Siber güvenlik uzmanlarının yakın tarihli bir soruşturmasına göre, gelişmiş bir kötüverizasyon kampanyası, tehlikeli istiridye kötü amaçlı yazılım sunan silahlı bir Microsoft Teams yükleyicisi aracılığıyla kuruluşları hedefliyor.
Saldırı, geleneksel güvenlik önlemlerinden kaçınmak için SEO zehirlenmesi, sertifika kötüye kullanımı ve arazi yaşamı tekniklerini birleştirerek tehdit oyuncusu taktiklerinde endişe verici bir evrim gösteriyor.
Saldırı ilk olarak 25 Eylül 2025’te, Microsoft Defender’ın Saldırı Yüzeyi Azaltma (ASR) kurallarının yeni yürütülen bir dosyadan şüpheli giden bağlantıları başarıyla engellediği ele alındı.
Bu kritik müdahale, uygun şekilde yapılandırılmış uç nokta koruma politikalarının önemini vurgulayarak yıkıcı bir ihlal olabileceğini engelledi.
Soruşturmada, kurbanlar meşru bing aramalarından sadece 11 saniyede kötü niyetli altyapıya yönlendirildiği son derece hızlı bir saldırı dizisi ortaya çıktı – manuel kullanıcı etkileşimi için çok hızlı bir zaman dilimi, sofistike otomatik yönlendirme mekanizmalarını gösteriyor.
Saldırı Zinciri: Aramadan uzlaşmaya kadar
Tehdit aktörleri, Microsoft ekipleriyle ilgili sorgular için arama sonuçlarında kötü niyetli siteleri konumlandıran kötü niyetli bir yaklaşım kullandılar.
Takım indirmelerini arayan kurbanlar, dikkatlice inşa edilmiş bir zincirle otomatik olarak yeniden yönlendirildi: Bing Search → Team.frywow.com → Teams-install.icu.
Kötü niyetli alan “Teams-install.icu”, CDN’nin güvenilir itibarından yararlanmak için CloudFlare Altyapısı’nda (IP aralıkları: 104.21.xx, 172.67.xx) barındırılan meşru bir Microsoft özelliği olarak görünecek şekilde hazırlanmıştır.
Etki alanında Google Trust Services’ten geçerli bir SSL sertifikası vardı, ancak sadece iki günlük olağandışı kısa geçerlilik süresi (24-26 Eylül, 2025).
Bu kampanyayı özellikle sofistike yapan şey, tehdit oyuncunun meşru kod imzalama hizmetlerini kötüye kullanmasıdır. Kötü amaçlı MSTEAMSSetup.exe dosyası, “Kuttanadan Creations Inc” den geçerli bir sertifika ile dijital olarak imzalandı. Microsoft Kimliği Doğrulanmış CS EOC CA 01 Sertifika Zinciri kullanılarak.
Bu sertifikanın, saldırganların imza tabanlı güvenlik kontrollerini atlamak için meşru kısa ömürlü sertifikalar aldıkları ortaya çıkan bir tehdit modelini temsil eden son derece kısa bir ömrü vardı.
Güvenlik araştırmacıları, koordineli bir operasyon öneren “Shanxi Yanghua Home Furnishings Ltd” gibi imzalayanlar da dahil olmak üzere ilgili kampanyalarda kullanılan benzer sertifikaları belirlediler.
İstiridye kötü amaçlı yazılım yükü
Silahlı yükleyici, istiridye arka kapısının bir varyantını (süpürge çubuğu veya temizlikçi olarak da bilinir) dağıtmak için tasarlanmıştır.
Bu sofistike kötü amaçlı yazılım ailesi, kalıcı arka kapı erişimi kurabilir, veri pessfiltrasyonu gerçekleştirebilir, ek yükler dağıtılabilir ve fidye yazılımları dağıtımını potansiyel olarak kolaylaştırabilir.
Saldırı zaman çizelgesi, kötü amaçlı yazılımları, yürütüldükten hemen sonra nickbush24.com ile komuta ve kontrol iletişimi oluşturmaya çalıştığını gösterir.
