Siber Saldırgan Storm-0324: MS Teams Tehdidi

Son yıllarda siber suç faaliyetleri giderek karmaşık hale gelmiş ve kurumların dijital güvenliği ciddi bir tehdit altında bulunmaktadır. Bu makalede, Storm-0324 adlı kötü niyetli siber aktörün 2019’dan beri fidye yazılımı dağıtımını kolaylaştırarak finansal kazanç elde etmeye çalıştığı ve aynı zamanda belirli bir suç grubu olan Sangria Tempest’i desteklemek amacıyla MS Teams üzerinden kimlik avı saldırısı gerçekleştirdiği olayları inceleyeceğiz.

Storm-0324 Kimdir?
Storm-0324, 2019 yılından bu yana kötü amaçlı yazılım dağıtımı yapan ve diğer siber tehdit aktörlerine ele geçirilen ağlara ve cihazlara erişim imkanı sunan bir siber suç aktörüdür.

Temmuz 2023’ten itibaren Storm-0324, Sangria Tempest adı verilen belirli bir siber suç grubunu desteklemek amacıyla MS Teams üzerinden kimlik avı saldırısı faaliyetlerini sürdürmektedir. Bu işbirliği, açık kaynaklı bir araç kullanarak MS Teams sohbetlerinden yararlanmayı içermektedir.

Grubun saldırı zinciri, öncelikle kimlik avı e-postaları ile başlar. Bu e-postalar, ödemelere ve faturalara referans veren içeriklerle dikkat çeker ve içerdikleri ZIP arşivinde kötü amaçlı JavaScript kodu bulunur. Storm-0324, bu kodu barındırmak için çeşitli dosya formatlarını kullanır ve CVE-2023-21715 gibi güvenlik açıklarından yararlanır. Bu kod, JSSLoader adı verilen bir DLL’yi başlatır ve ek Sangria Tempest araçlarını sisteme bırakır.

Storm-0324, kurumların güvendiği belgeleri kullanarak kapsamlı sosyal mühendislik taktikleri de uygular. Ayrıca, kullanıcılara güven duygusu oluşturmak ve analiz mekanizmalarından kaçınmak için kimlik avı e-postalarına güvenlik kodu veya şifresi ekler.

MS Teams Üzerinden Kimlik Avı:

Temmuz 2023’ten bu yana Storm-0324, kimlik avı tuzakları göndermek için MS Teams sohbetlerini kullanır. Bu tuzaklar, Teams platformunda harici kullanıcılar olarak tanımlandığı için kullanıcılar tarafından daha az şüphe ile karşılanır. Storm-0324, bu amaçla açık kaynaklı bir program olan TeamPhisher’ı kullanır.

Bu tür karmaşık saldırıların artmasıyla birlikte, organizasyonların siber güvenliğini güçlendirmesi önemlidir. Bu önlemler arasında kimlik avı tuzaklarını tespit etme, kullanıcıların şüpheli bağlantılara tıklamamasını teşvik etme ve gelişmiş Kimlik Yönetimi çözümlerini uygulama bulunmaktadır.

MS Teams, geçmişte kötü niyetli etkinliklerin hedefi olmuştur. Örneğin, 2020’de CyberArk araştırmacıları, worm/solucan benzeri bir güvenlik açığı tespit etmiş ve Teams’i ele geçirerek tüm hesapları tehlikeye atan bir açık olduğunu belirtmiştir. Ayrıca, 2022’de Teams’in istismar edildiğine dair haberler de ortaya çıkmıştır.

Storm-0324 ve benzeri siber suç aktörleri, her geçen gün daha sofistike ve tehlikeli hale gelmektedir. Bu nedenle, organizasyonların siber güvenlik önlemlerini güçlendirmesi ve çalışanları bu tür tehditlere karşı eğitmesi hayati önem taşır. MS Teams gibi popüler iletişim platformlarının güvenliğine daha fazla dikkat edilmesi gereken bir dönemdeyiz.