Microsoft Teams Üzerinden EtherRAT Malware Saldırıları
Son dönemlerde artan siber saldırılar arasında, Microsoft Teams sesli aramalarının kötü niyetli aktörler tarafından kullanılmasının önemi giderek artmaktadır. Bu kampanya, kurumsal ağlara ilk erişimi sağlamak için çalışanları EtherRAT zararlı yazılımını yüklemeye ikna etmektedir.
Saldırı Nasıl Çalışıyor?
Palo Alto Networks’ün Unit 42 tarafından rapor edilen bu kampanya, phishing e-postaları, Microsoft Teams sesli aramaları, meşru uzaktan yönetim araçları ve Node.js tabanlı bir malware yükleyici kullanarak kurbanların bilgisayarlarını ele geçirmeyi hedefliyor. Saldırı şu şekilde gerçekleşiyor:
- Phishing e-postası, “Çalışan Anketi” başlığı ile kötü niyetli bir PDF eki içeriyor.
- Kurban, bu belgeyi açtıktan kısa bir süre sonra, “Sistem Yöneticisi” olarak kendini tanıtan harici bir hesaptan Microsoft Teams sesli araması alıyor.
- Teams oturumunda “Dış Tanımadık” etiketi görünüyor, bu da çağrının alıcıdan farklı bir Microsoft 365 kiracısına ait olduğunu gösteriyor.
- Kurban, Microsoft Teams’in ekran paylaşım özelliği aracılığıyla uzaktan kontrol vermeye ikna ediliyor ve bu aşamada HopToDesk ve AnyDesk gibi meşru uzaktan erişim araçlarının kurulumu yapılıyor.
- Uzaktan erişim sağlandıktan sonra, kötü niyetli bir MSI yükleyicisi (v7.msi) indirilip çalıştırılıyor ve bu yükleyici EtherRAT’ı başlatıyor.
Etkilenen Sistemler
EtherRAT, Node.js ile yazılmış, çok platformlu bir uzaktan erişim trojanıdır. Bu yazılım, kurban sistemlerinde tam kontrol sağlamakta ve şunları yapabilmektedir:
- Komutları çalıştırmak
- Dosyaları manipüle etmek
- Veri çalmak
- Sürekliliği sağlamak
Komut ve kontrol (C2) sunucusunu almak için Ethereum akıllı kontratları kullanarak daha zor ulaşılır hale gelmektedir. Önceden devlet destekli saldırılarda kullanılan EtherRAT, React2Shell zafiyetinden yararlanmış ve şimdi birçok kötü niyetli aktör tarafından benimsenmiştir.
Çözüm ve Korunma
Bu tür saldırılara karşı korunmak için Microsoft, Teams platformuna yeni korumalar eklemektedir. Bu kapsamda:
- Dışarıdan arayanları ve sohbetleri tanımlayan uyarılar eklenmiştir.
- Şüpheli üçüncü taraf botlarının otomatik olarak toplantı lobisine alınması sağlanmıştır.
Ayrıca, Microsoft Teams üzerinden gelen saldırıların sayısındaki artış göz önüne alındığında, bu tür tehditlere karşı daha kontrollü bir yaklaşım benimsemek önem kazanmaktadır.
Sonuç
Eğer bir işletme sahibi veya yöneticisiyseniz, aşağıdaki adımları hemen uygulayın:
- Güncellemeleri Yapın: Sistemlerinizi ve yazılımlarınızı güncel tutun.
- Portları Kapatın: Gerekmediği durumlarda dış bağlantılara kapalı tutun.
- Çalışanlarınızı Bilinçlendirin: Phishing saldırıları ve dışarıdan gelen bağlantılara karşı uyarın.
Bu tür önlemler, kurumsal ağlarınızı olası tehditlere karşı korumak için kritik öneme sahiptir.


