Giriş
Son dönemlerde, daha önce belgelenmemiş bir tehdit aktivite grubu olarak bilinen UNC6692 sosyal mühendislik taktiklerini Microsoft Teams üzerinden kullanarak özelleştirilmiş kötü amaçlı yazılım paketlerini hedeflenen sistemlere yüklemektedir. Bu durum, siber güvenlik alanında önemli bir tehdit olarak öne çıkmakta ve kurumsal ağların güvenliğini ciddi anlamda riske atmaktadır.
Saldırı Nasıl Çalışıyor?
UNC6692, büyük bir e-posta kampanyası aracılığıyla hedeflerin gelen kutusunu spam e-postalarla doldurarak sahte bir aciliyet hissi yaratmaktadır. Tehdit aktörleri, daha sonra Microsoft Teams üzerinden kendilerini IT destek ekibi olarak tanıtarak yardım teklifinde bulunmaktadır. Mandiant’ın raporuna göre:
– Saldırının ilk aşamasında, hedefe Microsoft Teams üzerinden bir sohbet daveti gönderilir.
– Hedef, bir kimlik avı bağlantısına tıklayarak, “Mailbox Repair and Sync Utility v2.1.5” adı altında yer alan bir AutoHotkey betiğini indirir.
– Bu betik, başlangıçta keşif yapar ve ardından SNOWBELT adı verilen kötü amaçlı bir Chromium bazlı tarayıcı uzantısını Edge tarayıcısına yükler.
Etkilenen Sistemler
Bu saldırı, özellikle üst düzey yöneticilere ve kurumsal ağlara ilk erişim sağlama amacı taşımaktadır. UNC6692’nin gerçekleştirdiği bazı post-exploitation eylemleri şunlardır:
- Yerel ağda port 135, 445 ve 3389’u tarama.
- PsExec oturumu açarak, kurban sistemine bağlantı kurma.
- NTLM Pass-The-Hash tekniği kullanarak, ağın etki alanı denetleyicilerine geçiş yapma.
Çözüm ve Korunma
UNC6692’nin kullandığı sosyal mühendislik taktikleri ve özel yazılımlar, güvenlik önlemlerinin ne kadar önemli olduğunu bir kez daha gözler önüne sermektedir. Bununla birlikte, bu tür saldırılara karşı almanız gereken önlemler:
- Tüm yazılımlarınızı ve işletim sistemlerinizi düzenli olarak güncelleyin.
- Microsoft Teams ve diğer iletişim araçlarındaki dış bağlantıları sıkı bir şekilde kontrol edin.
- Güçlü bir kimlik doğrulama süreci uygulayın ve yardım masası işlemlerini doğrulukla yönetin.
Saldırıların sonucunda herhangi bir olumsuz durum yaşanmaması için yukarıdaki önlemleri acilen hayata geçirin.
Sonuç
UNC6692’nin taktikleri ve kötü amaçlı yazılım ekosistemi, kurumsal ağların güvenliğini tehdit etmekte ve oltalar yoluyla hedeflerinizi istismar etmektedir. Bu nedenle, yazılım güncellemeleri yapmak, dış bağlantıları dikkatlice incelemek ve güvenlik politikalarınızı güçlendirmek konusunda kararlı olun. Gelecekte benzer saldırılarla karşılaşmamak için adımlarınızı titizlikle atın.
