这个是源头
https://twitter.com/cglyer/status/1182413194360508419“APT41 compromised company behind TeamViewer - which enabled them to access *any* system with TeamViewer installed ”
这个是详细的资料
https://content.fireeye.com/api/pdfproxy?id=86840在 20 和 43 页
结合语境,这里说的应该是在第三方供应商使用 teamviewer 提供远程支持的情况下,APT41 黑了提供 TeamViewer 的第三方供应商( company behind TeamViewer )的账户,让他们可以访问所有第三方供应商能控制的安装了 TeamViewer 的电脑。
问题的核心是不应该给第三方供应商提供无人值守访问,应该仅在需要时开启并监控。
除此之外还涉及到 teamviewer 的是默认的动态密码长度对常驻后台的用法太短,可能被暴力破解。以及钓鱼邮件等途径可能以 teamviewer 客户端作为初始下载内容绕过杀毒软件和行为检测。