Giriş
Microsoft, kötü niyetli aktörlerin, dış Microsoft Teams işbirliğini istismar ettiğini ve işletme ağlarında geçiş sağlamak için meşru araçlara güvenmeye başladığını duyurdu. Bu durum, siber güvenlik tehditlerinin her zamankinden daha fazla arttığını gösteriyor.
Saldırı Nasıl Çalışıyor?
Kötü niyetli kişiler, IT veya yardım masası personeli gibi görünüp çalışanlarla etkileşime geçerek, onları uzaktan erişim sağlamaları için kandırıyor. Microsoft’un gözlemlerine göre, bu saldırılar genellikle aşağıdaki adımlarla gerçekleşiyor:
- Kötü niyetli aktör, bir dış Teams sohbeti ile hedefe ulaşıp, bir IT çalışanı gibi davranarak hesap sorununu çözmek ya da güvenlik güncellemesi yapmak istediğini belirtir.
- Hedefi uzaktan destek oturumu başlatmaya ikna ederler; genellikle bu işlem için Quick Assist kullanılır.
- Saldırgan, hedefin makinesine doğrudan erişim sağlar.
Saldırıdan sonra, aktör hızlı bir keşif yaparak, komut istemcisi ve PowerShell kullanarak yetkileri, alan üyeliğini ve ağ erişilebilirliğini kontrol eder.
Kötü niyetli kod, ProgramData gibi kullanıcı yazılabilir konumlara bırakılır ve güvende olan bir uygulama (örneğin, Autodesk, Adobe Acrobat/Reader) aracılığıyla çalıştırılır. Bu iletişim ise normal çıkış trafiğine karışarak tespiti zorlaştırır.
Etkilenen Sistemler
Bu saldırılar, özellikle Windows Remote Management (WinRM) kullanarak ağa yayılma potansiyeline sahip yüksek değerli sistemleri hedef alır.
Saldırganlar, erişilebilen sistemlere ek uzaktan yönetim yazılımları yükler ve Rclone gibi araçları kullanarak hassas verileri harici bulut depolama hizmetlerine aktarıp çıkarır. Microsoft, bu aşamanın oldukça hedeflenecek şekilde gerçekleştirildiğini ve yalnızca değerli bilgileri hedef aldığını belirtiyor.
Çözüm ve Korunma
Microsoft, kullanıcıların dış Teams iletişimlerini varsayılan olarak güvensiz olarak değerlendirmelerini öneriyor. Benzer şekilde, yöneticilere de şunları yapmaları tavsiye ediliyor:
- Uzaktan destek araçlarını kısıtlayın veya dikkatlice izleyin.
- WinRM kullanımını kontrol edilen sistemlerle sınırlayın.
- Microsoft Teams’in dışarıdan gelen iletişimlerle ilgili güvenlik uyarılarına dikkat edin.
Bu öneriler, olası siber saldırılara karşı daha güçlü bir savunma mekanizması oluşturacaktır.
Sonuç
Kullanıcıların ve yöneticilerin, uzaktan erişim ve destek işlemlerinde dikkatli olmaları büyük önem taşıyor. Sistemlerinizi güncel tutun, güvensiz bağlantılardan kaçının ve şüpheli durumlarda gerekli önlemleri alın.
