Gelişmiş bir siber saldırı, Microsoft Teams kılığına giren kötü amaçlı bir yükleyiciyi dağıtmak için arama motoru optimizasyonundan (SEO) yararlanıyor ve şüphelenmeyen kuruluşları hedef alıyor.
Kasım 2025’ten bu yana aktif olan bu kampanya, kullanıcıları truva atı haline getirilmiş bir uygulamayı indirmeye teşvik etmek için sahte bir Microsoft Teams web sitesi kullanıyor ve bu uygulama daha sonra “ValleyRAT” kötü amaçlı yazılımını dağıtıyor.
Bu kötü amaçlı yazılım, saldırganlara virüslü sistemler üzerinde uzaktan kontrol sağlayarak hassas verileri çalmalarına, komutları yürütmelerine ve ağ içinde kalıcı bir varlık sürdürmelerine olanak tanır.
Saldırı, Microsoft Teams’i arayan kullanıcıların zehirli arama sonuçları aracılığıyla kötü amaçlı bir web sitesine yönlendirilmesiyle başlıyor.
Web sitesi, teamscn[.]comÇince konuşan kullanıcıları hedeflemek için tasarlanmış, yazım hatası yapılmış bir alan adıdır.
Reliaquest güvenlik analistleri/araştırmacıları, Çinli APT grubu “Silver Fox” olarak tanımlanan tehdit aktörlerinin ikili bir hedefe sahip olduğunu belirtti: devlet destekli casusluk yürütmek ve mali kazanç için siber suçlara karışmak.
İşbirliği platformunun kurumsal ortamlarda yaygın kullanımı göz önüne alındığında, başarılı bir enfeksiyon olasılığını artıran sahte bir Microsoft Teams uygulamasının yem olarak kullanılması stratejik bir seçimdir.
Bu kampanyayı özellikle aldatıcı kılan şey, güvenlik araştırmacılarını yanıltmak için “sahte bayrak” tekniklerinin kullanılmasıdır.
Örneğin kötü amaçlı yazılım yükleyici, saldırıyı Rus tehdit aktörlerine atfetmek için kasıtlı bir taktik olan Kiril karakterleri ve Rusça dil öğeleri içeriyor.
.webp)
Ancak Reliaquest güvenlik araştırmacıları, önceki saldırılarla örtüşen altyapıyı öne sürerek kampanyayı yüksek güvenle “Silver Fox” ile ilişkilendirdi.
Bu yanlış yönlendirme, ilişkilendirmeyi karmaşık hale getirmeye ve olaya müdahale çabalarını yavaşlatmaya yönelik, saldırganlara hedeflerine ulaşmaları için daha fazla zaman tanıyan hesaplı bir harekettir.
Enfeksiyon ve Kaçınma
Bulaşma süreci, güvenlik önlemlerini atlamak ve kullanıcıları yanıltmak için tasarlanmış çok aşamalı bir işlemdir.
adlı bir ZIP dosyasının indirilmesiyle başlar. MSTчamsSetup.zip. Bu dosya truva atı haline getirilmiş bir yürütülebilir dosya içeriyor, Setup.exe.
Bir kez idam edildiğinde, Setup.exe sistemi tehlikeye atmak için çeşitli eylemler gerçekleştirir. İlk olarak Çin’de popüler bir antivirüs çözümü olan “360 Total Security”nin varlığını kontrol ediyor.
Daha sonra Windows Defender’daki C:, D:, E: ve F: sürücülerine istisnalar eklemek için bir PowerShell komutu kullanır ve antivirüsün bu konumları taramasını engeller.
Kullanılan komut şudur: –
powershellpowershell.exe -ExecutionPolicy Bypass -Command Add-MpPreference -ExclusionPath C:\, D:\,E:\,F:\
.webp)
Bunu takiben yürütülür Verifier.exeRusça olarak sunulan, truva atı haline getirilmiş ancak meşru görünen bir Microsoft yükleyicisidir. Bu uygulama daha sonra ikili verileri bir Profiler.json dosya.
.webp)
Aldatmayı tamamlamak için kötü amaçlı yazılım, Microsoft Teams’in yasal bir sürümünü yükler ve bir masaüstü kısayolu oluşturarak, kötü amaçlı yazılım arka planda gizlice çalışırken kullanıcının kurulumun başarılı olduğuna inanmasını sağlar.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
