Microsoft Teams Üzerinden Ransomware Saldırıları

Microsoft Teams Üzerinden Ransomware Saldırıları: Yeni Tehditler ve Önlemler
Siber güvenlik dünyası, tehdit aktörlerinin her geçen gün daha karmaşık yöntemlerle hedeflerini manipüle ettiği saldırılara tanık oluyor. Son olarak Sophos Managed Detection and Response (MDR) ekibi, Microsoft Teams platformunu kullanarak fidye yazılımı saldırıları düzenleyen iki farklı kampanyayı ortaya çıkardı. Bu kampanyalar, STAC5143 ve STAC5777 olarak adlandırılıyor.
Bu yazıda, saldırı yöntemlerini, hedefledikleri zayıflıkları ve bu tür tehditlere karşı alınması gereken önlemleri MBR Teknoloji’nin uzmanlığıyla detaylandırıyoruz.
Microsoft Teams Nasıl Kötüye Kullanılıyor?
Microsoft Teams, iş dünyasında sıkça kullanılan bir iletişim platformu. Ancak platformun varsayılan yapılandırması, dış kullanıcıların organizasyon içindeki çalışanlarla sohbet başlatmasına veya toplantı düzenlemesine izin veriyor. Tehdit aktörleri bu özellikten yararlanarak fidye yazılımı saldırılarına zemin hazırlıyor.
Sophos araştırmacıları, saldırganların dört aşamalı bir yöntem izlediğini belirtti:
- E-posta Bombardımanı: Hedefe bir saat içinde 3.000’den fazla spam e-posta gönderilerek dikkat dağıtılıyor.
- Sosyal Mühendislik: Saldırganlar, IT destek personeli gibi davranarak Microsoft Teams aramaları yapıyor.
- Uzaktan Erişim: Kurbanlar, Teams’in uzaktan kontrol özelliğini kullanmaya veya Microsoft Quick Assist’i yüklemeye yönlendiriliyor.
- Kötü Amaçlı Yazılım Yükleme: Saldırganlar, kontrolü ele geçirdikten sonra zararlı yazılımlarını çalıştırıyor.
STAC5143 Kampanyası
Bu kampanya, hedef sistemlere Java Archive (JAR) dosyaları ve Python tabanlı arka kapılar kullanarak sızıyor. Özellikle, saldırganlar RPivot adlı bir araç ile ağ üzerinde gizli erişim sağlıyor.
Kampanyada, kodları gizlemek için lambda fonksiyonları kullanılıyor. Ayrıca, 80 numaralı port üzerinden iletişim sağlanarak saldırılar normal internet trafiği gibi gösteriliyor. Bu teknikler, saldırganların tespit edilmesini zorlaştırıyor.
STAC5777 Kampanyası
STAC5777 kampanyası, daha sofistike teknikler kullanarak hedef ağlara yayılmayı hedefliyor.
Microsoft’un meşru yazılımı olan OneDriveStandaloneUpdater.exe’yi kullanarak kötü amaçlı winhttp.dll dosyasını yüklemeyi başarıyor.
Kayıt defteri değişiklikleri ve ağ taraması ile kalıcılığını sağlıyor.
Güvenlik önlemlerini devre dışı bırakmaya çalışarak sistemleri fidye yazılımı gibi saldırılara açık hale getiriyor.
Bu kampanya kapsamında, Sophos endpoint koruması sayesinde Black Basta fidye yazılımı saldırısı engellendi. Ancak bu gibi saldırılara karşı önlem alınması kritik öneme sahip.

Bu Tür Saldırılara Karşı Nasıl Korunabilirsiniz?
MBR Teknoloji olarak, işletmelerin bu tür tehditlerden korunması için aşağıdaki adımları öneriyoruz:
- Microsoft Teams Yapılandırması: Dış kullanıcıların Teams görüşmeleri yapmasını kısıtlayarak potansiyel riskleri azaltabilirsiniz.
- Uzaktan Erişim Kontrolü: Quick Assist gibi araçların kullanımını sınırlandırarak izinsiz erişimi önleyebilirsiniz.
- Güvenlik Çözümleri: Sophos gibi gelişmiş güvenlik çözümleriyle sistemlerinizi koruyabilirsiniz.
- Siber Farkındalık Eğitimi: Çalışanlarınızı sosyal mühendislik saldırılarına karşı eğitmek, tehditlerin etkisini azaltır.
- Proaktif İzleme: MBR Teknoloji’nin sunduğu izleme ve yönetim hizmetleriyle sistemlerinizde anormal aktiviteleri tespit edebilirsiniz.
Sonuç
Microsoft Teams gibi yaygın kullanılan platformların tehdit aktörleri tarafından hedef alınması, siber güvenlik önlemlerinin önemini bir kez daha ortaya koyuyor. MBR Teknoloji olarak, işletmenizi bu tür tehditlerden korumak ve güvenliğinizi en üst düzeye çıkarmak için yanınızdayız.
Daha fazla bilgi almak ve sistemlerinizi koruma altına almak için bizimle iletişime geçin.
Kaynakça: https://cybersecuritynews.com/threat-actors-delivering-ransomware-via-microsoft-teams/
İlgili içerikler