Siber suçluların kötü amaçlı yazılım sunmak ve kurumsal ağlara kalıcı erişimi sürdürmek için Microsoft ekiplerinden yararlandığı yeni bir sofistike saldırı kampanyası.
Sosyal mühendislik taktiklerinde bir evrimi temsil eden saldırılar, özellikle güvenlik uzmanlarının kurumsal güvenlik için önemli bir tehdit olarak adlandırdığı yeni bir teknikle Windows sistemlerini hedefliyor.
Mart 2025’te Reliaquest, Microsoft Teams Phishing’i içeren karmaşık bir saldırı zinciri keşfetti ve bu da Typelib kaçırma adı verilen daha önce görülmemiş bir kalıcılık yöntemini kullandı.
.png
)
Saldırganlar, personeli desteklediği ve ekipler aracılığıyla çalışanlara kimlik avı mesajları göndererek, platformun kuruluşlar içindeki güvenilir statüsünden yararlanıyor.
Reliaquest, “Saldırılar, Microsoft ekipleri aracılığıyla müşterilerimizin çalışanlarına kimlik avı mesajları göndermesiyle başladı,” dedi Reliaquest. “Saldırgan, BT personelinin bir üyesi olarak poz vermek için ‘Teknik Destek’ adıyla hileli Microsoft 365 kiracısını kullandı”.
İletişim kurduktan sonra, saldırganlar kurbanları Windows’un yerleşik “Hızlı Yardım” aracını başlatmaya ikna ederek kurbanın sistemine uzaktan erişim sağlıyor.
Bu yaklaşım, 2024 ve 2025 başlarında gözlemlenen daha geniş bir eğilimi yansıtmaktadır; burada meşru araçlar, uygulama-klaviye olaylarının% 60’ından fazlasında kullanılmaktadır.
Yeni kalıcılık tekniği
Bu saldırıları özellikle ilgili kılan şey, önce güvenlik araştırmacıları tarafından teorize edilen ancak şimdi gerçek dünya saldırılarında gözlemlenen bir kalıcılık tekniği olan Typelib Hacking’in uygulanmasıdır. Bu yöntem, meşru COM nesnelerini harici URL’lerde barındırılan kötü amaçlı komut dosyalarına yönlendirmek için Windows kayıt defterinin manipüle edilmesini içerir.
Tekniği keşfeden araştırmacılar, “Explorer.exe, LoadTypelib () işlevini çağırıyorsa ve takma ad için gerekli kayıt defteri anahtarlarını kaçırdıksa, takma ad explorer.exe içinde somutlaştırılacak ve kodu yürütülecek” dedi.
Bu, saldırganların sistem yeniden başladıktan sonra otomatik olarak yeniden etkinleştirilen kalıcı erişimi sürdürmesini sağlar.
Güvenlik uzmanları, bu teknikleri Black Basta fidye yazılımını dağıttığı bilinen bir tehdit grubu olan Storm-1811’e bağladılar. Bununla birlikte, Reliaquest, saldırıların daha önce Black Basta1 ile ilişkili tehdit aktörleri arasında evrim veya olası parçalanma kanıtı gösterdiğini belirtiyor.
Kampanyalar, çalışanların daha az uyanık olabileceği yerel saatle 14:00 ile 15:00 arasında dikkatli bir şekilde zamanlanmış saldırılar ile kesin hedefleme göstermektedir. Saldırganlar özellikle yönetici düzeyinde çalışanları hedefliyor ve kadın sesli isimleri olan çalışanlara odaklanma modeli gösterdiler.
Microsoft, Nisan 2024’ten bu yana, son nokta ile ilgili çok sayıda güvenlik olayına yol açan takımların kimlik avı saldırılarında önemli bir artış olduğunu kabul etti. Harici alanlardan çağrılara ve sohbetlere izin veren Microsoft ekiplerinin varsayılan yapılandırması, tehdit aktörleri tarafından kullanılan temel bir güvenlik açığı haline gelmiştir.
Siber güvenlik şirketi Sophos, potansiyel olarak FIN7’ye bağlı gruplar da dahil olmak üzere benzer teknikleri benimseyen birden fazla tehdit aktörünü gözlemledi.
Bu saldırılara karşı savunmak için güvenlik uzmanları, Microsoft ekiplerinde harici iletişim üzerinde katı kontroller uygulamayı, çok faktörlü kimlik doğrulamasını sağlamayı ve düzenli kullanıcı farkındalığı eğitimi almanızı önerir. Kuruluşlar ayrıca Typelib kaçırma yoluyla kötü amaçlı kodun yürütülmesini önlemek için Windows sistemlerini sertleştirmelidir.
Uzaktan çalışma yaygın bir uygulama olmaya devam ettikçe, Microsoft ekipleri gibi işbirliği platformları, geleneksel e -posta güvenlik önlemlerini atlamak ve çalışanların kurumsal iletişim araçlarına olan güvenini kullanmak isteyen saldırganlar için ana hedefler olarak kalır.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!