网警通告TeamViewer远程工具已被黑客攻破 请停止使用

avatar 2019年10月12日12:31:23 评论

深圳网警、江苏网警已公告实锤,网友也电话确认,很多公司网络部也公司内部发了消息。

看到国外对 APT41 的分析,搞了这么多年安全,还是吓了一跳,这个世界真比你想像中还要可怕 。

1、APT41 攻破了 TeamViewer 公司,使其能够访问安装了 TeamViewer 的任何系统。
2、名为 MESSAGETAP 的电信公司的 Linux 系统中发现了新的 APT41 恶意软件家族,其可根据特征监控电话和 SMS 记录。
3、APT41 实施了软件供应链攻击,包括CCleaner、Netsarang、league of legends、fifa online 3 等。

深圳市网络与信息安全信息通报中心  紧急发出几份申明。
网警通告TeamViewer远程工具已被黑客攻破 请停止使用
 TeamViewer是一个能在任何防火墙和NAT代理的后台用于远程控制的应用程序,桌面共享和文件传输的简单且快速的解决方案。为了连接到另一台计算机,只需要在两台计算机上同时运行 TeamViewer 即可,而不需要进行安装(也可以选择安装,安装后可以设置开机运行)。该软件第一次启动在两台计算机上自动生成伙伴 ID。只需要输入你的伙伴的ID到TeamViewer,然后就会立即建立起连接。
不过今天有一个刷遍朋友圈的消(噩)息(耗)
有业内大佬分析:
其实Teamviewer很早就被各大黑客组织盯上了,被利用作为后门程序。早在2016年也报道出了黑客组织入侵的事件
该事件中,恶意软件启动TeamViewer后,其会获取TeamViewer窗口的用户ID(leon)以及密码(vivi),并将主机名+ “|” + 用户名(well),以及固定的一串VPD开头的值(vip),构造成数据包的主要内容。

Vip这个字段的功能,在溯源分析后才发现其作用。

硬编码C2地址:

从抓包结果可见,与分析结果一致。

当攻击者获取到受害者的Teamviewer账号和密码后,其就会进行回连以便控制受害者电脑并进行进一步操作。

顺便提供给大家防护措施:
  1. 近期停止使用TeamViewer软件
  2. 在防火墙中禁止用于TeamViewer 远程通讯端口 5938
  3. 打开防火墙,设置禁止teamviewer.com 访问
  4. 网管在路由器开启权限,禁止teamviewer.com进出

原文地址Teamviewer疑似遭遇APT组织攻击停用远程工具TeamViewer?深圳市网络信息安全中心发出了通报

avatar

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: