黑客从哪里获得渗透凭证？是否可以阻止它？

Huntress 最近的一份报告发现 ，网络犯罪分子再次使用合法的远程访问工具TeamViewer来最初渗透企业设备并尝试部署勒索软件。

攻击者首次广泛使用 TeamViewer 是在 2016 年 3 月部署 Surprise 勒索软件程序期间观察到的。与此同时，TeamViewer 的代表向公众保证，未经授权的访问之所以成为可能，是因为用户凭据泄露，而不是远程访问程序本身的漏洞。

“由于 TeamViewer 是一款广泛使用的软件，许多在线犯罪分子试图使用受损的帐户凭据登录目标系统，以查看是否存在具有相同凭据的 TeamViewer 帐户，”该软件提供商当时解释道。

回到当前的恶意活动，可以肯定地说，TeamViewer 再次被网络犯罪分子所利用。在Huntress审查的攻击链中，攻击者使用TeamViewer渗透目标系统，并试图使用“PP.bat”批处理文件部署恶意负载，该批处理文件通过rundll32.exe命令 启动恶意DLL文件。

尽管专家检查的攻击并未成功，但正如防病毒软件反映的那样，攻击者留下的“面包屑”足以进行调查。

Huntress 无法查明这些攻击属于哪个已知勒索软件组，但指出与 2022 年 9 月泄露的使用 LockBit Black 设计器创建的 LockBit 勒索软件有相似之处 。

尽管目前还不清楚黑客这次是如何获得对 TeamViewer 实例的控制权，但公司代表提醒说，为了防范此类攻击，遵循网络安全的基本原则至关重要：使用强密码、双因素身份验证、白名单并且不要忘记定期更新使用的 BY。

这是防止未经授权的访问并保护公司网络免受损害的唯一方法。