“E-posta bombalama + Microsoft Teams aracılığıyla teknik destek gibi görünme” kombinasyonu, kuruluşlara fidye yazılımı dağıtmak isteyen iki tehdit aktörü için verimli oluyor ve çabalarını artıracak gibi görünüyorlar.
Şirketin olay müdahale ekipleri bugün, “Sophos MDR, son üç ayda bu taktikleri içeren 15’ten fazla olay gözlemledi; bunların yarısı son iki haftada gerçekleşti” dedi.
Tehdit aktörleri kendi yollarına sosyal mühendislik yapıyor
Saldırganlar, Microsoft Teams aracılığıyla başarılı bir kimliğe bürünme işlemine zemin hazırlamak için öncelikle hedef çalışanın e-posta gelen kutusunu çok kısa bir süre içinde çok sayıda spam mesajıyla bombalıyor.
Çalışan şaşkına döndü ve paniğe kapıldı; Bir saldırının sürmekte olduğundan şüphelenebilirler ve hatta konuyu BT departmanlarına bildirebilirler. Kısa bir süre sonra Microsoft Teams aracılığıyla teknik destekten bir çağrı alırlar ve arayan kişi, sorunu çözebilmek için sistemlerine uzaktan erişime izin vermelerini ister.
Ne yazık ki çalışan ve organizasyonu açısından Teams aracılığıyla ulaşan teknik destek personeli aslında tehdit aktörüdür ve onlara etkili bir şekilde kapıyı açmıştır.
Bu taktik yeni değil ama Sophos’un raporu bunun neden başarılı olduğuna dair fikir veriyor: [target] kuruluşun BT hizmetleri için yönetilen bir hizmet sağlayıcı kullanması, bu hizmeti kabul eden çalışan açısından tehlike işaretlerine yol açmadı. [Microsoft Teams] görüntülü arama [from an account named ‘Help Desk Manager’ from an external Microsoft 365 tenant].”
Bu tür başarılı bir sosyal mühendislik saldırısı için hedefin hazırlanması çok önemlidir: Tehdit aktörleri daha önce çalışanların kötü amaçlı yazılım indirmesini sağlamak için tatil programlarında yapılan değişiklikler konusunda uyarıda bulunan İK departmanlarını taklit etmiş, hatta Microsoft’un kimliğine bürünerek çalışanları kandırıp kendi web sitelerine erişim vermelerini sağlamıştı. M365 hesapları.
Bu son kampanyalarda saldırganlar, çalışanların eleştirel düşünme yeteneklerini ve ihtiyatlılıklarını geçersiz kılmak için birisinin yardıma ulaşmasından duydukları sıkıntıya ve mutluluğa güveniyorlar.
Saldırı aynı zamanda hedef kuruluşların varsayılan Microsoft Teams yapılandırmasını değiştirememesi ve böylece harici etki alanlarındaki kullanıcıların dahili kullanıcılarla sohbet veya toplantı başlatmasına izin vermesiyle de mümkün oluyor.
Grubun MO’su
Sophos uzmanları, bu taktiği kullanan devam eden iki kampanyayı işaretledi ve bunları iki ayrı tehdit grubuyla ilişkilendirdi.
Ortak noktaları, her ikisinin de kendi Microsoft 365 örneğini çalıştırması ve hedef çalışanların Teams aracılığıyla “teknik destek”ten gelen mesajları ve çağrıları kabul etmesini sağlamak için e-posta bombalama taktiğini kullanmasıdır.
Bir grup – şu şekilde izleniyor: STAC5143Muhtemelen FIN7 ile ilgili (“FIN7’nin olağan kurbanlarından daha küçük ve farklı iş sektörlerindeki kuruluşları hedef alsa da”) – hedefleri kandırarak Teams aracılığıyla uzaktan kontrol oturumuna izin vermelerini sağlar. Bu erişimi bir komut kabuğunu açmak, dosyaları bırakmak ve harici bir SharePoint dosya deposundan kötü amaçlı yazılımları yürütmek için kullanırlar.
Diğer grup ise şu şekilde takip ediliyor: STAC5777ve Storm-1811 tarafından kullanılanlara benzer teknikler, araçlar ve prosedürlerin kullanılması – hedef çalışana Microsoft’un Hızlı Yardım uzaktan erişim aracını indirmesi talimatını verir ve ardından yapılandırma değişiklikleri yapmak ve “meşru bir Microsoft güncelleyicisini” dağıtmak için erişimi kullanmaya devam eder. Kalıcılık sağlayan, kimlik bilgilerini çalan ve ağ kaynaklarının keşfedilmesine olanak tanıyan, kötü amaçlı, yandan yüklemeli bir DLL.”
Bu saldırganlar, hedeflenen ağdaki diğer bilgisayarlara erişmek için RDP ve Windows Uzaktan Yönetim’i kullanıyor ve bir durumda Black Basta fidye yazılımını dağıtıyorlar.
Sophos, “Her iki saldırgan faaliyet grubunun da fidye yazılımı ve veri hırsızlığı gasp çabalarının parçası olduğuna büyük bir güvenle inanıyoruz” diyor.
Rapor, saldırılarla ilgili ek teknik ayrıntılar içeriyor ve Sophos, ilgili risk göstergelerini GitHub’unda yayınlayacak.
Siber güvenlik savunucularına yönelik tavsiyeleri şunları içeriyor:
- M365 (ör. Teams) aracılığıyla hangi dış kuruluşların çalışanlara ulaşabileceğinin engellenmesi veya sınırlandırılması
- Uzaktan erişim uygulamalarının yalnızca kuruluşun teknik destek ekibi tarafından yüklenebilmesini sağlayacak politikaların oluşturulması
- Potansiyel olarak kötü amaçlı gelen Teams veya Outlook trafiğinin izlenmesini ayarlama
- Belirtilen taktikler konusunda çalışanların farkındalığını artırın.