MICROSOFT TEAMS ÜZERİNDEN YAPILAN FİŞİNG SALDIRILARINDA A0BACKDOOR MALWARE TESPİT EDİLDİ
Siber güvenlik araştırmacıları, finans ve sağlık sektöründeki çalışanları hedef alan yeni bir Microsoft Teams odaklı kimlik avı kampanyasını açıkladı. Saldırganlar, Quick Assist üzerinden uzak erişim sağlayarak A0Backdoor adlı kötü amaçlı yazılımı dağıtıyor ve iletişimi DNS MX kayıtları üzerinden gizliyor.
Siber güvenlik şirketi BlueVoyant tarafından paylaşılan rapora göre, finans ve sağlık kurumlarındaki çalışanlar Microsoft Teams üzerinden hedef alınıyor. Saldırganlar, kullanıcının güvenini kazanmak için önce e-posta kutularını spam mesajlarla dolduruyor, ardından Teams üzerinden kendilerini şirketin BT personeli olarak tanıtarak yardım teklif ediyor.
Kurbanların bilgisayarına erişim sağlamak için saldırganlar Quick Assist uzaktan erişim aracını kullanıyor ve bu oturum üzerinden dijital olarak imzalanmış MSI yükleyiciler aracılığıyla A0Backdoor malware paketini kuruyor. Bu yükleyiciler, Microsoft Teams bileşenleri ve Phone Link uygulamasının CrossDeviceService aracı olarak maskeleniyor.
DLL Sideloading ve Shellcode Kullanımı
Kötü amaçlı kütüphane hostfxr.dll, meşru Microsoft ikili dosyalarıyla birlikte yüklenerek DLL sideloading yöntemiyle çalıştırılıyor. Belleğe yüklendiğinde, kütüphane şifrelenmiş veya sıkıştırılmış veriyi çözüp shellcode yürütüyor. Shellcode, sanal ortam ve sandbox kontrolleri yapıyor, ardından SHA-256 tabanlı bir anahtar oluşturup AES ile şifrelenmiş A0Backdoor’u belleğe çıkarıyor.
Malware, çekirdek rutinlerini çözüp Windows API çağrıları (DeviceIoControl, GetUserNameExW, GetComputerNameW) kullanarak sistem bilgisini topluyor ve hedef cihazı tanımlıyor.
Komut ve Kontrol İletişimi DNS Üzerinden Gizleniyor
A0Backdoor, C2 (Command-and-Control) iletişimini DNS MX kayıtları üzerinden gerçekleştiriyor. Kötü amaçlı yazılım, yüksek entropili alt alan adlarıyla şifrelenmiş meta veriyi genel recursive DNS sunucularına gönderiyor. Sunucular, MX kayıtlarıyla şifrelenmiş komut verilerini geri iletiyor. BlueVoyant, bu yöntemin TXT tabanlı DNS tünelleme kontrollerinden kaçınmak için kullanıldığını belirtiyor.
Hedefler ve Bağlantılar
Araştırmacılar, kampanyanın hedefleri arasında Kanada’daki bir finans kuruluşu ve uluslararası bir sağlık kuruluşu olduğunu açıkladı. Rapor, kampanyanın BlackBasta fidye yazılım grubunun taktik ve tekniklerinin evrimleşmiş bir versiyonu olabileceğini öne sürüyor. Daha önce BlackBasta grubu iç sohbet kayıtlarının sızdırılması sonrası dağılmıştı.
BlueVoyant, imzalı MSI’ler, kötü amaçlı DLL’ler, A0Backdoor payload’u ve DNS MX tabanlı C2 iletişiminin bu kampanyada yeni öğeler olduğunu vurguladı.
Ajans Expres Gazetesi
Tepkiniz Nedir?
