Siber güvenlik dünyasında, tehdit aktörleri her geçen gün daha karmaşık yöntemlerle hedeflerini etkilemeye devam ediyor. Son araştırmalarda, Sophos Managed Detection and Response (MDR) ekibi, Microsoft Teams platformunu fidye yazılımı saldırıları için kullanan iki ayrı kampanyayı tespit etti. Bu kampanyalar, STAC5143 ve STAC5777 olarak biliniyor. MBR Teknoloji’nin uzman görüşüyle, bu saldırıların yöntemlerini, hedefledikleri zayıf noktaları ve alınması gereken önlemleri ayrıntılı bir şekilde ele alacağız.
Microsoft Teams Nasıl Kötüye Kullanılıyor?
Microsoft Teams, iş ortamlarında yaygın olarak tercih edilen bir iletişim aracıdır. Ne var ki, platformun varsayılan ayarları, dış kullanıcıların şirket içindeki çalışanlarla sohbet başlatmasına veya toplantı düzenlemesine olanak tanır. Tehdit aktörleri bu özelliği suistimal ederek fidye yazılımı saldırılarını kolaylaştırır. Sophos uzmanlarına göre, saldırganlar dört aşamalı bir yaklaşım izler:
- E-posta Bombardımanı: Hedefe bir saat içinde 3.000’den fazla spam e-postası gönderilerek dikkati dağıtılır.
- Sosyal Mühendislik: Saldırganlar, BT destek ekibi gibi görünerek Microsoft Teams üzerinden aramalar yapar.
- Uzaktan Erişim: Kurbanlar, Teams’in uzaktan erişim özelliğini kullanmaya veya Microsoft Quick Assist’i indirmeye teşvik edilir.
- Kötü Amaçlı Yazılım Yükleme: Erişim sağlandıktan sonra, saldırganlar zararlı yazılımlarını sistemlere yerleştirir.
STAC5143 Kampanyası
Bu kampanya, hedef sistemlere Java Archive (JAR) dosyaları ve Python tabanlı arka kapılar yoluyla sızar. Saldırganlar, RPivot gibi araçlarla ağda gizli erişim elde eder. Kampanyada, lambda fonksiyonları kodları gizlemek için kullanılır. Ayrıca, 80 numaralı port üzerinden iletişim kurularak saldırılar sıradan internet trafiği gibi maskelenir. Bu yöntemler, saldırganların tespitini zorlaştırır.
STAC5777 Kampanyası
STAC5777 kampanyası, daha gelişmiş tekniklerle ağlara yayılmayı amaçlar. Microsoft’un meşru yazılımı OneDriveStandaloneUpdater.exe aracılığıyla kötü amaçlı winhttp.dll dosyasını yükler. Kayıt defteri değişiklikleri ve ağ taraması ile kalıcılık sağlanır. Güvenlik önlemlerini devre dışı bırakarak sistemleri fidye yazılımı saldırılarına açık hale getirir. Bu kampanyada, Sophos uç nokta koruması sayesinde Black Basta fidye yazılımı saldırısı önlendi, ancak benzer tehditlere karşı tedbir almak hayati öneme sahiptir.
Bu Tür Saldırılara Karşı Nasıl Korunabilirsiniz?
MBR Teknoloji olarak, işletmelerin bu tehditlerden korunması için şu adımları öneriyoruz:
- Microsoft Teams Yapılandırması: Dış kullanıcıların Teams görüşmelerini kısıtlayarak olası riskleri azaltabilirsiniz.
- Uzaktan Erişim Kontrolü: Quick Assist gibi araçların kullanımını sınırlayarak yetkisiz erişimleri engelleyebilirsiniz.
- Güvenlik Çözümleri: Sophos gibi ileri düzey güvenlik araçlarıyla sistemlerinizi koruyabilirsiniz.
- Siber Farkındalık Eğitimi: Çalışanlarınızı sosyal mühendislik saldırılarına karşı eğitmek, tehditlerin etkisini düşürür.
- Proaktif İzleme: MBR Teknoloji’nin izleme ve yönetim hizmetleriyle sistemlerinizde anormal etkinlikleri belirleyebilirsiniz.
Sonuç olarak, Microsoft Teams gibi popüler platformların tehdit aktörleri tarafından hedeflenmesi, siber güvenlik önlemlerinin ne kadar kritik olduğunu gösteriyor. MBR Teknoloji olarak, işletmenizi bu tehditlerden korumak ve güvenliğinizi maksimum seviyeye çıkarmak için her zaman yanınızdayız. Daha fazla bilgi ve koruma seçenekleri için bize ulaşın. Kaynak: https://cybersecuritynews.com/threat-actors-delivering-ransomware-via-microsoft-teams/