Microsoft Teams Üzerinden Ransomware Saldırıları

Tarih: 23 Ocak 2025Sektör: Siber Güvenlik3,3 dakika okuma süresi

Microsoft Teams Üzerinden Ransomware Saldırıları: Yeni Tehditler ve Önlemler

Siber güvenlik dünyası, tehdit aktörlerinin her geçen gün daha karmaşık yöntemlerle hedeflerini manipüle ettiği saldırılara tanık oluyor. Son olarak Sophos Managed Detection and Response (MDR) ekibi, Microsoft Teams platformunu kullanarak fidye yazılımı saldırıları düzenleyen iki farklı kampanyayı ortaya çıkardı. Bu kampanyalar, STAC5143 ve STAC5777 olarak adlandırılıyor.

Bu yazıda, saldırı yöntemlerini, hedefledikleri zayıflıkları ve bu tür tehditlere karşı alınması gereken önlemleri MBR Teknoloji’nin uzmanlığıyla detaylandırıyoruz.

Microsoft Teams Nasıl Kötüye Kullanılıyor?

Microsoft Teams, iş dünyasında sıkça kullanılan bir iletişim platformu. Ancak platformun varsayılan yapılandırması, dış kullanıcıların organizasyon içindeki çalışanlarla sohbet başlatmasına veya toplantı düzenlemesine izin veriyor. Tehdit aktörleri bu özellikten yararlanarak fidye yazılımı saldırılarına zemin hazırlıyor.

Sophos araştırmacıları, saldırganların dört aşamalı bir yöntem izlediğini belirtti:

  1. E-posta Bombardımanı: Hedefe bir saat içinde 3.000’den fazla spam e-posta gönderilerek dikkat dağıtılıyor.
  2. Sosyal Mühendislik: Saldırganlar, IT destek personeli gibi davranarak Microsoft Teams aramaları yapıyor.
  3. Uzaktan Erişim: Kurbanlar, Teams’in uzaktan kontrol özelliğini kullanmaya veya Microsoft Quick Assist’i yüklemeye yönlendiriliyor.
  4. Kötü Amaçlı Yazılım Yükleme: Saldırganlar, kontrolü ele geçirdikten sonra zararlı yazılımlarını çalıştırıyor.

STAC5143 Kampanyası

Bu kampanya, hedef sistemlere Java Archive (JAR) dosyaları ve Python tabanlı arka kapılar kullanarak sızıyor. Özellikle, saldırganlar RPivot adlı bir araç ile ağ üzerinde gizli erişim sağlıyor.

Kampanyada, kodları gizlemek için lambda fonksiyonları kullanılıyor. Ayrıca, 80 numaralı port üzerinden iletişim sağlanarak saldırılar normal internet trafiği gibi gösteriliyor. Bu teknikler, saldırganların tespit edilmesini zorlaştırıyor.

STAC5777 Kampanyası

STAC5777 kampanyası, daha sofistike teknikler kullanarak hedef ağlara yayılmayı hedefliyor.

Microsoft’un meşru yazılımı olan OneDriveStandaloneUpdater.exe’yi kullanarak kötü amaçlı winhttp.dll dosyasını yüklemeyi başarıyor.

Kayıt defteri değişiklikleri ve ağ taraması ile kalıcılığını sağlıyor.

Güvenlik önlemlerini devre dışı bırakmaya çalışarak sistemleri fidye yazılımı gibi saldırılara açık hale getiriyor.

Bu kampanya kapsamında, Sophos endpoint koruması sayesinde Black Basta fidye yazılımı saldırısı engellendi. Ancak bu gibi saldırılara karşı önlem alınması kritik öneme sahip.

ransomware

Bu Tür Saldırılara Karşı Nasıl Korunabilirsiniz?

MBR Teknoloji olarak, işletmelerin bu tür tehditlerden korunması için aşağıdaki adımları öneriyoruz:

  1. Microsoft Teams Yapılandırması: Dış kullanıcıların Teams görüşmeleri yapmasını kısıtlayarak potansiyel riskleri azaltabilirsiniz.
  2. Uzaktan Erişim Kontrolü: Quick Assist gibi araçların kullanımını sınırlandırarak izinsiz erişimi önleyebilirsiniz.
  3. Güvenlik Çözümleri: Sophos gibi gelişmiş güvenlik çözümleriyle sistemlerinizi koruyabilirsiniz.
  4. Siber Farkındalık Eğitimi: Çalışanlarınızı sosyal mühendislik saldırılarına karşı eğitmek, tehditlerin etkisini azaltır.
  5. Proaktif İzleme: MBR Teknoloji’nin sunduğu izleme ve yönetim hizmetleriyle sistemlerinizde anormal aktiviteleri tespit edebilirsiniz.

Sonuç

Microsoft Teams gibi yaygın kullanılan platformların tehdit aktörleri tarafından hedef alınması, siber güvenlik önlemlerinin önemini bir kez daha ortaya koyuyor. MBR Teknoloji olarak, işletmenizi bu tür tehditlerden korumak ve güvenliğinizi en üst düzeye çıkarmak için yanınızdayız.

Daha fazla bilgi almak ve sistemlerinizi koruma altına almak için bizimle iletişime geçin.

 

Kaynakça: https://cybersecuritynews.com/threat-actors-delivering-ransomware-via-microsoft-teams/

İlgili içerikler

  • Dijital dünya büyük bir hızla gelişirken, siber tehditler de giderek daha sofistike hale geliyor. Özellikle KOBİ'ler, siber saldırganların en çok hedef aldığı kesimlerden biri haline geldi.

  • 2025 yılı, siber güvenlik alanında artan tehditler, yeni düzenlemeler ve hızla evrilen teknolojilerle daha karmaşık bir manzara sunuyor. Şirketler, müşterilerine kolay ve sorunsuz bir deneyim sağlarken hassas bilgilerini koruma konusunda çetin bir savaş verecek. İşte, 2025 yılını şekillendirecek 10 temel tehdit ve zorluk:

  • Günlük iş yaşamının vazgeçilmez bir parçası olan e-postalar, aynı zamanda siber dolandırıcıların hedefi haline gelmiştir. Mail kutularınıza gelen istenmeyen veya sahte mailler, büyük bir tehdit oluşturabilir. Bu yazıda, spam ve phishing gibi yaygın tuzakların neler olduğunu ve bu tehditlerden nasıl korunabileceğinizi açıklıyoruz.

Yorum Yazın