Tehdit Aktörleri Sesli Arama Kullanarak Microsoft Teams Aracılığıyla Fidye Yazılımı Sağlıyor

   Ocak 22, 2025  Posted in CyberSecurityNews


Tehdit Aktörleri Sesli Arama Kullanarak Microsoft Teams Aracılığıyla Fidye Yazılımı Sağlıyor

Sophos Yönetilen Tespit ve Yanıt (MDR), hedeflenen kuruluşlara yetkisiz erişim sağlamak için Microsoft Teams’i kullanan iki farklı fidye yazılımı kampanyasını ortaya çıkardı.

STAC5143 ve STAC5777 olarak takip edilen tehdit aktörleri, harici kullanıcıların dahili kullanıcılarla sohbet veya toplantı başlatmasına olanak tanıyan varsayılan bir Microsoft Teams yapılandırmasından yararlanıyor.

Saldırı metodolojisi daha karmaşık hale getirmek için çeşitli türleri ve yaklaşımları içerir.

Bunun yanı sıra Sophos araştırmacıları, tehdit aktörlerinin çok adımlı bir yaklaşım kullandığını da belirtti:-

  1. E-posta Bombalaması: Hedefler bir saatten kısa sürede 3.000’e kadar spam e-postayla boğulur.
  2. Sosyal Mühendislik: Saldırganlar BT desteği gibi görünerek kurbanlara Microsoft Teams çağrıları başlatır.
  3. Uzaktan Erişim: Tehdit aktörleri, kurbanlara Microsoft Hızlı Yardım’ı yüklemeleri veya Teams’in yerleşik uzaktan kontrol özelliğini kullanmaları konusunda rehberlik eder.
  4. Kötü Amaçlı Yazılım Dağıtımı: Saldırganlar kontrolü ele geçirdikten sonra kötü amaçlı yükleri çalıştırır.

Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free

Kampanyalar

STAC5143 Kampanyası

  • Java Arşivi (JAR) dosyalarını ve Python tabanlı arka kapıları kullanır
  • Ters SOCKS proxy aracı olan karmaşık RPivot’u kullanır
  • Kod gizleme için FIN7 tekniklerine benzer bir lambda işlevi kullanır
  • Komuta ve kontrol (C2) sunucularına 80 numaralı bağlantı noktası üzerinden bağlanır
Winter.zip arşivindeki RPivot’un gizlenmiş bir kopyasından Python kodu (Kaynak – Sophos)

STAC5777 Kampanyası

  • Yasal bir Microsoft yürütülebilir dosyası (OneDriveStandaloneUpdater.exe) tarafından yandan yüklenen kötü amaçlı bir DLL (winhttp.dll) kullanır
  • İmzasız OpenSSL araç seti sürücülerini kullanarak C2 bağlantıları kurar
  • Kayıt defteri değişiklikleri:
  reg add "HKLM\SOFTWARE\TitanPlus" /v 1 /t REG_SZ /d "185.190.251.16:443;207.90.238.52:443;89.185.80.86:443" /f
  • Kalıcılık için bir hizmet ve .lnk dosyası oluşturur
  • Yanal hareket için SMB taramasını gerçekleştirir
  • Güvenlik yazılımını ve MFA çözümlerini kaldırma girişimleri

Bu kampanyalarda kullanılan kötü amaçlı yazılımlar aşağıdakileri yapabilir: –

  • Sistem ve işletim sistemi ayrıntılarını toplayın
  • Kullanıcı kimlik bilgilerini toplayın
  • Windows API işlevlerini kullanarak tuş vuruşlarını günlüğe kaydedin
  • Ağ keşfi ve yanal hareket gerçekleştirin
  • Hassas verileri sızdırın
Tehdit aktörünün Microsoft Office 365 entegrasyonu tarafından yakalanan gelen etkinliği (Kaynak – Sophos)

Bir örnekte STAC5777, Sophos uç nokta koruması tarafından engellenen Black Basta fidye yazılımını dağıtmaya çalıştı.

Azaltma stratejileri olarak kuruluşların izlemesi gerekenler: –

  1. Harici kuruluşlardan gelen Teams çağrılarını kısıtlama
  2. Hızlı Yardım gibi uzaktan erişim uygulamalarının kullanımını sınırlayın
  3. Yetkisiz Hızlı Yardım yürütmeyi engellemek için uygulama kontrol ayarlarını uygulayın
  4. Güvenlik izleme için Microsoft Office 365 entegrasyonunu kullanın
  5. Bu sosyal mühendislik taktikleri hakkında çalışanların farkındalığını artırın

Sophos, ATK/RPivot-B, Python/Kryptic.IV ve Troj/Loader-DV dahil olmak üzere bu kampanyalarda kullanılan kötü amaçlı yazılımlara yönelik algılamaları devreye aldı.

Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri



Source link