TeamViewer ถูกโจมตีเพื่อเข้าถึงช่องทาง Remote Access และติดตั้ง Ransomware

นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Huntress ได้ออกมาแจ้งเตือนเกี่ยวกับการโจมตีทางไซเบอร์ที่กำลังถูกพบเพิ่มมากขึ้นเมื่อเร็ว ๆ นี้ โดยการใช้เทคนิคใหม่จากผู้ไม่หวังดีที่ใช้ TeamViewer เพื่อนำ LockBit ransomware มาติดตั้งบนระบบ

TeamViewer มีประวัติการถูกโจมตีในวงกว้างมาก่อนหน้านี้ โดยเมื่อล่าสุดผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์พบว่า มีการโจมตีโดยผู้ไม่หวังดีเพิ่มขึ้นจากการใช้ TeamViewer ซึ่งเป็นเครื่องมือในการเข้าถึงจากระยะไกล เพื่อนำ LockBit ransomware มาใช้ในการโจมตี ซึ่งอาจทำให้ผู้ใช้งานตกเป็นเป้าหมายของการเข้ารหัสข้อมูล และการเรียกค่าไถ่

นักวิจัยระบุว่า ผู้ไม่หวังดีใช้ช่องโหว่ใน TeamViewer เพื่อเข้าถึงอุปกรณ์ของเหยื่อ แล้วนำ LockBit ransomware มาใช้ในการโจมตี ซึ่งจะทำการเข้ารหัสไฟล์ที่สำคัญ และเรียกค่าไถ่จำนวนมากสำหรับการถอดรหัส

ถึงแม้การติดมัลแวร์จะถูกควบคุม หรือป้องกันไว้ได้ โดยไม่มีการการดำเนินการจาก Ransomware ในการโจมตีครั้งนี้ ซึ่งจากเพย์โหลดดังกล่าวมีลักษณะคล้ายกับตัวเข้ารหัสของ LockBit ransomware โดยเป็นที่น่าสังเกตว่าในปี 2022 ตัวสร้าง Ransomware สำหรับ LockBit 3.0 ได้รั่วไหลออกมา ทำให้กลุ่ม Bl00dy และ Buhti สามารถนำมาใช้ในการเริ่มแคมเปญการโจมตีของพวกเขาได้

TeamViewer เป็นเครื่องมือการเข้าถึงจากระยะไกลที่ได้รับความนิยมในองค์กรต่าง ๆ ซึ่งทำให้มันถูกนำมาใช้โดยผู้ไม่หวังดี และกลุ่ม Ransomware เพื่อเข้าถึงเครื่องเหยื่อจากระยะไกล และเรียกใช้ไฟล์ที่เป็นอันตราย ในเดือนมีนาคม 2016 มีรายงานจำนวนมากเกี่ยวกับเครื่องมือ TeamViewer ที่ถูกใช้ในการโจมตี และพยายามเข้ารหัสไฟล์ด้วย Surprise ransomware

ในช่วงนั้นการเข้าถึง TeamViewer โดยไม่ได้รับอนุญาต เกิดจากการโจมตีโดยใช้ชื่อผู้ใช้งาน และรหัสผ่านทึเคยรั่วไหล (credential stuffing) โดยผู้โจมตีใช้ข้อมูลประจำตัวที่รั่วไหลของผู้ใช้ แทนที่จะใช้ช่องโหว่ Zero-day

ผู้ให้บริการ TeamViewer ระบุว่า ผู้ไม่หวังดีจะเข้าสู่ระบบด้วยบัญชีที่ถูกโจมตี เพื่อค้นหาบัญชีที่เกี่ยวข้องกับข้อมูลประจำตัวผู้ใช้ ซึ่งอาจทำให้ผู้ไม่หวังดีสามารถเข้าถึงอุปกรณ์ทั้งหมด และติดตั้งมัลแวร์หรือ Ransomware ได้

การวิเคราะห์ล่าสุดจากนักวิเคราะห์ SOC ของ Huntress พบว่าผู้ไม่หวังดียังคงใช้เทคนิคเก่า ๆ อย่างต่อเนื่อง โดยใช้ TeamViewer เพื่อเข้าควบคุมอุปกรณ์ และใช้ Ransomware หนึ่งในกรณีที่พบโดย Huntress ผู้ไม่หวังดีเพียงรายเดียวใช้ TeamViewer เพื่อโจมตี endpoint สองอุปกรณ์โดยการใช้ DOS batch file บนเดสก์ท็อป และ DLL payload

ในทั้งสองกรณี นักวิจัยจาก Huntress สังเกตความคล้ายคลึงกัน ซึ่งแสดงให้เห็นว่าอาจมีผู้โจมตีร่วมกัน โดย Huntress พบการเข้าถึงของพนักงานหลายคนไปยัง endpoint เครื่องแรก ซึ่งแสดงถึงการใช้งานสำหรับงานบริหารจัดการที่ถูกต้องตามปกติ ส่วน endpoint เครื่องที่สองซึ่งเริ่มดำเนินการมาตั้งแต่ปี 2018 ไม่มีการดำเนินการใด ๆ เป็นเวลาสามเดือน ซึ่งอาจไม่ได้รับการเฝ้าระวัง จึงทำให้ดึงดูดการโจมตีจากผู้ไม่หวังดีได้

การตรวจสอบแต่ละ endpoint แสดงให้เห็นว่าการเข้าถึง endpoint แต่ละจุดเบื้องต้นทำได้ผ่าน TeamViewer รายการสุดท้ายจากไฟล์ logs 'connections_incoming.txt' ของ TeamViewer แสดงการเข้าถึง endpoint แต่ละจุดของผู้ไม่หวังดี

TeamViewer ถือว่ากรณีการเข้าถึงที่ไม่ได้รับอนุญาต เกิดขึ้นเนื่องจากปัญหาในการตั้งค่าความปลอดภัยเริ่มต้นของเครื่องมือ การโจมตีนั้นดูเหมือนจะใช้ LockBit 3 DLL ที่มีการป้องกันด้วยรหัสผ่าน อย่างไรก็ตาม Bleeping Computer ระบุตัวอย่างอื่นที่ถูกอัปโหลดไปยัง VirusTotal ซึ่งตรวจพบว่าเป็น LockBit Black ไม่ใช่ LockBit 3.0 ransomware อาจแสดงให้เห็นถึงการมีส่วนร่วมของกลุ่มแรนซัมแวร์อื่นในการสร้างตัวเข้ารหัส

รายงานแสดงให้เห็นว่าผู้โจมตียังไม่ได้เปิดตัวแคมเปญที่มีลักษณะทั่วไป ซึ่งหมายความว่ายังมีโอกาสในการขยายการโจมตีเพิ่มมากขึ้น

  • ให้อัปเดตซอฟต์แวร์ TeamViewer ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ
  • เปิดใช้งาน two-factor authentication
  • ระมัดระวังการเชื่อมต่อที่น่าสงสัย
  • ลงทุนในโซลูชันความปลอดภัยทางไซเบอร์ เช่น antivirus, anti-malware, endpoint detection and response (EDR) เพื่อตรวจจับ และป้องกันความเสี่ยงที่เป็นไปได้

ที่มา : hackread