Microsoft Teams Üzerinden Sahte IT Desteği: EtherRAT Kötü Amaçlı Yazılımı Yayılıyor Siber Güvenlik

Microsoft Teams Üzerinden Sahte IT Desteği: EtherRAT Kötü Amaçlı Yazılımı Yayılıyor

Siber saldırganlar, Microsoft Teams sesli aramalarını kullanarak şirket IT desteğini taklit ediyor ve EtherRAT kötü amaçlı yazılımını yayıyor. Bu yönt...

Palo Alto Networks'ün Unit 42 araştırma ekibi, Microsoft Teams üzerinden gerçekleştirilen yeni bir siber saldırı kampanyasını ortaya çıkardı. Saldırganlar, kurumsal IT destek personelini taklit ederek çalışanları EtherRAT kötü amaçlı yazılımını yüklemeye ikna ediyor. Kampanya, kimlik avı e-postaları, Microsoft Teams sesli aramaları, meşru uzaktan yönetim araçları ve Node.js tabanlı bir kötü amaçlı yazılım yükleyicisini birleştiriyor.

Unit 42'nin GitHub'da yayınladığı rapora göre saldırı, 'Çalışan Anketi' konulu bir kimlik avı e-postası ve kötü amaçlı bir PDF ekiyle başlıyor. Mağdur, belgeyi açtıktan kısa bir süre sonra, kendini 'Sistem Yöneticisi' olarak tanıtan harici bir hesaptan Microsoft Teams sesli araması alıyor. Araştırmacılar, Teams oturumunda 'Harici - Tanınmayan' etiketinin göründüğünü ve arayanın farklı bir Microsoft 365 kiracısına ait olduğunu tespit etti. Denetim günlükleri, saldırganın IT desteği gibi davranarak [email protected][.]com hesabını kullandığını gösteriyor.

Mağduru, Microsoft Teams'in yerleşik ekran paylaşma özelliğiyle uzaktan kontrol vermeye ikna eden saldırgan, ardından HopToDesk ve AnyDesk gibi meşru uzaktan erişim araçlarını yükletiyor. Uzaktan erişim sağlandıktan sonra, camorreado[.]click adresinden kötü amaçlı bir MSI yükleyicisi (v7.msi) indirilip çalıştırılıyor. Bu MSI, meşru bir Node.js çalışma zamanını indiren, gömülü yükleri çözen ve son olarak EtherRAT'ı başlatan bir kötü amaçlı yazılım yükleyicisi görevi görüyor. EtherRAT, Node.js ile yazılmış platformlar arası bir uzaktan erişim truva atı olup saldırganlara sistem üzerinde tam kontrol sağlıyor.

EtherRAT, komut çalıştırma, dosya manipülasyonu, veri sızıntısı ve kalıcılık sağlama gibi yeteneklerin yanı sıra, Ethereum akıllı sözleşmelerini kullanarak aktif komuta ve kontrol (C2) sunucusunu alıyor, bu da müdahaleyi zorlaştırıyor. Daha önce devlet destekli saldırılarda kullanılan EtherRAT, şimdi birçok tehdit aktörü tarafından benimsenmiş durumda. Unit 42, dağıtım sunucusunda v1'den v9'a kadar çoklu sürümlerin bulunduğu açık bir dizin keşfetti; bu, kampanyanın aktif olarak geliştirildiğini gösteriyor. Microsoft ise bu tür saldırılara karşı Teams'e yeni uyarılar ve yönetici politikaları ekleyerek savunmayı güçlendiriyor.

Paylaş: