Siber suçlular, güvenlik kontrollerini atlatmak için güvenilir işyeri platformlarından giderek daha fazla yararlanıyor ve yeni ortaya çıkan bir kampanya, kurumsal ortamlara ne kadar hızlı erişim sağlayabildiklerini gösteriyor.
eSentire'ın Tehdit Müdahale Birimi'ndeki araştırmacılar(TRU) yakın zamanda araştırıldıBir hukuk sektörü kuruluşunu hedef alan bir saldırı. Saldırganlar, bir çalışanı Windows Hızlı Yardım aracılığıyla uzaktan erişim sağlamaya ikna etmek için Microsoft Teams sesli kimlik avını kullandı.
20 dakikadan kısa bir süre sonra, güvenliği ihlal edilmiş sistemlere uzun vadeli erişimi sürdürmek için tasarlanmış Java tabanlı bir uzaktan erişim truva atı olan Nimbus RAT'ı konuşlandırdılar.
Saldırganlar güvenilir iş platformlarını giriş noktalarına dönüştürüyor
Operasyon dikkatlice yapılandırılmış bir saldırı zincirini takip etti. Saldırganlar ilk olarak kısa bir süre içinde kurbanın gelen kutusuna 280'den fazla meşru abonelik e-postası yağdırdı. Mesajların artması kafa karışıklığı ve aciliyet yaratarak mağdurun dahili BT temsilcisi kılığına giren daha sonraki bir kişiye güvenme olasılığını artırdı.
Sahte destek temsilcisi daha sonra çalışanla Microsoft Teams aracılığıyla iletişime geçti ve onlara bir dizi adımda rehberlik etti. Kurban Hızlı Yardım'ı başlattı ve Pastebin'de barındırılan talimatları takip ederek saldırganların cihazın kontrolünü ele geçirmesine olanak sağladı.
Son kötü amaçlı yazılım paketi, SharePoint'te barındırılan, güvenliği ihlal edilmiş bir Microsoft 365 kiracısından geldi. Saldırganlar, meşru Microsoft hizmetlerini kullanarak indirme işleminin güvenilir görünmesini sağladı ve şüphe uyandırma olasılığını azalttı.
Araştırmacılar, indirilen arşivin, OpenJDK çalışma zamanı ile birlikte gelen kötü amaçlı bir Java dosyası içerdiğini buldu. Bu kurulum, Java henüz yüklü olmasa bile, kötü amaçlı yazılımın hemen hemen her Windows makinesinde çalışmasına izin verdi.
Nimbus RAT Google hizmetlerinin arkasına saklanıyor
Nimbus RAT, geleneksel komuta ve kontrol altyapısından kaçındığı için öne çıkıyor. Bunun yerine, Google Drive ve Google E-Tablolar aracılığıyla iletişim kurarak ağ etkinliğinin normal kurumsal trafiğe karışmasını sağlar.
Kötü amaçlı yazılım, saldırganların kontrolündeki Google Drive hesaplarında saklanan dosyalardan talimatları alıyor ve çalınan bilgileri aynı hizmetler aracılığıyla yüklüyor. Birçok kuruluş büyük ölçüde Google'ın bulut ekosistemine güvendiğinden, iş operasyonlarını aksatmadan bu trafiği engellemek zor olabilir.
Araştırmacılar, Nimbus RAT'ın komut yürütme, dosya yönetimi, kayıt defteri erişimi, ekran görüntüsü toplama ve ek yüklerin doğrudan belleğe dağıtılması dahil olmak üzere çok çeşitli kötü amaçlı işlevleri desteklediğini belirledi.
Kötü amaçlı yazılım ayrıca iki ayrı kimlik bilgisi hırsızlığı mekanizması içerir. Yöntemlerden biri, kullanıcıları şifrelerini girmeleri için kandırmak amacıyla sahte bir Windows Güvenliği istemi görüntüler. İkincisi, kimlik bilgilerini doğrudan işletim sisteminden toplamak için Windows CredUIPromptForCredentialsW API'sinden yararlanır.
eSentire araştırmacılarına göre, her iki teknik de birden fazla şifre gönderimini toplamayı ve saldırganların geçerli kimlik bilgileri elde etme şansını artırmayı amaçlıyor.
Araştırmacılar ekip tabanlı saldırılarda artış olduğunu bildirdi
eSentire tarafından toplanan veriler, bu kampanyanın münferit bir olaydan ziyade daha geniş bir eğilimin parçası olduğunu gösteriyor.
Şirket, 12 aylık dönemde 172 kuruluşta 1.540 şüpheli Microsoft Teams etkileşiminin gözlemlendiğini bildirdi. Araştırmacılar, Aralık 2025 ile Mart 2026 arasında faaliyetlerde önemli bir artış olduğunu kaydetti.
Kimlik avı kampanyaları platformlar arasında yaygınlaşıyor. Başka bir şema iseFacebook kullanıcılarını hedef alıyorşifrelerini çalmak, sosyal mühendislik saldırılarının çeşitli hedeflerini vurgulamak.
Rapora göre saldırıların yaklaşık yüzde 65'i onmicrosoft.com etki alanlarını kullanan tek kullanımlık Microsoft 365 kiracılarından kaynaklanıyor. Saldırganlar sıklıkla BT destek personelinin, yardım masası ekiplerinin veya dahili teknik personelin kimliğine büründü.
Altyapı analizi, hızlı alan adı kayıtları, barındırma sağlayıcısı IP aralıklarının tekrarlanan kullanımı ve kampanya büyümesini desteklemek için büyük ölçekli kiracı oluşturma gibi yinelenen kalıpları ortaya çıkardı. Bazı durumlarda saldırganlar, güvenliği ihlal edilmiş meşru kiracıları da istismar ederek kimlik avı girişimlerini daha da inandırıcı hale getirdi.
Araştırmacılar, tehdit aktörlerinin artık tüm saldırı yaşam döngüsü boyunca güvenilir hizmet olarak yazılım platformlarından yararlandıkları konusunda uyardı. Microsoft Teams ilk iletişimi kolaylaştırır, SharePoint kötü amaçlı yazılım sunar, Pastebin talimatları barındırır, Hızlı Yardım uzaktan erişim sağlar ve Google Drive komuta ve kontrol işlemlerine güç verir.
Kuruluşlar yaygın olarak kullanılan bu hizmetleri kolayca engelleyemeyeceğinden, savunucuların davranışsal izlemeye ve katmanlar arası görünürlüğe odaklanması gerekir. Araştırmacılar, gelen e-posta trafiğindeki olağandışı ani artışlara, şüpheli Hızlı Yardım etkinliğine, standart dışı dizinlerden beklenmeyen Java yürütmesine ve diğer güvenlik ihlali göstergeleriyle uyumlu Google API'lerine giden bağlantılara dikkat etmenizi öneriyor.