Son raporlar, tehdit aktörlerinin DarkGate Loader kötü amaçlı yazılımını dağıtmak için Microsoft Teams’i kullandığını gösteriyor.
Kampanya, güvenliği ihlal edilmiş iki harici Office 365 hesabından kaynaklandı ve “Akkaravit Tattamanas” ([email protected]) Ve “ABNER DAVID RIVERA ROJAS” ([email protected])
DarkGate yükleyici kötü amaçlı yazılımı 2017’de tanıtıldı ancak yalnızca orijinal geliştiricisi tarafından kullanılıyordu. Ancak Haziran 2023’te kötü amaçlı yazılım geliştiricisi, bunun çeşitli siber suç forumlarında Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) adıyla reklamını yapmaya başladı.
Operatörlerden birinin başka fikirleri olana ve kötü amaçlı yazılımı dağıtmak için Microsoft Teams’i kullanmaya başlayana kadar, geleneksel olarak e-posta yoluyla yayıldı. Mağdurlara gönderilen mesajın içeriği İK temalı bir sosyal mühendislik sohbet mesajından oluşuyordu.
Microsoft Teams Kullanan Bilgisayar Korsanları
Daha ileri araştırmalar, sohbet mesajlarının harici olarak barındırılan bir Sharepoint bağlantısından oluştuğunu ortaya çıkardı; bu bağlantı, “Tatil programındaki değişiklikler.zip” adı altında bir ZIP dosyası içerir.
Kurbanlar bu ZIP dosyasını indirdikten sonra, PDF belgesi olarak gizlenmiş bir LNK dosyasından (kısayol) oluşuyor ve “Tatil programında değişiklikler.pdf.lnk” adını taşıyor.
LNK dosyasının daha ayrıntılı analizi, açıldığında dosyanın bir yürütme zinciri için çeşitli komutlara sahip olduğunu ve bu komutların başlangıçta C:\tpgh\ dizininde “asrxmp.vbs” adında bir VBScript dosyası oluşturacağını ve onu otomatik olarak çalıştıracağını ortaya çıkardı.
VBScript dosyası çalıştırıldıktan sonra dosyayı uzak sunucudan indirir hXXp:// 5[.]188[.]87[.]58:2351/wbzadczl ve onu çalıştırır. Bu yürütme, Autoit3.exe’yi ve paketlenmiş eszexz.au3 komut dosyasını indirmek ve yürütmek için cURL’nin Windows sürümünün (wbza olarak yeniden adlandırıldı) kullanılmasına yol açar.
Bu AutoIT betiği başka bir kabuk kodu dosyasını bırakır ve çalıştırmadan önce Sophos’un kurulu olup olmadığını kontrol eder. Değilse, AutoIT betiği kodunun gizliliğini daha da kaldırır ve kabuk kodunu başlatır.
Bu son kabuk kodu yürütmesi, “” olarak tanımlanan yeni bir Windows yürütülebilir dosyasını yüklemek için bayttan bayta bir dosya oluşturur.DarkGate yükleyici” kötü amaçlı yazılım.
Truesec tarafından, kod gizlemenin kaldırılması, yapılandırma analizi ve bu DarkGate yükleyici kötü amaçlı yazılımıyla ilgili diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.
“Maalesef Güvenli Ekler gibi mevcut Microsoft Teams güvenlik özellikleri veya Güvenli Bağlantılar bu saldırıyı tespit edemedi veya engelleyemedi.” Truesec’in gönderisini okur. Bu kampanya, alıcıların güvenlik farkındalığı eğitimi nedeniyle tespit edildi.
Kuruluşların ve BT yöneticilerinin, Microsoft Teams’in belirli harici etki alanlarından gelen sohbet isteklerine izin vermek ve güvenilir etki alanlarından oluşan bir beyaz liste oluşturmak da dahil olmak üzere bazı güvenlik özelliklerini uygulamaları önerilir.
Ayrıca kuruluşların, tüm çalışanlarını eğitebilecek ve gelecekteki saldırıları önleyebilecek siber güvenlik farkındalığı konusunda çalışanlarını eğitmeleri de önerilmektedir.
Uzlaşma Göstergeleri
| Dosya adı | SHA256 Karma |
| Tatil programında değişiklikler.zip | 0c59f568da43731e3212b6461978e960644be386212cc448a715dbf3f489d758 |
| Tatil programında değişiklikler.pdf.lnk | bcd449470626f4f34a15be00812f850c5e032723e35776fb4b9be6c7be6c8913 |
| c:\tgph\asrxpm.vbs | 4c21711de81bb5584d35e744394eed2f36fef0d93474dfc5685665a9e159eef1 |
| c:\wbza\eszexz.au3 | 1bcde4d4613f046b63e970aa10ea2662d8aa7d326857128b59cb88484cce9a2d |
Komuta ve Kontrol Sunucusu
- hXXp://5[.]188[.]87[.]58:2351
Güvenliği Tehlikeye Giren E-posta Adresleri
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.