Giriş
KongTuke adlı başlangıç erişim aracısı, sosyal mühendislik saldırıları için Microsoft Teams platformunu kullanmaya başladı ve kurumsal ağlara kalıcı erişim sağlamak için yalnızca beş dakikaya ihtiyaç duyuyor. Bu durum, siber güvenlik alanında yeni tehditlerin ve yöntemlerin ortaya çıktığını göstermektedir.
Saldırı Nasıl Çalışıyor?
KongTuke, kullanıcıları yanıltarak kötü niyetli bir PowerShell komutunu çalıştırmaya ikna ediyor. Bu komut, ModeloRAT adlı kötü amaçlı yazılımı dağıtıyor. Araştırmacılar, bu yeni taktiğin, KongTuke’un daha önce yalnızca web tabanlı FileFix ve CrashFix tuzaklarına dayandığını belirtiyor.
Etkilenen Sistemler
* Microsoft Teams üzerinde gerçekleştirilen saldırılarda, hedef alınan kullanıcılar:
- Şirket çalışanları
- IT ve yardım masası personeli olarak kendilerini tanıtan saldırganlarla iletişime geçmektedirler.
* Kullanıcıların sistemlerine dağıtılan kötü amaçlı yazılım, sistem ve kullanıcı bilgilerini toplamakta, ekran görüntüleri almakta ve dosyaları dışarı sızdırmaktadır.
ModeloRAT’ın Evrimi
ReliaQuest tarafından yapılan incelemelere göre, son saldırılarda kullanılan ModeloRAT versiyonu şu üç önemli gelişmeyi içermektedir:
- Aktif failover, rastgele URL yolları ve kendini güncelleme yetenekleri içeren daha dayanıklı bir C2 mimarisi.
- Ayrıca, ana RAT, ters shell ve TCP arka kapısı gibi bağımsız erişim yollarının çokluğu.
- Standart temizleme prosedürlerini atlatan, sistem seviyesinde zamanlanmış görevler ve diğer kalıcılık mekanizmalarının genişletilmesi.
Çözüm ve Korunma
KongTuke’un Microsoft Teams üzerinden düzenlediği saldırılara karşı korunmak için öneriler:
- Microsoft Teams dış federasyonunu sınırlamak için izin listeleri kullanarak bu saldırıları en baştan engelleyin.
- ReliaQuest’in raporundaki uzlaşma göstergelerini kullanarak saldırı izlerini araştırın.
Sonuç
Kurumsal ağlarınızı korumak için hemen güncellemelerinizi kontrol edin, Microsoft Teams ayarlarınıza göz atın ve dış bağlantıları sınırlayın. Unutmayın, bilinçli bir kullanıcı olmak, siber güvenlikteki en iyi savunmadır.
