Siber güvenlik uzmanları, Microsoft Teams platformu üzerinden yürütülen yeni bir siber taarruz prosedürü tespit etti. Hackerlar, seçtikleri kurbanlarla irtibata geçerek sistemlerine uzaktan erişim sağlıyor ve Matanbuchus 3.0 isimli ziyanlı yazılımı yüklüyor.
Detaylarına bakıldığında ise saldırganların kurbanlarını evvelden belirleyip onlara harici bir bilgi teknolojileri takviye takımı üzere yaklaştıkları görülüyor. Microsoft Teams üzerinden yapılan görüşmelerde, hedeflenen bireylere aygıtlarında sorun olduğu belirtiliyor ve Quick Assist aracı üzerinden uzaktan irtibat talep ediliyor.
Microsoft Teams kullanıcıları dikkat
Saldırganlar uzaktan erişim müsaadesi aldıktan sonra, PowerShell üzerinden çalışan bir komut belgesi kullanarak Matanbuchus 3.0 isimli zararlı yazılımı sisteme yüklüyor. Bu yazılım sayesinde bilgisayara uzaktan erişim sağlanabiliyor ya da fidye yazılımı üzere öbür ziyanlı yazılımlar yüklenebiliyor.
Morphisec tarafından yapılan açıklamaya nazaran ise indirilen ziyanlı arşiv evrakının içinde değiştirilmiş bir Notepad++ güncelleyicisi, yapılandırma belgesi ve berbat gayeli bir DLL bulunuyor. Birinci olarak 2021 yılında ortaya çıkan bu yazılım, o periyot 2.500 dolara satılıyordu. Bugün ise geliştirilmiş sürümleri aylık 10 bin ile 15 bin dolar ortasında değişen fiyatlarla hizmet olarak sunuluyor.
Uzmanlar atağın ardındaki kümenin kim olduğunu netleştiremese de, geçmişte misal formülleri kullanan Black Basta kümesine dikkat çekiyor. Bir periyot tehlikeli fidye yazılımı kümeleri ortasında yer alan Black Basta’nın iç yazışmaları kısa müddet evvel sızdırılmıştı. Uzmanlar ise saldırganların farklı formüllerle şirketleri amaç aldığını ve bu çeşit hücumlara karşı kullanıcıların dikkatli olması gerektiğini vurguluyor.
