Tehdit aktörleri, çalışanları EtherRAT kötü amaçlı yazılımını yüklemeleri için kandırmak amacıyla kurumsal BT destek personelinin kimliğine bürünerek Microsoft Teams sesli çağrılarını kötüye kullanıyor ve saldırganlara kurumsal ağlara ilk erişim olanağı sağlıyor.
Palo Alto Networks'ün Birim 42'si tarafından bildirilen kampanya, kurbanların bilgisayarlarını tehlikeye atmak için kimlik avı e-postalarını, Microsoft Teams sesli çağrılarını, yasal uzaktan yönetim araçlarını ve Node.js tabanlı kötü amaçlı yazılım yükleyiciyi birleştiriyor.
Unit 42 tarafından GitHub'da yayınlanan bir rapora göre saldırı, "Çalışan Anketi" tuzağı ve kötü amaçlı bir PDF eki içeren bir kimlik avı e-postasıyla başlıyor.
Kurban, belgeyi açtıktan kısa bir süre sonra harici bir hesaptan "Sistem Yöneticisi" kimliğine bürünen bir Microsoft Teams sesli araması alır.
Nasıl Önlem Alınmalı?
Araştırmacılar, Teams oturumunda arayanın alıcıdan farklı bir Microsoft 365 kiracısına ait olduğunu belirten "Harici tanıdık olmayan" etiketinin görüntülendiğini gözlemledi. Denetim günlükleri, saldırganın harici sohbeti, BT desteği gibi görünerek [email protected][.]com hesabını kullanarak başlattığını gösterdi.
Saldırgan, kurbanı Microsoft Teams'in yerleşik ekran paylaşma özelliği aracılığıyla uzaktan kontrol vermeye ikna ettikten sonra, HopToDesk ve AnyDesk gibi meşru uzaktan erişim araçlarının kurulumunda kurbana rehberlik etti.
Uzaktan erişim sağladıktan sonra, camorreado[.]click'ten kötü amaçlı bir MSI yükleyicisini (v7.msi) indirip çalıştırdılar. MSI, meşru bir Node.js çalışma zamanını indirerek, yerleşik yüklerin şifresini çözerek ve sonuçta EtherRAT'ı başlatarak kötü amaçlı yazılım yükleyicisi görevi görür.
Önemli Gelişmeler
EtherRAT, Node.js ile yazılmış ve saldırganlara güvenliği ihlal edilmiş sistemler üzerinde tam kontrol sağlayan, platformlar arası bir uzaktan erişim truva atıdır.
Kötü amaçlı yazılım, aktif komuta ve kontrol (C2) sunucusunu almak için Ethereum akıllı sözleşmelerini kullanırken, komutları çalıştırabilir, dosyaları değiştirebilir, verileri çalabilir ve kalıcılığı koruyabilir, bu da kesintiyi zorlaştırır.
EtherRAT daha önce React2Shell güvenlik açığından yararlanan devlet destekli saldırılarda kullanılıyordu ve o zamandan beri çok sayıda başka tehdit aktörü tarafından da benimsendi.
Birim 42, bir dağıtım sunucusunda kötü amaçlı yazılım yükleyicilerinin birden fazla sürümünü (v1'den v9'a) içeren açık bir dizin keşfettiklerini söylüyor ve bu da kampanyanın aktif olarak geliştirildiğini gösteriyor.
Teknik Analiz
Teams saldırıları Microsoft'u yeni korumalar eklemeye zorluyor
En son kampanya, kurumsal ağları ihlal etmek için Microsoft Teams'i kötüye kullanan artan sayıda saldırının ardından geldi.
Uzmanların Görüşleri
Mart ayında bir kampanya, kurbanların gelen kutularını spam yağmuruna tutarak, ardından şirketin BT personeli gibi görünerek Microsoft Teams aracılığıyla onlarla iletişime geçerek finans ve sağlık kuruluşlarını hedef aldı. Kurbanlar, Hızlı Yardım oturumlarını başlatmaları için kandırıldı ve bu oturumlar, sonuçta yeni belgelenen A0Backdoor kötü amaçlı yazılımının yayılmasına yol açtı.
Bir ay sonra Microsoft, saldırganların yardım masası personelinin kimliğine bürünmek ve çalışanları cihazlarına uzaktan erişim sağlamaya ikna etmek için harici Microsoft Teams'i giderek daha fazla kötüye kullandıkları konusunda uyardı. Saldırganlar ağa girdikten sonra keşif gerçekleştirdi, diğer cihazlara yanal olarak yayıldı ve sonuçta verileri çaldı.
Gelecekte Ne Bekleniyor?
Bu saldırılara karşı savunmaya yardımcı olmak için Microsoft, Teams'e yeni korumalar ekliyor.
Sonuç ve Değerlendirme
Bu yılın başlarında şirket, olası kimlik avı/vishing saldırılarına karşı koruma sağlamak için dışarıdan arayanları ve sohbetleri tanımlayan uyarılar ekledi.
Sistem Güvenliği
Geçtiğimiz hafta Microsoft, şüpheli üçüncü taraf botları, organizatörler kabullerini manuel olarak onaylayıncaya kadar otomatik olarak toplantı lobisine yerleştiren yeni bir Teams yönetici politikasını da tanıttı.