Son siber güvenlik araştırmaları, bilgisayar korsanlarının kurban sistemlerine uzaktan erişim sağlamak için Microsoft Teams’i istismar ettiği endişe verici bir eğilimi ortaya çıkardı.
Gelişmiş sosyal mühendislik taktikleri kullanan bu kötü niyetli aktörler, meşru çalışanlar veya güvenilir kişiler gibi davranarak kullanıcıları zararlı yazılım indirmeye yönlendirmek için Microsoft Teams’deki görüntülü aramalardan yararlanıyor.
Saldırı genellikle kafa karışıklığı veya aciliyet yaratmak için tasarlanmış kimlik avı e-postalarının saldırısıyla başlar.
Kurban hazırlandıktan sonra saldırgan, bilinen bir şirketten veya güvenilir bir dış tedarikçiden bir çalışanın kimliğine bürünerek bir Microsoft Teams araması başlatır.
Bu görüşme sırasında dolandırıcı temsilci, kullanıcıya, sözde sorun giderme amacıyla uzak masaüstü yazılımını indirmesi talimatını verir.
Dikkate değer bir vakada, saldırgan başlangıçta kurbana bir Microsoft Uzaktan Destek uygulamasını indirmesi için rehberlik etmeye çalıştı, ancak başarısız bir kurulumdan sonra bunun yerine AnyDesk’in kullanılması talimatını verdi.
Bu uzaktan erişim aracı kurulduktan sonra DarkGate kötü amaçlı yazılımını dağıtmak için bir vektör haline geldi ve saldırganın kurbanın bilgisayarının kontrolünü ele geçirmesine olanak tanıdı.
2024 MITRE ATT&CK Evaluation Results Released for SMEs & MSPs -> Download Free Guide
DarkGate Kötü Amaçlı Yazılımının Rolü
DarkGate kötü amaçlı yazılımı, bir AutoIt betiği aracılığıyla dağıtılan zorlu bir tehdittir. Yetenekleri arasında uzaktan komutların yürütülmesi, hassas sistem bilgilerinin toplanması ve bir komut ve kontrol sunucusuyla bağlantı kurulması yer alır.
Kötü amaçlı yazılım, AnyDesk’in kurulmasından birkaç saniye sonra çalıştırılıyor ve burada onu yükseltilmiş ayrıcalıklarla yerel bir hizmet olarak çalıştırmak için komutlar veriliyor.
processCmd: "C:\Windows\System32\cmd.exe"
eventSubId: 2 - TELEMETRY_PROCESS_CREATE
objectFilePath: c:\windows\system32\rundll32.exe
objectCmd: rundll32.exe SafeStore.dll,epaas_request_cloneBu erişim, saldırgana, işlemlere ek kötü amaçlı yazılım eklemek ve ağ yapılandırmalarını değiştirmek de dahil olmak üzere çeşitli kötü amaçlı eylemler gerçekleştirme yeteneği verir.
Gelişmiş yürütme akışı, kötü amaçlı yazılımın varlığını ve etkinliğini gizlemek için meşru sistem süreçlerine yüklenmesine bile olanak tanır.
Bu gelişmiş tehditlere karşı savunma yapmak için kuruluşların kapsamlı güvenlik stratejileri benimsemesi gerekir.
İlk olarak, kimlik avı girişimlerinin ve istenmeyen destek çağrılarının tehlikelerinin tanınmasına odaklanan çalışanların eğitimi çok önemlidir.
İyi bilgilendirilmiş bir iş gücü, başarılı sosyal mühendislik saldırılarının olasılığını önemli ölçüde azaltabilir. İkinci olarak, üçüncü taraf etkileşimleri için katı doğrulama protokollerinin uygulanması, yetkisiz erişimi engelleyebilir.
Buna herhangi bir dış destek personelinin kimliğinin doğrulanması da dahildir. Ek olarak kuruluşlar, uzak masaüstü araçlarının kullanımını kısıtlamalı ve yalnızca kapsamlı bir şekilde incelenip onaylanan uygulamalara izin vermelidir.
Trend Micro tarafından hazırlanan bir rapora göre, uzaktan erişim araçlarında çok faktörlü kimlik doğrulamanın (MFA) uygulanması, sistemlere erişim için birden fazla doğrulama biçimi gerektiren ek bir savunma katmanı sunuyor.
Microsoft Teams’in siber saldırı platformu olarak kötüye kullanılması, siber güvenlik tehditlerinin gelişen manzarasının altını çiziyor.
İletişim araçları iş operasyonlarının ayrılmaz bir parçası haline geldikçe, aynı zamanda istismara açık yeni güvenlik açıkları da sunuyorlar.
Ortaya çıkan bu tehditlere karşı koymak için kuruluşların, çalışan eğitimini gelişmiş teknolojik savunmalarla birleştirerek güvenlik önlemlerini geliştirmeleri gerekiyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin