Sofistike bir kötüverizasyon kampanyası, şirket sistemlerinden ödün vermek için sahte Microsoft Teams yükleyicilerini kullanıyor, zehirli arama motoru sonuçlarından yararlanıyor ve istiridye arka kapı kötü amaçlı yazılımlarını sunmak için kod imzalama sertifikalarını istismar ediyor.
Saldırı, Microsoft Defender’ın saldırı yüzey azaltma (ASR) kuralları ile etkisiz hale getirildi, bu da kötü amaçlı yazılımın komut ve kontrol sunucusuyla temas kurmasını engelledi.
Çok aşamalı saldırı, güvenilir görünmek ve geleneksel güvenlik önlemlerinden kaçmak için meşru hizmetleri kullanan tehdit aktörlerinin artan bir eğilimini vurgulamaktadır.
Kısa ömürlü, geçerli kod imzalama sertifikaları kullanarak saldırganlar, başlangıç imzasına dayalı algılama ve hile sistemlerini kötü amaçlı yazılımlara güvenmeye atlayabildiler.
Microsoft Teams Installer aracılığıyla Oyster Kötü Yazılım
Vinsia’nın adli araştırması, basit bir web araması ile başlayan hızlı ve otomatik bir saldırı dizisi ortaya çıktı.
25 Eylül 2025’te, bir çalışanın Bing için Bing Microsoft takımları üzerinde yapılan arama kötü amaçlı bir yönlendirmeye yol açtı. İlk aramadan sadece 11 saniye içinde kullanıcı bing.com bir yönlendirme alanından (team.frywow.com) kötü niyetli bir siteye, teams-install.icu.
Bu hızlı yeniden yönlendirme, muhtemelen bir kötü niyetli kampanya veya kötü niyetli bağlantıyı arama sıralamasında yüksek yerleştiren zehirli bir arama motoru sonucunun yönlendirdiği otomatik bir sürece işaret eder.
Alan adı teams-install.icu Meşru bir Microsoft İndirme sayfası taklit etmek için tasarlandı ve kötü niyetli niyetini daha da maskelemek için Cloudflare’de barındırıldı. Kullanıcı sayfaya indiğinde, MSTeamsSetup.exe indirildi.
Kabaca bir saat sonra dosya yürütüldü. Meşru bir yükleyici gibi görünse de, aslında istiridye kötü amaçlı yazılımdı. Saldırı ancak Microsoft Defender’ın ASR kuralları, kötü amaçlı yazılımların C2 sunucusuna bağlanma girişimini tespit ettiğinde ve engellediğinde durduruldu. nickbush24.com.
Bu kampanyanın karmaşıklığının özü, kod imzalama sertifikalarını kötüye kullanmasında yatmaktadır. Kötü niyetli yürütülebilir, “Kuttanadan Creations Inc” adlı meşru bir varlık tarafından imzalandı. 24-26 Eylül 2025 tarihleri arasında sadece iki gün boyunca geçerli bir sertifika kullanma.
Bu ortaya çıkan taktik, tehdit aktörlerinin şunları yapmasına izin verir:
- Bypass Security: İmzalı dosyalar genellikle varsayılan olarak güvenilir, antivirüs ve diğer imza tabanlı kontrollerden kaçınır.
- Tespiti en aza indirin: Sertifikanın kısa ömrü, güvenlik satıcılarının bunu tanımlaması ve iptal etmesi için pencereyi azaltır.
- Saldırıları otomatikleştirin: Saldırganlar, farklı kampanyalar için taze sertifikalarla kötü amaçlı yazılım alma ve imzalama sürecini otomatikleştirebilir.
Vinsia Research, “Shanxi Yanghua Home Furnishings Ltd” gibi imzalayanlar tarafından kullanılan diğer benzer kısa ömürlü sertifikaları ortaya çıkardı.
Bu olay, herhangi bir veri ortadan kaldırılmadan veya fidye yazılımı gibi diğer yükler dağıtılabilmeden önce nötralize edildi. Başarılı önleme, geleneksel güvenlik önlemlerinin artık yeterli olmadığını göstermektedir. Dijital sertifikalara güven mutlak olamaz ve kuruluşlar gelişmiş uç nokta koruması kullanmalıdır.
ASR kuralları yerinde olmasaydı, istiridye arka kapısı (süpürge çubuğu veya temizlikçi olarak da bilinir), tehlikeye atılan sisteme kalıcı erişim oluştururdu. Bu, saldırganların veri hırsızlığı yapmasını, ek kötü amaçlı yazılımlar dağıtmasını ve ağ boyunca yanal olarak hareket etmesini sağlayacaktır.
Bu saldırıdan elde edilen temel dersler açıktır: Saldırganlar meşru sistem araçlarını kullanmalarını (“yerden geçirme”), sertifika güveni aktif olarak silahlandırılmaktadır ve otomatik saldırıların hızı, saniyelerde meydana gelebilecek bir uzlaşmayı önlemek için ASR gibi sağlam, davranış tabanlı güvenlik kontrolleri gerektirir.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
