DragonForce Fidye Yazılımı Microsoft Teams Altyapısını TURN Tüneli Olarak Kullanıyor
Siber güvenlik araştırmacıları, DragonForce fidye yazılımı grubunun tespit edilmesi son derece güç, sofistike bir komuta-kontrol (C2) mekanizması geliştirdiğini ortaya çıkardı. Symantec'in yayımladığı yeni tehdit istihbaratı raporuna göre, saldırganlar **Go programlama diliyle yazılmış özel bir kötü amaçlı yazılım** olan "Backdoor.Turn" aracılığıyla Microsoft Teams'in TURN (Traversal Using Relays around NAT) relay altyapısını istismar ediyor. Bu yöntem, zararlı trafiği meşru bulut hizmeti trafiği içerisinde kamufle ederek geleneksel güvenlik çözümlerinin atlatılmasını sağlıyor.
TURN protokolü, normalde sesli ve görüntülü aramalarda NAT arkasındaki kullanıcıların bağlantı sorunlarını çözmek için kullanılan standart bir mekanizma. Ancak DragonForce operatörleri bu altyapıyı tamamen farklı bir amaçla değerlendirerek, C2 sunucuları ile enfekte olmuş sistemler arasındaki iletişimi Microsoft'un kendi IP adresleri üzerinden yürütüyor. Bu sayede ağ trafiği analizi yapan güvenlik ekipleri, şüpheli bağlantıları ayırt etmekte ciddi zorluklarla karşılaşıyor çünkü trafik dünya çapında milyonlarca kuruluşun güven duyduğu Microsoft sunucularından geliyor.
Saldırının en dikkat çekici boyutlarından biri, **operasyonun tespit edilmeden sürebildiği sürenin uzunluğu** oldu. Symantec araştırmacıları, saldırganların büyük bir ABD hizmet şirketinin kurumsal ağında iki aya kadar aktif kalabildiğini ve bu süre boyunca hassas verilere erişim sağladığını bildirdi. Bu durum, saldırganların yeterince "sessiz" hareket ettiğini ve standart uç nokta tespit sistemlerinin bu tür "living-off-the-land" tarzı bulut istismarlarını yakalamakta yetersiz kaldığını gözler önüne seriyor.
Saldırı Zincirinin Teknik Anatomisi
Backdoor.Turn zararlısı, Go dilinin çapraz platform yeteneklerinden faydalanarak Windows sistemlerinde çalışacak şekilde derlenmiş özel bir implant. Yazılım, Microsoft Teams'in meşru TURN sunucularına bağlanarak kimlik doğrulama süreçlerini taklit ediyor ve bu sunucular üzerinden operatörlerin kontrol ettiği altyapıya tünel açıyor. Saldırganlar, Teams istemcisinin trafiğe izin verdiği 3478 ve 443 numaralı portlar ile STUN/TURN uç noktalarını kullanarak ağ güvenlik duvarlarını sorunsuz şekilde geçebiliyor.
Symantec'in analizine göre, saldırı kampanyası DragonForce'un geleneksel çift gasp (double extortion) modeline uygun ilerliyor. Grup, ağda uzun süreli kalıcılık sağladıktan sonra kritik verileri hem şifreliyor hem de exfiltrate ederek şirketi fidye ödemeye zorluyor. Fidye yazılımı grubunun bu yeni TURN tabanlı taktik benimsemesi, **tespit edilme riskini minimize etme arayışının** açık bir göstergesi olarak değerlendiriliyor.
Kurumlara Yönelik Savunma Önerileri
Uzmanlar, bu tür bulut tabanlı C2 iletişimine karşı savunma stratejilerinin güncellenmesi gerektiğini vurguluyor. Kurumların Microsoft Teams TURN trafiğini normal davranış analizi ile karşılaştırması, anormal bağlantı süreleri ve veri hacimlerini izlemesi öneriliyor. Ayrıca:
- Microsoft 365 Defender ve Sentinel gibi platformlarda Teams trafiği için özel uyarı kurallarının yapılandırılması,
- TURN sunucu IP aralıklarına yönelik giden trafiğin düzenli denetlenmesi,
- Uç noktalarda Go tabanlı imzaların izlenmesi ve davranışsal analiz araçlarının devreye alınması,
- Asimetrik şifreleme ve sertifika pinning kontrollerinin ağ katmanında sıkılaştırılması
ilk savunma adımları arasında sayılıyor. DragonForce'un bu yeni tekniği, fidye yazılımı aktörlerinin artık yalnızca teknik açıklardan değil, **meşru bulut hizmetlerinin sunduğu güvenilir kanallardan** da faydalanma eğiliminde olduğunu bir kez daha teyit ediyor. Saldırı yüzeyinin genişlediği bu dönemde, sıfır güven (zero trust) mimarisi ve derin trafik denetimi anlayışının benimsenmesi, benzer kampanyalara karşı en etkili savunma hattı olmaya devam ediyor.




Yorumlar (0)
Henüz yorum yapılmamış.