DragonForce Fidye Yazılımı, Büyük Şirkete Karşı Saldırıda Saklanmak İçin Microsoft Teams'i Kullandı Linux

DragonForce Fidye Yazılımı, Büyük Şirkete Karşı Saldırıda Saklanmak İçin Microsoft Teams'i Kullandı

Araştırmacılar, kötü şöhretli bir fidye yazılımı grubunun, saldırılarını başlatmadan önce Microsoft Teams'deki komuta ve kontrol (C&C) trafiğini gizle...

Araştırmacılar, kötü şöhretli bir fidye yazılımı grubunun, saldırılarını başlatmadan önce Microsoft Teams'deki komuta ve kontrol (C&C) trafiğini gizleyerek büyük bir şirketin ağına iki aya kadar gizlice sızdığı konusunda uyardı.

Symantec ve Carbon Black tarafından 16 Haziran'da yayınlanan soruşturma raporu, saldırganların DragonForce fidye yazılımını "büyük bir ABD hizmet firmasının" ağına dağıttığı konusunda uyarıyordu.

Siber suçlular, Microsoft Teams'in TURN geçiş sunucularını kötüye kullanmak ve komut ve kontrol trafiğini maskelemek için Go tabanlı bir Uzaktan Erişim Truva Atı (RAT) kullandı. Araştırmacıların Backdoor.Turn adını verdiği arka kapı, trafiği değiştirerek tüm savunucuların meşru Microsoft Teams sunucularına giden bağlantılar olduğunu görebiliyordu.

Sonuç ve Değerlendirme

Backdoor.Turn, bir bağlantı kurmak için meşru bir Microsoft TURN geçişi kullanmadan önce Microsoft'un Skype destekli kimlik hizmetlerinden anonim bir Teams ziyaretçi jetonu almak için kullanıldı. Saldırganlar daha sonra, virüslü makineyi saldırganın kontrolündeki bir sunucuya bağlayan bir QUIC aktarım katmanı ağ protokolü oturumu çalıştırdı.

Saldırganlar ayrıca, saldırı sırasında faaliyetlerini maskelemeye yardımcı olmak için bir Huawei sürücüsünde belgelenmemiş bir güvenlik açığını da kullandılar. Güvenlik açığı daha sonra Mart 2026'da Huntress tarafından ayrıntılı olarak açıklandı.

Önemli Gelişmeler

Saldırganlar, ağdaki kalıcılığın korunmasına yardımcı olmak için yapılandırmaları ve sistemleri değiştirdi. Bu, güvenliği ihlal edilmiş makinelere kolay erişim sağlamak için Boş Parolayı Sınırla güvenlik ayarının kaldırılmasını, ek erişim sağlamak veya elde etmek için yeni kullanıcı hesapları oluşturmayı ve uzaktan erişimi kolaylaştırmak ve C&C iletişiminin engellenmeden kalmasını sağlamak için güvenlik duvarı kurallarını değiştirmeyi içeriyordu.

Devamını oku: Fidye Yazılımı Neden Siber Güvenliğin En Kalıcı ve Pahalı Tehditlerinden Biri Olmaya Devam Ediyor?

Nasıl Önlem Alınmalı?

Bu yetenekler, Backdoor.Turn'ün (kod yürütme, ağ taraması, ağ içinde kimlik bilgilerine dayalı yatay hareket ve tehlikeye atılmış uç noktalardan tarayıcı kimlik bilgileri hırsızlığı) yetenekleriyle birleştiğinde, saldırganların fazla mesai yaparak ağa gizlice uzaktan erişim elde etmesine olanak sağladı.

Tüm bunlar, Microsoft Teams'deki C&C trafiğinde gizlice saklanarak kolaylaştırıldı.

Araştırmacılar blog yazısında şöyle uyardı: "Bu kampanyadaki saldırganlar son derece gelişmiş siber ticaret yöntemleri kullanıyor. Backdoor.Turn yapılandırması, güvenlik ürünlerinin yalnızca meşru Teams sunucularına giden C&C trafiğini görmesi anlamına geliyor ve savunucuları, verilerin kötü niyetli aktörler tarafından çekildiğinden habersiz bırakıyor."

Bu olay 2025 yılında gerçekleşti ve saldırganlar verileri sızdırmak ve kurban makineleri şifrelemek için DragonForce fidye yazılımını kullanabildiler. Kurbanın şifre çözme anahtarını almak için fidye ödeyip ödemediğine veya saldırganları verileri silmeye teşvik edip etmediğine dair bir gösterge yok. Araştırmacılar, saldırının, saldırganların SQL veya MSSQL sunucusundaki bir güvenlik açığından yararlanarak kurbanın ağına erişim sağlamasıyla başladığına inanıyor.

DragonForce, son zamanların en kötü şöhrete sahip fidye yazılımı gruplarından biri haline geldi ve vakaların önemli bir yüzdesine neden oldu ve grup, birçok büyük perakendecinin kurban olduğunu iddia etti.

Araştırmacılar, "Backdoor.Turn'ün dağıtımı, çok vektörlü BYOVD kaçakçılığıyla birleştiğinde, onları bugün faaliyet gösteren en yetenekli ve kalıcı fidye yazılımı gruplarından biri haline getiriyor" diye uyardı.

Paylaş: