MuddyWater Microsoft Teams ilə Etimadnamə Oğurlayır – Veri Sızıntısı
Live
Sorğu
Korporativ
Haqqımızda Qurucunun notu Mətbuat & Media Məxfilik siyasəti İstifadə şərtləri TSS Mətbuat Kiti
Məhsullar
HUBOne HUBCorp Tezliklə Veri Sızıntısı Android Tezliklə Veri Sızıntısı iOS Tezliklə Veri Sızıntısı Huawei Tezliklə Breach Radar Argus Flow Argus Engine LivePlatform
Texnologiyalar
Argus AI Nədir? HUBOne'da sına Argus Flow nədir? Argus Engine Nədir?
Bloq Əlaqə

MuddyWater Microsoft Teams ilə Şifrələri Oğurlayır

İran dəstəkli kiber-casusluq qrupu MuddyWater, saxta bir fidyə proqramı hücumu pərdəsi altında etimadnamələri (şifrələri) oğurlamaq üçün Microsoft Teams-dən istifadə edir. Hücum, qanuni bir əməkdaşlıq vasitəsini mürəkkəb bir kiberhücum vektoruna çevirir.

MuddyWater Microsoft Teams ilə Şifrələri Oğurlayır

Hadisənin Xülasəsi

Kibertəhlükəsizlik dünyası, İran tərəfindən dəstəkləndiyi düşünülən və MuddyWater (həmçinin Seedworm və ya TEMP.Zagros kimi tanınır) kimi tanınan Qabaqcıl Davamlı Təhdid (APT) qrupunun yeni bir hücum kampaniyası ilə sarsılıb. Qrup, dünya üzrə milyonlarla təşkilat tərəfindən istifadə edilən məşhur əməkdaşlıq platforması olan Microsoft Teams-i hədəf alaraq olduqca mürəkkəb bir üsul hazırlayıb. Təcavüzkarlar, Teams vasitəsilə həyata keçirdikləri fişinq hücumları ilə istifadəçilərin etimadnamələrini ələ keçirir və bu əsas məqsədlərini gizlətmək üçün "saxta bayraq" (false flag) taktikası olaraq fidyə proqramı hücumu təşkil edirlər. Bu vəziyyət, kibertəhlükəsizlik qruplarının diqqətini yayındıraraq, əsl məlumat oğurluğunun fərq edilməsini çətinləşdirir.

Sızdırılan Məlumatlar və Miqyası

Bu hücumun əsas hədəfi kütləvi məlumat sızmasından daha çox, strateji cəhətdən dəyərli etimadnamələri ələ keçirməkdir. MuddyWater-ın məqsədi, hədəf təşkilatların şəbəkələrinə sızmaq üçün istifadə edilə biləcək istifadəçi adları, parollar, giriş tokenləri və digər daxilolma məlumatlarını oğurlamaqdır. Sızdırılan məlumatlara aşağıdakılar daxil ola bilər:

  • Active Directory Etimadnamələri: Korporativ şəbəkələrdəki ən kritik hesab məlumatlarıdır və təcavüzkarlara geniş səlahiyyətlər verə bilər.
  • Microsoft 365/Azure Hesab Məlumatları: Bulud infrastrukturuna və həssas korporativ məlumatlara giriş imkanı yaradır.
  • VPN və Uzaqdan Giriş Məlumatları: Təcavüzkarların şirkət şəbəkəsinə kənardan təhlükəsiz şəkildə sızmasına imkan verir.
  • Texniki Heyət və İdarəçilərin Etimadnamələri: Şəbəkədə ən yüksək imtiyazlara sahib olan bu hesablar, hücumun miqyasını genişləndirmək üçün ən dəyərli hədəflərdir.

Hücumun miqyası, müəyyən sektorlarda (xüsusilə telekommunikasiya, dövlət, texnologiya və müdafiə sənayesi) fəaliyyət göstərən orta və böyük ölçülü təşkilatları hədəf alır. Qurbanlar coğrafi cəhətdən müxtəlif olsalar da, MuddyWater-ın keçmiş fəaliyyətləri Yaxın Şərq, Avropa və Şimali Amerikadakı hədəflərə yönəldiyini göstərir.

E-poçtunuz sızdırılıb? Pulsuz yoxlayın — saniyələr içində nəticə.

İndi Yoxla →

Hücumun Texniki Tərəfi

MuddyWater-ın bu kampaniyası çoxqatlı və aldatmaya əsaslanan bir strategiya izləyir. Hücum zənciri adətən aşağıdakı mərhələlərdən ibarətdir:

1. İlkin Giriş: Microsoft Teams Vasitəsilə Fişinq

Təcavüzkarlar yüksək etibarlılığa malik bir platforma olan Microsoft Teams-i giriş qapısı kimi istifadə edirlər. Adətən, ələ keçirilmiş bir hesabdan və ya saxta bir profildən, hədəflərə layihə faylı, hesab-faktura və ya vacib bir sənəd kimi görünən zərərli bir fayl (adətən bir ZIP arxivi və ya PDF kimi maskalanmış bir icra edilə bilən fayl) göndərirlər. İstifadəçilər, Teams kimi korporativ bir mühitdən gələn mesaja güvəndikləri üçün bu faylı açma ehtimalları daha yüksəkdir.

