Hackerlar, Microsoft Teams’i Kullanarak Zararlı Yazılım Yayıyor

Son zamanlarda yaşanan bir siber güvenlik ihlali, bir sosyal mühendislik saldırısının, Microsoft Teams aracılığıyla sesli balık avlama (vishing) kullanarak, kötü niyetli bir kişinin bir kurbanın sistemine DarkGate zararlı yazılımını nasıl yerleştirebildiğini ortaya çıkardı.

Trend Micro’nun Yönetilen Algılama ve Yanıt (MDR) ekibi tarafından analiz edilen saldırı, siber tehditlerin evrilen doğasını ve sağlam savunma stratejilerine olan kritik ihtiyacı vurguluyor. Saldırı, kurbanın birçok binlerce e-posta almasının ardından bir saldırganın Microsoft Teams üzerinden bir müşteri temsilcisi gibi aramasıyla başladı.

Taklitçi, kurbanı Microsoft Remote Support uygulamasını indirmesi için yönlendirdi ancak bu yükleme girişimi başarısız olduktan sonra, saldırgan kurbanı başarılı bir şekilde AnyDesk adlı meşru bir uzaktan masaüstü aracını indirmeye ikna etti.

Saldırgan daha sonra kurbanı kimlik bilgilerini girmeye yönlendirdi ve bu şekilde sisteme yetkisiz erişim sağlandı.

Sistemin içine bir kez girdikten sonra, saldırgan bir dizi şüpheli dosya bıraktı, bunlardan biri Trojan.AutoIt.DARKGATE.D olarak tanımlanarak bir dizi komutu başlattı. Bu, potansiyel bir komuta ve kontrol (C&C) sunucusu ile bağlantıya yol açtı ve saldırganın daha fazla kötü niyetli eylem gerçekleştirmesini sağladı.

Saldırı, herhangi bir veri sızıntısı gerçekleşmeden önce durdurulmasına rağmen, uzaktan erişim yönetiminde ve sosyal mühendislik taktiklerinde birkaç zayıflığı vurguladı.

Saldırgan, kurbanın makinesinin uzaktan kontrolünü elde etmek için AutoIt scriptlerini kullandı, sistem bilgilerini toplamak ve daha kalıcı bir ayak izi oluşturmak için komutlar çalıştırdı.

Önemle belirtmeliyim ki, AutoIt3.exe işlemi, ek malware indiren bir dizi komutu çalıştırdı, bu da dış IP’lere bağlanmayı deneyen scriptleri içeriyordu. Malware, antivirüs ürünlerini arayarak ve varlığını gizlemek için çok sayıda rastgele dosya oluşturarak algılanmasını önlemek üzere tasarlanmıştı.

Saldırının nihai amacı, son bir DarkGate yükünün kurulumu gibi görünüyordu. Bu yük, saldırganın kurbanın sistemini kontrol etmesini ve potansiyel olarak hassas verileri dışa aktarmasını daha da kolaylaştıracaktı. Ancak, saldırı zamanında tespit edildi, bu da saldırganın hedefine ulaşmasını engelledi.

Böyle saldırılara karşı savunmak için, uzmanlar, organizasyonların üçüncü taraf teknik destek sağlayıcılarını dikkatlice değerlendirmelerini önermektedir. AnyDesk gibi uzaktan erişim araçları, izlenmeli ve beyaz listeye alınmalıdır, ayrıca yetkisiz erişimi önlemek için çok faktörlü kimlik doğrulama (MFA) etkinleştirilmelidir.

Ayrıca, çalışanlar sosyal mühendislik taktiklerini ve balıkçılık denemelerini tanımak için düzenli eğitim almalıdır, bu da siber saldırılar için ana bir vektör olmaya devam etmektedir.