Разработчики роскомпрограмм снова используют TeamViewer для получения первоначального доступа к конечным точкам организаций и пытаются развернуть шифровальщиков на основе утечки сборки роскомпрограмм LockBit.
TeamViewer - это легитимный инструмент удаленного доступа, широко используемый в корпоративном мире и ценящийся за свою простоту и возможности.
К сожалению, этот инструмент также облюбовали мошенники и даже разработчики программ-вымогателей, которые используют его для получения доступа к удаленным рабочим столам, беспрепятственно сбрасывая и выполняя вредоносные файлы.
Впервые о подобном случае стало известно в марте 2016 года, когда многочисленные жертвы подтвердили на форумах genshin что их устройства были взломаны с помощью TeamViewer для шифрования файлов с помощью Surprise ransomware.
В то время компания TeamViewer объясняла несанкционированный доступ подменой учетных данных, то есть злоумышленники не использовали уязвимость нулевого дня в программном обеспечении, а воспользовались утечкой учетных данных пользователей.
"Поскольку TeamViewer является широко распространенным программным обеспечением, многие сетевые преступники пытаются войти в систему, используя данные взломанных учетных записей, чтобы выяснить, существует ли соответствующая учетная запись TeamViewer с теми же учетными данными". пояснил производитель программного обеспечения в то время.
"Если это так, то, скорее всего, они смогут получить доступ ко всем назначенным устройствам, чтобы установить вредоносное ПО или программу-вымогатель".
TeamViewer снова стала мишенью
Новый отчет от Huntress показывает, что киберпреступники не отказались от этих старых методов и по-прежнему захватывают устройства через TeamViewer, чтобы попытаться установить на них программы-вымогатели.
В проанализированных файлах журналов (connections_incoming.txt) в обоих случаях были обнаружены соединения из одного и того же источника, что указывает на общность действий злоумышленников.
На первой скомпрометированной конечной точке Huntress увидела в журналах многочисленные доступы сотрудников, что указывает на то, что программное обеспечение активно использовалось персоналом для выполнения законных административных задач.
На второй конечной точке, которую Huntress обнаружил с 2018 года, в логах не было никакой активности в течение последних трех месяцев, что указывает на то, что за ней реже следили, что, возможно, сделало ее более привлекательной для злоумышленников.
В обоих случаях злоумышленники пытались развернуть полезную нагрузку ransomware с помощью пакетного файла DOS (PP.bat), размещенного на рабочем столе, который выполнял DLL-файл (полезную нагрузку) с помощью команды rundll32.exe.
Атака на первую конечную точку прошла успешно, но была сдержана. На втором антивирусный продукт остановил атаку, вынудив повторить безуспешные попытки выполнения полезной нагрузки.
Хотя Huntress не удалось с уверенностью отнести атаки к каким-либо известным бандам, специализирующимся на вымогательстве, они отмечают, что они похожи на шифровальщиков LockBit, созданных с помощью утечки сборки LockBit Black.
В 2022 году сборщик вымогательских программ для LockBit 3.0 был утеченвместе с Bl00dy и Buhti банды Bl00dy и Buhti быстро запустили свои собственные кампании с использованием этого конструктора.
Утечка сборки позволяет создавать различные версии шифровальщика, включая исполняемый файл, DLL и зашифрованную DLL, для запуска которой требуется пароль.
Судя по IOC, предоставленным Huntress, атаки через TeamViewer, похоже, используют защищенную паролем DLL LockBit 3.
Хотя genshin не удалось найти конкретный образец, который видел Huntress, мы обнаружили другой образец загруженный на VirusTotal на прошлой неделе.
Этот образец обнаруживается как LockBit Black, но в нем не используется стандартная заметка о вымогательстве LockBit 3.0, что указывает на то, что он был создан другой бандой, использующей утечку сборщика вымогательского ПО.
Хотя пока неясно, каким образом угрожающие субъекты захватывают контроль над экземплярами TeamViewer, компания поделилась с genshin следующим заявлением об атаках и о защите инсталляций.
Если тебе понравилась статья - подпишись на канал, чтобы не пропустить ещё много полезных статей!
Также ты можешь читать меня здесь:
- Телеграм: https://t.me/gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru