Siber saldırganlar, kurumsal çalışanları hedef alan yeni bir kampanyada Microsoft Teams saldırısı yöntemiyle sahte BT destek personeli gibi davranarak EtherRAT zararlısını yüklüyor. Palo Alto Networks Unit 42 araştırmacılarının ortaya çıkardığı saldırı zinciri, kimlik avı e-postaları, Teams sesli görüşmeleri ve meşru uzaktan erişim araçlarını bir araya getirerek kurumsal ağlara ilk erişimi sağlamayı amaçlıyor. Yeni kampanya, sosyal mühendislik yöntemlerinin teknik güvenlik önlemlerini aşmada hâlâ etkili olduğunu bir kez daha gösteriyor.

Saldırı Kimlik Avı E-Postasıyla Başlıyor

Unit 42’nin yayımladığı teknik analize göre saldırganlar ilk olarak “Çalışan Anketi” temalı bir kimlik avı e-postası gönderiyor. E-postadaki zararlı PDF dosyası açıldıktan kısa süre sonra hedef kullanıcı, Microsoft Teams üzerinden kendisini “Sistem Yöneticisi” olarak tanıtan bir kişiden sesli arama alıyor.

Araştırmacılar, aramanın Microsoft 365 kiracısı dışından geldiğini gösteren “External unfamiliar” uyarısının Teams ekranında görüntülendiğini belirtiyor. İncelemelerde saldırganların helpdesk@Progressive936.onmicrosoft.com hesabını kullanarak BT destek ekibi kimliğine büründüğü tespit edildi. Kullanıcının güveni kazanıldıktan sonra Teams’in ekran paylaşımı özelliği üzerinden uzaktan kontrol izni isteniyor.

Meşru Yazılımlar Kullanılarak Zararlı Sisteme Yerleştiriliyor

Saldırganlar uzaktan erişim aldıktan sonra HopToDesk ve AnyDesk gibi yaygın kullanılan uzaktan destek yazılımlarını kurduruyor. Daha sonra uzak sunucudan indirilen zararlı MSI dosyası çalıştırılarak saldırının ikinci aşamasına geçiliyor.

Araştırmaya göre yükleyici dosya önce Node.js çalışma ortamını sisteme indiriyor, ardından şifrelenmiş zararlı bileşenleri çözüyor ve EtherRAT’ı çalıştırıyor. Node.js tabanlı uzaktan erişim truva atı olarak geliştirilen EtherRAT; komut çalıştırma, dosya yönetimi, veri hırsızlığı ve kalıcılık sağlama gibi birçok yeteneğe sahip bulunuyor. Zararlı yazılım ayrıca aktif komuta kontrol sunucusunu Ethereum akıllı sözleşmeleri üzerinden aldığı için altyapının engellenmesi daha zor hâle geliyor. Unit 42 araştırmacıları, zararlının dağıtım sunucusunda v1 ile v9 arasında farklı yükleyici sürümlerinin bulunduğunu da belirledi. Bu durum, EtherRAT kampanyasının aktif olarak geliştirilmeye devam ettiğini gösteriyor.

Microsoft Teams Sosyal Mühendislik Saldırılarının Hedefinde

Microsoft Teams son aylarda benzer saldırılarda sıkça kullanılmaya başladı. Mart ayında finans ve sağlık sektöründeki kuruluşları hedef alan başka bir kampanyada saldırganlar önce spam e-postaları gönderdi, ardından Teams üzerinden BT personeli gibi iletişime geçerek Quick Assist oturumları başlattı. Bu saldırılarda A0Backdoor isimli farklı bir zararlı yazılım kullanılmıştı.

Microsoft da nisan ayında yayımladığı güvenlik uyarısında dış kuruluşlardan gelen Teams hesaplarının yardım masası personeli gibi davranarak çalışanları uzaktan erişim vermeye ikna etmeye çalıştığını açıklamıştı. Şirket, ağ içine girdikten sonra saldırganların keşif yaptığı, diğer cihazlara yayıldığı ve kurumsal verileri ele geçirmeye çalıştığı konusunda kurumları uyarmıştı.

Artan tehditler nedeniyle Microsoft, Teams’e yeni güvenlik katmanları eklemeyi sürdürüyor. Dış kuruluşlardan gelen arama ve sohbetlerde uyarı etiketleri gösterilmeye başlanırken geçen hafta da üçüncü taraf botların toplantılara otomatik katılmasını engelleyen yeni yönetici ilkesi devreye alındı. Microsoft Teams saldırısı riskine karşı uzmanlar, dış kullanıcı aramalarını sınırlandırmayı, çalışanlara sosyal mühendislik farkındalık eğitimi vermeyi ve uzaktan erişim taleplerini bağımsız kanallardan doğrulamayı öneriyor.

ITSTACK Hakkında

ITSTACK sizlere Bilgi Teknolojileri konusunda uzman ekibi ile 24/7 hizmet vermek için hazır! Detaylı bilgi için bize ulaşın.