Bununla birlikte, Microsoft Defender’ın ASR kuralları bu kritik bağlantıyı başarıyla engelledi ve herhangi bir hasar meydana gelmeden tehdidi etkili bir şekilde etkisiz hale getirdi.
Soruşturma, karaya oturma tekniklerinin kullanımını ortaya çıkardı ve kötü amaçlı yazılım tespit edilmesini önlemek için meşru pencerelerden yararlandı.
14:20:21 tarihinde, CleanMgr.exe, DIMPHOST.EXE’yi geçici klasörlerde oluşturdu – saldırganların meşru sistem süreçlerini kötüye kullanmanın yaratıcı yollarını nasıl bulmaya devam ettiğini gösteren şüpheli bir etkinlik modeli.
Kuruluşlar, benzer saldırılara karşı savunmak için birkaç kritik algılama mekanizması uygulamalıdır:
Sertifika Anomali Tespiti Yedi gün veya daha kısa süreliğine geçerli sertifikalarla imzalanan yürütülebilir ürünler için uyarılar, özellikle yazılım yükleyicileri için ilk görülen imzalayanlar için izleme ve “Microsoft ID doğrulanmış CS EOC CA 01” tarafından yayınlanan sertifikalar dahil olmak üzere gereklidir.
Ağ tabanlı algılama, arama motorlarından yeni kaydedilmiş alanlara hızlı yönlendirmeleri işaretlemeli, .ICU gibi olağandışı TLD’lere sahip alanlardan indirmeleri uyarmalı ve arama motoru sorgularını hemen takip eden CloudFlare IPS ile bağlantıları izlemelidir.
Kurumsal Güvenlik için Temel Dersler
Bu olay, saldırganların geleneksel güvenlik önlemlerini atlamak için tekniklerini sürekli olarak geliştirdiklerini göstermektedir.
Modern kötü niyetli kampanyaların hızı – kullanıcıları aramadan enfeksiyona 15 saniyenin altında uzlaştırabilir – proaktif savunma önlemlerinin kritik önemini ortaya koymaktadır.
Uygun şekilde yapılandırılmış ASR kuralları yoluyla elde edilen başarılı önleme, katmanlı güvenlik yaklaşımlarının sofistike tehditlere karşı etkili olduğunu kanıtlamaktadır.
Bununla birlikte, tehdit aktörleri güvenlik kontrollerinden kaçınmak için kısa ömürlü sertifikaları silahlandırabildiğinde sertifika güveni artık mutlak olmadığından, kuruluşlar sadece imzaya dayalı tespite güvenemezler.
Kurumsal güvenlik ekipleri, davranışsal tabanlı algılama sistemlerinin uygulanmasına öncelik vermeli, ASR kural konfigürasyonlarının düzenli olarak gözden geçirilmesi ve güncellenmesi ve gelişmekte olan saldırı modellerini önemli hasara neden olmadan tanımlamak için sağlam tehdit istihbarat programlarının sürdürülmesi gerekir.
Uzlaşma Göstergeleri (IOCS)
İşte verileriniz tablo formunda:
Etki alanı göstergeleri
| Gösterge | Tanım |
|---|---|
| Takımlar[.]YBÜ | Kötü amaçlı yük dağıtım sitesi |
| takım[.]frywow[.]com | Yeniden yönlendirme/kapı altyapısı |
| Witherspoon-law[.]com | Yeniden yönlendirme/kapı altyapısı |
| Nickbush24[.]com | C2 Sunucusu |
Dosya Göstergeleri
| Gösterge | Tanım |
|---|---|
| Msteamssetup.exe | Kötü niyetli yürütülebilirin adı |
| BD6AD2E1B62B2D0994ADF322011F2A3AFBB14F097EFA3CBE741BC4C963E48889 | Kötü amaçlı dosyanın SHA256’sı |
| Kuttanadan kreasyonları. | Sertifika İmzacı |
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.