Bilgisayar korsanları, PowerShell tabanlı kötü amaçlı yazılımlarla uzaktan erişim elde etmek için Microsoft ekiplerini kötüye kullanır

Siber suçlular, kötü amaçlı yazılımları dağıtmak ve mağdur sistemlerinin kontrolünü ele geçirmek için platformun kurumsal iletişimdeki güvenilir rolünü kullanan Microsoft ekiplerini giderek daha fazla silahlandırıyor.

Sofistike bir kampanyada, tehdit aktörleri, Microsoft Teams sohbetlerindeki BT destek personelini, çalışanları uzaktan erişim sağlama ve geleneksel e-posta tabanlı kimlik avı saldırılarından tehlikeli bir evrimi işaretlemek için taklit ediyor.

Sosyal mühendislik, bilgisayar korsanları için son derece etkili bir taktik olmaya devam ediyor ve işletmeler Microsoft ekipleri gibi entegre platformlara sahip olduklarından, saldırganlar izledi. İç mesajlaşmaya yerleştirilen doğal güven çalışanları, onu aldatma için verimli bir zemin haline getirir.

Permiso siber güvenlik araştırmacıları tarafından analiz edilen son kampanyalar, basit bir mesajla başlayan ve güçlü, çok işlevli kötü amaçlı yazılımların dağıtımında doruğa ulaşan çok aşamalı bir saldırı ortaya koyuyor.

Microsoft Teams aracılığıyla PowerShell tabanlı kötü amaçlı yazılım

Saldırı zinciri genellikle yeni oluşturulan veya tehlikeye atılan bir Microsoft Teams hesabından doğrudan bir mesaj veya çağrı ile başlar. Bu hesaplar, güvenilir personeli taklit etmek için “Destek ✅” veya “Yardım Masası Uzmanı” gibi ekran adlarını kullanarak meşru görünecek şekilde tasarlanmıştır.

Saldırganlar, doğrulanmış bir durumu simüle etmek ve Microsoft’un yararlanması için genellikle checkmark emojilerini kullanır onmicrosoft.com Etki alanı yapısı, organizasyonun bir parçasıymış gibi görünüyor.

Sistem bakımı gibi rutin bir sorunu ele alan personel olarak poz veren saldırganlar, hedefleriyle ilişki kurarlar.

Güven kurulduktan sonra, çalışanı QuickAssist veya Anydesk gibi uzaktan erişim yazılımlarını teknik yardım sağlama kisvesi altında kurmaya ikna ederler. Bu kritik adım, saldırgana kullanıcının makinesine ve kurumsal ağa doğrudan bir dayanak verir.

Uzaktan erişim araçlarını içeren benzer teknikler, 2014’ten beri Blackbasta gibi fidye yazılım gruplarıyla bağlantılı olsa da, bu yeni kampanyalar daha doğrudan, genellikle geçmişte görülen ön kitle e-posta kampanyalarını sürdürüyor.

Kötü niyetli yükler de çeşitlendi ve Darkgate ve Matanbuchus kötü amaçlı yazılım yükleyicilerini içeren son olaylar.

Uzaktan erişim sağlandıktan sonra, saldırgan birincil kötü amaçlı yükü indirmek için bir PowerShell komutu yürütür. Permiso, bu senaryo basit olmaktan uzak, kimlik doğrulama özellikleri, uzun vadeli kalıcılık ve uzaktan kod yürütme ile donatılmış.

Tespitten kaçınmak ve kaldırılmayı karmaşıklaştırmak için, kötü amaçlı yazılım kendi sürecini “kritik” olarak belirleyebilir, bu da sistemin sonlandırılırsa çökmesine neden olur.

Ayrıca, kullanıcıları şifrelerini girmeye kandırmak için meşru görünümlü bir Windows kimlik bilgisi istemi kullanır ve bu da daha sonra saldırgan kontrollü bir sunucuya eklenir.

Yükün kodunun analizi, kampanyayı Water Gamayun (EncryPthub olarak da bilinir) olarak izlenen bilinen bir finansal olarak motive olmuş tehdit aktörüne bağlayan sert kodlanmış şifreleme anahtarlarını ortaya çıkardı.

Bu grup, İngilizce konuşan BT uzmanlarını ve geliştiricilerini hedeflemek için sofistike sosyal mühendisliği özel kötü amaçlı yazılımlarla birleştirme geçmişine sahiptir.

Çalışanlar, güvenilir dahili platformlarda bile istenmeyen temasa karşı uyanık kalacak şekilde eğitilmelidir. Tüm kimlik bilgileri talepleri veya uzaktan erişim yazılımının kurulumu, bilinen, ayrı bir iletişim kanalı aracılığıyla bağımsız olarak doğrulanmalıdır.

Ohere, sağlanan bilgilere dayanan uzlaşma göstergelerinin (IOCS) bir tablosudur.

Tehdit aktörleri yenilik yapmaya devam ettikçe, teknik kontrolleri sağlam kullanıcı eğitimi ile birleştiren derinlemesine bir savunma stratejisi, işbirliği araçlarını uzlaşma için kanallara dönüştüren saldırıları korumak için gereklidir.

Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.