2. Zərərli Proqramın İcrası

İstifadəçi faylı açdıqda, sistemə bir uzaqdan giriş troyanı (RAT) və ya bir etimadnamə oğrusu (credential stealer) quraşdırılır. Bu proqram, sistemdə səssizcə işləyərək klaviatura daxiletmələrini qeyd edə bilər (keylogger), brauzerlərdə saxlanan parolları oğurlaya bilər və ya Windows-un etimadnamə saxlama mexanizmlərindən (LSASS kimi) parol xülasələrini (password hashes) çıxara bilər.

3. Məlumatların Sızdırılması və Yanal Hərəkət

Etimadnamələr ələ keçirildikdən sonra, təcavüzkarlar bu məlumatlardan istifadə edərək şəbəkə daxilində yanlara doğru hərəkət etməyə başlayırlar. Məqsədləri, daha yüksək səlahiyyətlərə malik hesabları ələ keçirmək və şəbəkədəki kritik serverlərə və ya məlumat bazalarına giriş əldə etməkdir. Oğurlanmış məlumatlar, adətən şifrələnmiş kanallar vasitəsilə təcavüzkarların nəzarət və komanda (C2) serverlərinə gizlicə göndərilir.

4. Saxta Bayraq: Fidyə Proqramı Hücumu

Əsas hədəfləri olan casusluq və məlumat oğurluğunu tamamladıqdan sonra, MuddyWater diqqəti yayındırmaq üçün bir fidyə proqramı yayır. Bu fidyə proqramı, sistemdəki faylları şifrələyərək bir fidyə notu buraxır. Bu, təşkilatın təhlükəsizlik qrupunun hadisəni tipik bir kiber cinayət hadisəsi kimi qiymətləndirməsinə səbəb olur. Bütün resurslar fidyə proqramı böhranını həll etməyə yönəldiyi halda, təcavüzkarlar izlərini itirir və əsl məlumat oğurluğu fərq edilməyə bilər və ya çox gec fərq edilə bilər.

Kimlər Təsirlənib?

Bu hücumdan birbaşa təsirlənənlər hədəf təşkilatların işçiləridir. Xüsusilə İT menecerləri, sistem administratorları, yüksək vəzifəli rəhbərlər və həssas layihələrə girişi olan mühəndislər kimi imtiyazlı hesablara sahib olan personal əsas hədəflərdir. Lakin fişinq hücumu daha geniş bir işçi qrupuna yayıla biləcəyi üçün, təşkilatdakı hər hansı bir Microsoft Teams istifadəçisi potensial bir qurbandır.

Nə Etməlisiniz?

Həm fərdi istifadəçilər, həm də təşkilatlar bu cür qabaqcıl təhdidlərə qarşı proaktiv addımlar atmalıdır:

  • İstifadəçilər Üçün: Microsoft Teams və ya digər əməkdaşlıq platformaları vasitəsilə gələn gözlənilməz fayl və linklərə qarşı son dərəcə şübhəli olun. Bütün hesablarınızda, xüsusən də korporativ hesablarınızda Çox Faktorlu Autentifikasiyanı (MFA) aktivləşdirin. Şübhəli bir fəaliyyət gördükdə dərhal İT təhlükəsizlik şöbənizə məlumat verin. Müntəzəm olaraq etibarlı bir Məlumat Sızıntısı Sorğusu xidmətindən istifadə edərək e-poçt ünvanınızın digər sızıntılarda olub olmadığını yoxlamaq yaxşı bir vərdişdir.
  • Təşkilatlar Üçün: İşçilərə Teams kimi platformaları hədəf alan fişinq hücumları haqqında mütəmadi olaraq kibertəhlükəsizlik məlumatlandırma təlimləri keçirin. Şəbəkə trafikini anomal məlumat çıxışlarına qarşı izləyin. İnsidentə reaksiya planınızı, fidyə proqramı kimi görünən bir hücumun əslində bir APT qrupunun casusluq fəaliyyəti ola biləcəyi ssenarilərini əhatə edəcək şəkildə yeniləyin.

Şirkətin Açıqlaması

Microsoft hələ bu xüsusi kampaniya haqqında rəsmi bir açıqlama verməsə də, Teams platformasının təhlükəsizliyini davamlı olaraq artırmaq üçün çalışdıqlarını bildirir. Kibertəhlükəsizlik firmaları, MuddyWater-ın bu yeni taktikalarını yaxından izləyir və təşkilatları məlumatlandırmaq üçün texniki analiz hesabatları dərc edirlər. Təşkilatların təhlükəsizlik təminatçılarından və rəsmi kibertəhlükəsizlik orqanlarından gələn xəbərdarlıqları nəzərə almaları kritik əhəmiyyət daşıyır.

Kaynak

https://thehackernews.com/2026/05/muddywater-uses-microsoft-teams-to.html

Bu Məqaləni Paylaş
X LinkedIn WhatsApp
← Əvvəlki Yazı Conduent Məlumat Sızması Missuridə Milyonlara Təsir Etdi Növbəti Yazı → Ehtiyat Nüsxələri Olsa Belə Ransomware Niyə Uğurlu Olur

Həftəlik Bülten

Hər həftə seçilmiş məlumat pozuntusu xəbərləri gələn qutunuza çatdırılsın.