Haberler

Siber Saldırganlar Microsoft Teams Aramalarıyla Şirketleri Hedef Alıyor

Gürkan Küçükali fotoğrafı Gürkan Küçükali Bir e-posta göndermek 22/01/2025
0 1 dakika okuma süresi

Siber saldırganlar şirket çalışanlarını kandırmak için yeni bir yöntem kullanıyor. Microsoft Teams üzerinden IT destek ekibi gibi davranan saldırganlar uzaktan erişim sağlamak ve şirket ağına sızmak. Bu saldırılar, özellikle e-posta bombardımanıyla başlıyor ve ardından sahte IT destek çağrılarıyla devam ediyor.

Saldırının Detayları

Siber suçlular, hedef şirketlere kısa sürede binlerce spam e-posta gönderiyor. Ardından, kurbanlara Microsoft Teams üzerinden dışarıdan bir çağrı geliyor. Çağrıyı yapan kişi, kendisini “Yardım Masası Yöneticisi” olarak tanıtarak çalışanı uzaktan erişim izni vermeye ikna ediyor. Bu şekilde, saldırganlar şirket ağına sızma fırsatı buluyor.

Sophos araştırmacıları, bu yöntemin ‘Black Basta’ siber saldırı grubu tarafından kullanıldığını tespit etti. Ancak, benzer tekniklerin FIN7 gibi diğer siber suç gruplarıyla da bağlantılı olabileceği belirtiliyor.

Gizlenmiş RPivot kodu

Saldırı Nasıl Gerçekleştiriliyor?

Siber saldırganlar şu aşamalarla şirketleri hedef alıyor;

  1. E-posta Bombardımanı: Hedef şirket çalışanlarına kısa sürede binlerce spam e-posta gönderiliyor.
  2. Sahte IT Destek Çağrısı: Microsoft Teams üzerinden dışarıdan gelen bir çağrıda, saldırgan kendisini IT destek ekibi olarak tanıtıyor.
  3. Uzaktan Erişim İzni: Çalışan, saldırgana uzaktan erişim izni veriyor.
  4. Malware Yükleme: Saldırgan, şirket ağına sızmak için zararlı yazılımlar yüklüyor.

Hangi Yöntemler Kullanılıyor?

  • Java ve Python Scriptleri: Saldırganlar, şirket ağına sızmak için Java ve Python tabanlı zararlı yazılımlar kullanıyor.
  • ProtonVPN ve Zararlı DLL: Legitimate ProtonVPN yazılımı üzerinden zararlı bir DLL dosyası yükleniyor.
  • RPivot Aracı: Bu araç, saldırganlara şirket ağı içinde hareket etme imkanı sağlıyor.

Sophos araştırmacıları ayrıca ‘STAC5777’ adlı bir grup tarafından yürütülen ikinci bir kampanyayı daha inceledi. Bu saldırıda, kurbanlar Microsoft Quick Assist aracı üzerinden uzaktan erişim sağlamaya ikna edildi. Saldırganlar, Azure Blob Storage’da barındırılan zararlı yazılımları yükleyerek şirket ağına sızdı.

Bu saldırıda, Black Basta hacker grubunun devreye sokulmaya çalışıldığı gözlemlendi. Saldırganlar, şirket ağındaki şifreleri ve hassas verileri çalmaya odaklandı.

Siber saldırganlar, Microsoft Teams üzerinden IT destek ekibi gibi davranarak şirket ağlarına sızma yöntemini giderek yaygınlaştırıyor. Bu saldırılardan korunmak için, dış etki alanlarından gelen mesaj ve çağrıları engellemek, Microsoft Quick Assist gibi araçları kritik sistemlerde devre dışı bırakmak ve çalışanları sahte çağrılara karşı bilinçlendirmek büyük önem taşıyor. Şirketlerin bu tür siber tehditlere karşı proaktif önlemler alması, veri güvenliği için hayati bir adım olacaktır.

Gürkan Küçükali fotoğrafı Gürkan Küçükali Bir e-posta göndermek 22/01/2025
0 1 dakika okuma süresi
Gürkan Küçükali fotoğrafı

Gürkan Küçükali

İlgili Makaleler

Sahte Homebrew Reklamları Mac Kullanıcılarını Hedefliyor

Sahte Homebrew Reklamlarıyla Mac Kullanıcıları Hedef Alınıyor

22/01/2025
Windows 11 Game Bar Tarayıcı Özelliği Artık Herkesin Kullanımına Sunuldu

Windows 11 Game Bar Tarayıcı Özelliği Artık Herkesin Kullanımına Sunuldu

22/01/2025
Windows 11 24H2 Güncellemesi, PC Oyuncuları İçin Kabusa Dönüştü! Dell Dizüstü Bilgisayarlar Kapatılamıyor!

Windows 11 24H2 Güncellemesi, Windows 10 Kullanıcılarına Sunuluyor

22/01/2025
Google Chromebook’a Yüz Hareketleriyle Kontrol Özelliği Geliyor!

Google Chromebook’a Yüz Hareketleriyle Kontrol Özelliği Geliyor!

22/01/2025

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu