Microsoft, kötü şöhretli Vanilla Tempest hack grubu tarafından istismar edilen 200’den fazla dijital sertifikayı iptal ettiğini duyurdu.
Bu eylem, saldırganların kurumsal ağlara sızmak ve fidye yazılımı dağıtmak için Microsoft Teams kurulumlarını taklit ettiği devam eden bir kampanyayı etkili bir şekilde sekteye uğrattı.
Eylül ayı sonlarında ortaya çıkarılan operasyon, güvenlik savunmalarını atlatmak için yasal görünen yazılımlardan yararlanan fidye yazılımı operatörlerinin gelişen taktiklerini ortaya koyuyor.
VICE SPIDER ve Vice Society gibi siber güvenlik firmaları tarafından da takip edilen Vanilla Tempest, fidye yazılımı dünyasında kalıcı bir tehdit olarak ortaya çıktı.
Mali açıdan odaklı bu aktör, gasp amacıyla veri sızdırma konusunda uzmanlaşıyor ve genellikle ödemeleri en üst düzeye çıkarmak için hırsızlığı şifreleme saldırılarıyla eşleştiriyor.
Grup yıllar içinde BlackCat, Quantum Locker ve Zeppelin gibi çeşitli fidye yazılımı türlerini kullandı. Ancak son aylarda Rhysida fidye yazılımı, yüksek etkili kesintiler için sağlık, eğitim ve üretim gibi sektörleri hedef alarak tercih ettikleri silah haline geldi.
Arama Motorları Aracılığıyla Sahte Ekipler İndirmeleri
En son kampanya, meşru Microsoft Teams güncellemeleri arayan, şüphelenmeyen kullanıcıların peşine düştü. Saldırganlar, ekiplerin indirmesi gibi aldatıcı etki alanlarında sahte MSTeamsSetup.exe dosyalarını barındırdı[.]vızıltı, ekip kurulumu[.]çalıştırın ve takımları indirin[.]tepe.
Bu siteler büyük olasılıkla, manipüle edilmiş arama sonuçlarının kurbanları resmi Microsoft kaynakları yerine kötü amaçlı indirmelere yönlendirdiği arama motoru optimizasyonu (SEO) zehirlenmesi yoluyla ilgi kazandı.
Sahte yükleyiciler, yürütüldükten sonra çok aşamalı bir yükü serbest bıraktı. İlk yükleyici, Vanilla Tempest’in Haziran 2025 gibi erken bir tarihte operasyonlara entegre etmeye başladığı çok yönlü bir kötü amaçlı yazılım aracı olan Oyster arka kapısının yolunu açtı.
Eylül ayı başlarında grup, bu arka kapıları ve yükleyicileri Trusted Signing, SSL.com, DigiCert ve GlobalSign gibi saygın sağlayıcılardan çalınan veya kötüye kullanılan sertifikalarla sahtekarlıkla imzalayarak gizliliğini artırdı.
Bu imzalama işlemi, dosyalara orijinallik havası katıyor, antivirüs yazılımını ve kullanıcı incelemesini yanıltıyordu. Bulaşma zinciri, Rhysida fidye yazılımının konuşlandırılmasıyla, dosyaların kilitlenmesiyle ve fidye talep edilmesiyle doruğa ulaştı ve bu arada hassas verileri çıkar sağlamak için sızdırdı.
Microsoft’un yanıtı çok yönlüydü. Sertifika iptalinin ötesinde şirket, artık sahte kurulum dosyalarını, Oyster arka kapısını ve Rhysida fidye yazılımı çeşitlerini tespit edip engelleyen Microsoft Defender Antivirus aracılığıyla savunmasını güçlendirdi.
Kurumsal kullanıcılar için Uç Nokta için Microsoft Defender, anormal ağ etkinliği ve ayrıcalık yükseltmeleri de dahil olmak üzere Vanilla Tempest’in taktiklerine, tekniklerine ve prosedürlerine (TTP’ler) göre uyarlanmış davranışsal algılamalar sunar.
Bu olay, günlük yazılım güncellemelerinde tedarik zinciri tarzı saldırı risklerinin altını çiziyor. Teams gibi uzaktan çalışma araçları önemini korurken, saldırganlar tanıdık markalara duyulan güveni istismar etmeye devam ediyor.
Microsoft’un proaktif iptali, ele geçirilen sertifikaların daha fazla kötüye kullanılmasını önledi, ancak uzmanlar benzer taktiklerin yeni imza yetkilileriyle yeniden ortaya çıkabileceği konusunda uyarıyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
