Siber Güvenlik

Acil: DragonForce Hacker’ları Microsoft Teams Arka Kapı Kullanıyor

teknomers
teknomers

Özet

DragonForce fidye yazılımıyla ilişkili tehdit aktörleri, Microsoft Teams altyapısı üzerinden komut ve kontrol (C2) trafiğini gizlemek için özel olarak geliştirilmiş bir Go tabanlı uzaktan erişim trojanı (RAT) olan Backdoor.Turn‘ü kullanıyor. Bu durum, siber güvenlik alanında önemli bir tehdit oluşturmakta ve hedef alınan kuruluşların güvenlik açıklarını artırmaktadır.

Contents

Saldırı Nasıl Çalışıyor?

DragonForce’un kullandığı Backdoor.Turn, Microsoft’un Skype destekli kimlik hizmetlerinden anonim bir Teams ziyaretçi token’ı alıyor. Bu süreç şu şekilde işlemektedir:

  • Legitim Microsoft TURN iletimi kullanarak bağlantı kurar.
  • C2 sunucusuna doğrudan bir QUIC oturumu başlatır.

Tehdit avcıları, bu bağlantının yalnızca dışa doğru giden Microsoft Teams sunucularına olan bağlantılardan ibaret olduğunu gözlemlemiştir.

Etkilenen Sistemler

Yapılan araştırmalara göre, tehdit aktörü başlangıçta ya bir SQL ya da MS-SQL sunucusundaki bir güvenlik açığını istismar ederek sisteme sızmayı başardı. Aynı zamanda, ilk erişim aracısı (IAB) aracılığıyla da bu erişimin sağlanmış olabileceği düşünülmektedir. Bu aktiviteler, Aralık 2025’te başladı ve saldırganlar, kullanıcılara teknik destek görünümü altında bir ZIP arşivinin yüklenmesini sağladı.

UYARI: Teknik Detaylar

Backdoor.Turn uygulaması, DbgView64.exe sürecine enjekte edilerek çalıştırılmaktadır. Bu, daha sonraki saldırılar için uzaktan erişim sağlamaya ve hedef sistemi yeniden satmaya yönelik bir strateji olarak yorumlanabilir.

Çözüm ve Korunma

Siber güvenlik uzmanları, aşağıdaki adımları takip ederek bu tür bir saldırıya karşı önlem alabilir:

  • Sistem güncellemelerini düzenli olarak uygulayın.
  • Güvenlik duvarları ve ağ izleme araçlarını etkinleştirin.
  • Bilgi güvenliği politikalarınızı gözden geçirin ve güçlendirin.
  • SQL ve MS-SQL sunucularındaki güvenlik açıklarını titizlikle kontrol edin.

Sonuç

Okuyucular, kullanmakta oldukları sistemlerin güncellemelerini derhal yapmalı, ağlarını güçlendirmeli ve olası tehditlere karşı mevcut güvenlik protokollerini gözden geçirmelidir. Ek olarak, portları dikkatle kapatmak ve izinsiz erişim tespit sistemlerini devreye almak hayati önem taşımaktadır.

Ekim’de DoorDash Veri İhlali: Kullanıcı Bilgileri Eğer Korumada!
CISA, Illumina’nın DNA Dizileme Cihazlarındaki Kritik Güvenlik Açıkları Hakkında Uyarıda Bulundu
Hackerlar, WordPress Alone teması üzerindeki önemli RCE açığını kullanıyor.
Kurumsal Siber Güvenlik Data Fabric’e Nasıl Sarılır?
Siber Çatışma Büyük Bir Hükümet Fidye Yazılımı Uyarısını Gölgede Bıraktı
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale AI’nin Tehlikeli Olduğuna Kim Karar Veriyor?
Sonraki Makale Steam Çerçeve Pil Detayları: Sıcak Değiştirilebilir Sistem ve AA Pil Desteği

Sanal Medya

Son Eklenenler

Acil: Klue OAuth İhlali ‘Icarus’ Salesforce Veri Hırsızlığına Bağlandı
Siber Güvenlik
Google Takvim Etkinlikler için Daha Fazla Renk Seçeneğine Kavuştu
Liste
Dünya Kupası’nda Engeller: Gözde Ülkelerin Kaybettiği Fırsatlar
Genel
Noctua NL-LC1-36 İncelemesi: Uzlaşma Yol Açıyor
Donanım
Spotify müzik süperstarlarına özel bilet satışlarına başladı
Genel
Steam Çerçeve Pil Detayları: Sıcak Değiştirilebilir Sistem ve AA Pil Desteği
Oyun