TEKNOVYA

Teknoloji, İnovasyon ve Yapay Zeka Haberleri

Ana Sayfa/Siber Güvenlik
Siber Güvenlik6 dakika

DragonForce Fidye Yazılımı Microsoft Teams Altyapısını Kullanarak Kötü Amaçlı Trafiği Gizliyor

T
Teknovya
Teknoloji Editörü
28 gün önce
DragonForce fidye yazılımının Microsoft Teams relay sunucuları üzerinden gizli iletişim kurma tekniğinin görselleştirmesi

DragonForce fidye yazılımının Microsoft Teams relay sunucuları üzerinden gizli iletişim kurma tekniğinin görselleştirmesi

DragonForce Fidye Yazılımı Microsoft Teams Altyapısını TURN Tüneli Olarak Kullanıyor

Siber güvenlik araştırmacıları, DragonForce fidye yazılımı grubunun tespit edilmesi son derece güç, sofistike bir komuta-kontrol (C2) mekanizması geliştirdiğini ortaya çıkardı. Symantec'in yayımladığı yeni tehdit istihbaratı raporuna göre, saldırganlar **Go programlama diliyle yazılmış özel bir kötü amaçlı yazılım** olan "Backdoor.Turn" aracılığıyla Microsoft Teams'in TURN (Traversal Using Relays around NAT) relay altyapısını istismar ediyor. Bu yöntem, zararlı trafiği meşru bulut hizmeti trafiği içerisinde kamufle ederek geleneksel güvenlik çözümlerinin atlatılmasını sağlıyor.

TURN protokolü, normalde sesli ve görüntülü aramalarda NAT arkasındaki kullanıcıların bağlantı sorunlarını çözmek için kullanılan standart bir mekanizma. Ancak DragonForce operatörleri bu altyapıyı tamamen farklı bir amaçla değerlendirerek, C2 sunucuları ile enfekte olmuş sistemler arasındaki iletişimi Microsoft'un kendi IP adresleri üzerinden yürütüyor. Bu sayede ağ trafiği analizi yapan güvenlik ekipleri, şüpheli bağlantıları ayırt etmekte ciddi zorluklarla karşılaşıyor çünkü trafik dünya çapında milyonlarca kuruluşun güven duyduğu Microsoft sunucularından geliyor.

Saldırının en dikkat çekici boyutlarından biri, **operasyonun tespit edilmeden sürebildiği sürenin uzunluğu** oldu. Symantec araştırmacıları, saldırganların büyük bir ABD hizmet şirketinin kurumsal ağında iki aya kadar aktif kalabildiğini ve bu süre boyunca hassas verilere erişim sağladığını bildirdi. Bu durum, saldırganların yeterince "sessiz" hareket ettiğini ve standart uç nokta tespit sistemlerinin bu tür "living-off-the-land" tarzı bulut istismarlarını yakalamakta yetersiz kaldığını gözler önüne seriyor.

Saldırı Zincirinin Teknik Anatomisi

Backdoor.Turn zararlısı, Go dilinin çapraz platform yeteneklerinden faydalanarak Windows sistemlerinde çalışacak şekilde derlenmiş özel bir implant. Yazılım, Microsoft Teams'in meşru TURN sunucularına bağlanarak kimlik doğrulama süreçlerini taklit ediyor ve bu sunucular üzerinden operatörlerin kontrol ettiği altyapıya tünel açıyor. Saldırganlar, Teams istemcisinin trafiğe izin verdiği 3478 ve 443 numaralı portlar ile STUN/TURN uç noktalarını kullanarak ağ güvenlik duvarlarını sorunsuz şekilde geçebiliyor.

Symantec'in analizine göre, saldırı kampanyası DragonForce'un geleneksel çift gasp (double extortion) modeline uygun ilerliyor. Grup, ağda uzun süreli kalıcılık sağladıktan sonra kritik verileri hem şifreliyor hem de exfiltrate ederek şirketi fidye ödemeye zorluyor. Fidye yazılımı grubunun bu yeni TURN tabanlı taktik benimsemesi, **tespit edilme riskini minimize etme arayışının** açık bir göstergesi olarak değerlendiriliyor.

Kurumlara Yönelik Savunma Önerileri

Uzmanlar, bu tür bulut tabanlı C2 iletişimine karşı savunma stratejilerinin güncellenmesi gerektiğini vurguluyor. Kurumların Microsoft Teams TURN trafiğini normal davranış analizi ile karşılaştırması, anormal bağlantı süreleri ve veri hacimlerini izlemesi öneriliyor. Ayrıca:

ilk savunma adımları arasında sayılıyor. DragonForce'un bu yeni tekniği, fidye yazılımı aktörlerinin artık yalnızca teknik açıklardan değil, **meşru bulut hizmetlerinin sunduğu güvenilir kanallardan** da faydalanma eğiliminde olduğunu bir kez daha teyit ediyor. Saldırı yüzeyinin genişlediği bu dönemde, sıfır güven (zero trust) mimarisi ve derin trafik denetimi anlayışının benimsenmesi, benzer kampanyalara karşı en etkili savunma hattı olmaya devam ediyor.

Kaynaklar

#Siber Güvenlik#Fidye Yazılımı#DragonForce#Microsoft Teams#Backdoor.Turn

Yorumlar (0)

Henüz yorum yapılmamış.

Daha Fazlası: Siber Güvenlik