.webp "Microsoft Teams Uzaktan Erişim Kazanacak")
Bilgisayar korsanları, bir kurbanı kendi sistemlerine uzaktan erişim izni vermeye yönlendirmek için Microsoft Teams’ten yararlandı. Trend Micro tarafından analiz edilen saldırı, siber suçlular tarafından kullanılan sosyal mühendislik taktiklerinin artan karmaşıklığına dikkat çekiyor.
Saldırı, kurbanı hedef alan bir kimlik avı e-postası seli ile başladı. Kısa bir süre sonra saldırgan, güvenilir bir müşterinin çalışanı gibi davranarak bir Microsoft Teams araması başlattı.
Görüşme sırasında saldırgan, kurbana bir uzaktan destek uygulaması indirmesi talimatını verdi ve başlangıçta Microsoft Uzaktan Destek önerdi. Microsoft Store’dan yükleme başarısız olduğunda saldırgan, siber suçlular tarafından sıklıkla kullanılan meşru bir uzak masaüstü aracı olan AnyDesk’e yöneldi.
AnyDesk kurulduktan sonra saldırgan, kurbanın makinesinin kontrolünü ele geçirdi. Trojan.AutoIt.DARKGATE.D olarak tanımlanan bir dosya da dahil olmak üzere birden fazla şüpheli dosya dağıttılar.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Bu kötü amaçlı yazılım, sistemin uzaktan kontrolüne olanak tanıyan, kötü amaçlı komutlar çalıştıran ve bir komuta ve kontrol (C2) sunucusuna bağlanan bir AutoIt betiği aracılığıyla dağıtıldı.
Yürütme ve Kötü Amaçlı Faaliyet
Saldırgan, AnyDesk aracılığıyla erişim sağladıktan sonra ayrıntılı sistem bilgileri ve ağ yapılandırmalarını toplamak için komutları çalıştırdı. Gibi komutlar systeminfo, route printVe ipconfig /all sistemin donanımı, yazılımı ve ağ kurulumu hakkında veri toplamak için çalıştırıldı. Toplanan bilgiler adlı bir dosyaya kaydedildi. 123.txtmuhtemelen daha fazla keşif için.
Kötü amaçlı yazılım ayrıca savunmadan kaçınma tekniklerini de kullandı. Örneğin, sistemdeki antivirüs yazılımını tanımlamak ve tespit edilmekten kaçınmak için AutoIt komut dosyaları kullanıldı. Ayrıca, kötü amaçlı dosyalar indirildi ve ele geçirilen makinedeki gizli dizinlere çıkarıldı.
Özellikle kötü amaçlı bir dosya, SystemCert.exegeçici klasörlerde ek komut dosyaları ve yürütülebilir dosyalar oluşturdu. Bu dosyalar, bir C2 sunucusuna bağlanmak ve ek yükleri indirmek de dahil olmak üzere daha fazla kötü amaçlı aktiviteyi kolaylaştırdı.
Neyse ki bu saldırı herhangi bir veri sızıntısı yaşanmadan önlendi. Temel neden analizi, kurbanın makinesinde kalıcı dosyalar ve kayıt defteri girişleri oluşturulurken hiçbir hassas bilginin çalınmadığını ortaya çıkardı. Ancak bu olay, sağlam güvenlik önlemlerine duyulan kritik ihtiyacın altını çiziyor.
Bu tür saldırılara karşı koymak için kuruluşların aşağıdaki en iyi uygulamaları uygulaması gerekir:
- Üçüncü Taraf İddialarını Doğrulayın: Erişim izni vermeden önce daima üçüncü taraf teknik destek sağlayıcılarının bağlantılarını onaylayın.
- Uzaktan Erişim Araçlarını Kontrol Etme: AnyDesk gibi onaylı araçları beyaz listeye alın ve daha fazla güvenlik için çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın.
- Çalışan Eğitimi: Bu tür saldırılara karşı duyarlılığı azaltmak için çalışanları kimlik avı ve vishing (sesli kimlik avı) gibi sosyal mühendislik taktikleri konusunda eğitin.
Bu olay, saldırganların sistemlere sızmak için Microsoft Teams gibi güveni ve meşru platformları nasıl istismar ettiğinin açık bir hatırlatıcısıdır. Gelecekte benzer tehditleri engellemek için dikkatli olmak ve proaktif güvenlik önlemleri almak çok önemlidir.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin