TeamViewer 违规行为的幕后黑手

2024 年 6 月 6 日 – TeamViewer 检测到公司内部 IT 环境存在异常情况。

TeamViewer 确认，2024 年 6 月 26 日星期三，他们的安全团队检测到其内部企业 IT 环境存在异常情况。

该公司向客户保证，该环境“完全独立于产品环境”。

TeamViewer 更新

该公司在 12:00 左右更新了新闻稿，其中写道：

安全更新 – 2024 年 6 月 28 日，下午 12:10（欧洲中部夏令时）

TeamViewer 安全团队与全球领先的网络安全专家组成的综合工作组全天候使用各种手段调查此事件。

我们不断与其他威胁情报提供商和相关部门进行交流，以协助调查。

目前的调查结果表明，6 月 26 日星期三发生的一次攻击与我们公司 IT 环境中标准员工帐户的凭据有关。

基于持续的安全监控，我们的团队发现了此帐户的可疑行为，并立即采取了事件响应措施。

结合我们的外部事件响应支持，我们目前将此活动归咎于名为 APT29 / Midnight Blizzard 的威胁行为者。

根据目前的调查结果，该攻击被控制在公司 IT 环境中，没有证据表明威胁行为者获得了对我们产品环境或客户数据的访问权限。

遵循最佳实践架构，我们对企业 IT、生产环境和 TeamViewer 连接平台进行了严格隔离。

这意味着我们将所有服务器、网络和帐户严格分开，以帮助防止不同环境之间的未经授权的访问和横向移动。

这种隔离是我们“纵深防御”方法中的多层保护之一。

安全对我们来说至关重要，它深深植根于我们的 DNA 中。

因此，我们致力于与利益相关者进行透明沟通。

随着新信息的出现，我们将继续在信任中心更新调查状态。我们预计将在今天结束前发布下一次更新（欧洲中部夏令时）。

NCC集团警报

此前，网络安全公司 NCC Group 警告其客户“ APT组织对 TeamViewer 远程访问和支持平台造成重大损害”。 

Mastodon 上一位名叫杰弗里 (Jeffrey) 的安全专家分享了这一警告。

发布的屏幕截图显示“AMBER+STRICT”TLP，这意味着敏感信息仅指定用于有限披露，仅限于参与组织。

健康-ISAC 通知

Health-ISAC（信息共享和分析中心）组织警告称，TeamViewer 可能已被 Cozy Bear 黑客攻击，Cozy Bear 是一个由俄罗斯情报部门控制的国家资助的黑客。 

2024 年 6 月 27 日，Health-ISAC 从值得信赖的情报合作伙伴处收到信息，称 APT29 正在积极利用 TeamViewer。

Health-ISAC 建议检查日志中是否有任何异常的远程桌面流量。

据观察，威胁行为者利用远程访问工具。

TeamViewer 被与 APT29 相关的威胁行为者利用。

APT29 集团

APT29 也有其他名称，例如 Cozy Bear、NOBELIUM 和 Midnight Blizzard。

来源：APT29 是俄罗斯国家资助的黑客组织，与俄罗斯对外情报局 (SVR) 有联系。

主要活动：APT29 以其网络间谍活动而闻名。

该组织以政府、国际组织、公司和学术机构为目标，收集敏感信息。

技术与策略：

鱼叉式网络钓鱼：APT29 经常使用鱼叉式网络钓鱼活动来获得对目标系统的初始访问权限。这些网络钓鱼电子邮件高度个性化，针对组织内的特定个人。

开发恶意软件：该组织以开发复杂的恶意软件而闻名，包括 SolarWinds 供应链攻击中使用的“Hammertoss”、“Uroburos”和“Sunburst”等工具。

混淆技术：APT29 采用先进的混淆技术来避免检测到其攻击，包括使用加密通信以及隐蔽的命令和控制通道。

高调的攻击：

SolarWinds 攻击（2020 年）：与 APT29 相关的最著名的攻击之一是 SolarWinds 事件，该组织破坏了许多政府和企业组织使用的 Orion IT 管理软件的供应链。

针对外交官和国际组织的攻击：APT29 针对北约和欧安组织等外交官和组织，寻求获取敏感的地缘政治信息。

美国选举系统黑客攻击（2016）：该组织涉嫌参与 2016 年总统选举期间对美国选举系统的攻击。

动机：APT29 的活动主要是出于地缘政治间谍和情报目标，旨在支持俄罗斯政府的利益并在全球层面获得战略优势。

TeamViewer 正在积极调查其内部公司 IT 系统中发现的违规行为。

随着调查的继续，该公司仍然专注于保护其系统的完整性和客户数据的安全。

当局和安全组织将继续监控局势，以确保及时缓解任何威胁。

原文始发于微信公众号（网络研究观）：TeamViewer 违规行为的幕后黑手