AT&T Siber Güvenlik yeni bir tehdide karşı uyarıyor: Microsoft Teams kimlik avı ve kötü amaçlı yazılım saldırılarını hedef alıyor. Kuruluşunuzu bu gelişen siber tehditlere karşı nasıl koruyacağınızı öğrenin.
AT&T Siber Güvenlik’in siber güvenlik uzmanları endişe verici bir eğilimi ortaya çıkardı: Yaygın olarak kullanılan işbirliği platformu Microsoft Teams, kimlik avı dolandırıcılıkları ve kötü amaçlı yazılım saldırıları için bir vektör olarak kullanılıyor.
E-posta yoluyla geleneksel kimlik avı yaygın bir tehdit olmaya devam ederken, Harici Erişimin Microsoft Teams’e entegrasyonu, kötü niyetli aktörlerin yararlanabileceği yeni bir sınır açtı. Bilginize, Harici Erişim, Teams, Skype Kurumsal veya Skype kullanarak kuruluşunuz dışındaki kişilerle kolaylaştırılmış iletişim ve işbirliği sağlar.
AT&T Siber Güvenlik’in Yönetilen Tespit ve Yanıt (MDR) ekibi tarafından yakın zamanda bildirilen bir olayda, bir müşteri, kuruluşuna bağlı olmayan harici bir kullanıcının dahili üyelerle istenmeyen Microsoft Teams sohbetleri başlatması üzerine alarma geçti. Şüpheler arttı ve soruşturmanın ardından sohbetlerin gerçekten kimlik avı amaçlı olduğu doğrulandı.
Saldırının karmaşıklığı, MDR ekibinin olayı daha derinlemesine incelemesi sırasında 30 Ocak 2024’te yayınlanan bir blog gönderisinde ortaya çıktı. Saldırganın kullandığı taktiklerin ve güvenlik ihlali göstergelerinin (IOC’ler) analizi, hem büyük hem de küçük işletmelerde kötü şöhrete sahip bir tehdit olan DarkGate kötü amaçlı yazılımıyla ilişkileri ortaya çıkardı.
DarkGate kötü amaçlı yazılımı ilk olarak 25 Aralık 2017’de ortaya çıktı ve başlangıçta bir şifre hırsızı ve kripto para madencisi olarak işlev görüyor ve öncelikle Torrent dosyaları aracılığıyla yayılıyor. Windows iş istasyonlarını hedef aldığını gözlemleyen enSilo araştırmacısı Adi Zeligson tarafından tespit edildi.
Ekim 2023’te DarkGate yeniden ortaya çıktı ve bu kez Vietnam merkezli tehdit aktörleriyle ilişkilendirildi. Son kampanyaları özellikle Hindistan, Amerika Birleşik Devletleri ve Birleşik Krallık’taki META hesaplarına sızmaya odaklandı.
En son saldırıya gelince, MDR SOC ekibinin zamanında müdahalesi, saldırıyı önemli bir hasar oluşmadan önleyerek proaktif siber güvenlik önlemlerinin önemini ortaya koydu.
Soruşturmanın anahtarı, Teams ortamındaki şüpheli etkinliklerin belirlenmesiydi. Kimlik avı girişiminin kapsamını gösteren 1.000’den fazla Microsoft Teams olayı işaretlendi. MDR SOC ekibi, Microsoft 365 kiracı kimliklerinden yararlanarak ve sohbet etkileşimlerini titizlikle izleyerek, güvenliği ihlal edilmiş hesapların ve varlıkların düzeltilmesi için başarılı bir şekilde tespit etti.
Daha ayrıntılı inceleme, bazı kullanıcıların farkında olmadan çift uzantılı dosyalar indirdiklerini ortaya çıkardı; bu, saldırganların kötü amaçlı yürütülebilir dosyaları gizlemek için kullandığı yaygın bir taktiktir. Bu bilgilerle donanmış olan müşteri, hızlı bir şekilde harekete geçti, parola sıfırlama işlemini başlattı ve etkilenen varlıkları tehdidi kontrol altına alacak şekilde izole etti.
Kuruluşlar uzaktan çalışma için Teams gibi işbirliği platformlarına giderek daha fazla güvendikçe, ortaya çıkan tehditlere karşı tetikte kalmaları gerekiyor. AT&T Siber Güvenlik’in önerileri arasında, iş operasyonları için gerekli olmadıkça Microsoft Teams’de Harici Erişimin devre dışı bırakılmasının değerlendirilmesi ve tüm iletişim kanallarındaki kimlik avı girişimlerini tanıyıp raporlamaya yönelik kullanıcı eğitiminin güçlendirilmesi yer alıyor.
İLGİLİ MAKALELER
- Microsoft Yöneticilerinin E-postaları Rusya’daki Hackerlar Tarafından İhlal Edildi
- Bilgisayar korsanları kötü amaçlı yazılım yaymak için Microsoft Teams sohbetini kullanıyor
- Zoom Kimlik Avı Dolandırıcılığı Microsoft Exchange Kimlik Bilgilerini Çaldı
- GIF ile Microsoft Teams hesabının ele geçirilmesine izin verilen kusur
- Microsoft, Kötü Amaçlı Yazılımların Kötüye Kullanılmasından Sonra Uygulama Yükleyici Özelliğini Devre Dışı Bırakıyor