 3 月部署 Surprise 勒索软件程序期间观察到的。与此同时,TeamViewer 的代表向公众保证,未经授权的访问之所以成为可能,是因为用户凭据泄露,而不是远程访问程序本身的漏洞。
“由于 TeamViewer 是一款广泛使用的软件,许多在线犯罪分子试图使用受损的帐户凭据登录目标系统,以查看是否存在具有相同凭据的 TeamViewer 帐户,”该软件提供商当时解释道。
回到当前的恶意活动,可以肯定地说,TeamViewer 再次被网络犯罪分子所利用。在Huntress审查的攻击链中,攻击者使用TeamViewer渗透目标系统,并试图使用“PP.bat”批处理文件部署恶意负载,该批处理文件通过rundll32.exe命令 启动恶意DLL文件。
尽管专家检查的攻击并未成功,但正如防病毒软件反映的那样,攻击者留下的“面包屑”足以进行调查。
Huntress 无法查明这些攻击属于哪个已知勒索软件组,但指出与 2022 年 9 月泄露的使用 LockBit Black 设计器创建的 LockBit 勒索软件有相似之处 。
尽管目前还不清楚黑客这次是如何获得对 TeamViewer 实例的控制权,但公司代表提醒说,为了防范此类攻击,遵循网络安全的基本原则至关重要:使用强密码、双因素身份验证、白名单并且不要忘记定期更新使用的 BY。
这是防止未经授权的访问并保护公司网络免受损害的唯一方法。
发表评论
您还未登录,请先登录。
登录