MuddyWater Microsoft Teams Saldırısı ile Bilgi Çalıyor – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

MuddyWater Microsoft Teams ile Kimlik Bilgilerini Çalıyor

İran destekli MuddyWater siber casusluk grubu, Microsoft Teams'i kullanarak sahte bir fidye yazılımı saldırısı perdesi altında kimlik bilgilerini çalıyor. Saldırı, meşru bir işbirliği aracını gelişmiş bir siber saldırı vektörüne dönüştürüyor.

MuddyWater Microsoft Teams ile Kimlik Bilgilerini Çalıyor

Olay Özeti

Siber güvenlik dünyası, İran destekli olduğu düşünülen ve MuddyWater (diğer adıyla Seedworm veya TEMP.Zagros) olarak bilinen Gelişmiş Kalıcı Tehdit (APT) grubunun yeni bir saldırı kampanyasıyla sarsıldı. Grup, dünya çapında milyonlarca kuruluş tarafından kullanılan popüler işbirliği platformu Microsoft Teams'i hedef alarak oldukça sofistike bir yöntem geliştirmiş durumda. Saldırganlar, Teams üzerinden gerçekleştirdikleri oltalama (phishing) saldırılarıyla kullanıcıların kimlik bilgilerini ele geçiriyor ve bu asıl amaçlarını gizlemek için bir "sahte bayrak" (false flag) taktiği olarak fidye yazılımı saldırısı düzenliyor. Bu durum, siber güvenlik ekiplerinin dikkatini dağıtarak, asıl veri hırsızlığının fark edilmesini zorlaştırıyor.

Sızdırılan Veriler ve Kapsam

Bu saldırının birincil hedefi, kitlesel veri sızıntısından ziyade stratejik olarak değerli kimlik bilgilerini ele geçirmektir. MuddyWater'ın amacı, hedef kuruluşların ağlarına sızmak için kullanılabilecek kullanıcı adları, parolalar, erişim jetonları ve diğer oturum açma bilgilerini çalmaktır. Sızdırılan veriler şunları içerebilir:

  • Active Directory Kimlik Bilgileri: Kurumsal ağlardaki en kritik hesap bilgileridir ve saldırganlara geniş yetkiler tanıyabilir.
  • Microsoft 365/Azure Hesap Bilgileri: Bulut altyapısına ve hassas kurumsal verilere erişim sağlar.
  • VPN ve Uzak Erişim Bilgileri: Saldırganların şirket ağına dışarıdan güvenli bir şekilde sızmasına olanak tanır.
  • Teknik Personel ve Yöneticilerin Kimlik Bilgileri: Ağ üzerinde en yüksek ayrıcalıklara sahip bu hesaplar, saldırının kapsamını genişletmek için en değerli hedeflerdir.

Saldırının kapsamı, belirli sektörlerde faaliyet gösteren (özellikle telekomünikasyon, kamu, teknoloji ve savunma sanayii) orta ve büyük ölçekli kuruluşları hedef almaktadır. Kurbanlar coğrafi olarak çeşitlilik gösterse de, MuddyWater'ın geçmiş faaliyetleri Orta Doğu, Avrupa ve Kuzey Amerika'daki hedeflere odaklandığını göstermektedir.

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →

Saldırının Teknik Boyutu

MuddyWater'ın bu kampanyası, çok katmanlı ve aldatmacaya dayalı bir strateji izlemektedir. Saldırı zinciri genellikle aşağıdaki adımlardan oluşur:

1. İlk Erişim: Microsoft Teams Üzerinden Oltalama

Saldırganlar, güvenilirliği yüksek bir platform olan Microsoft Teams'i bir giriş kapısı olarak kullanıyor. Genellikle ele geçirilmiş bir hesaptan veya sahte bir profilden, hedeflere proje dosyası, fatura veya önemli bir belge gibi görünen kötü amaçlı bir dosya (genellikle bir ZIP arşivi veya PDF görünümlü bir yürütülebilir dosya) gönderirler. Kullanıcılar, Teams gibi kurumsal bir ortamdan gelen mesaja güvendikleri için bu dosyayı açma olasılıkları daha yüksektir.

2. Kötü Amaçlı Yazılımın Yürütülmesi

Kullanıcı dosyayı açtığında, sisteme bir uzaktan erişim truva atı (RAT) veya bir kimlik bilgisi hırsızı (credential stealer) yüklenir. Bu yazılım, sistemde sessizce çalışarak klavye girdilerini kaydedebilir (keylogger), tarayıcılarda kayıtlı parolaları çalabilir veya Windows'un kimlik bilgisi depolama mekanizmalarından (LSASS gibi) parola özetlerini (password hashes) çıkarabilir.

3. Veri Sızdırma ve Yanal Hareket

Kimlik bilgileri ele geçirildikten sonra, saldırganlar bu bilgileri kullanarak ağ içinde yanal olarak hareket etmeye başlar. Amaçları, daha yüksek yetkilere sahip hesapları ele geçirmek ve ağdaki kritik sunuculara veya veri tabanlarına erişmektir. Çalınan veriler, genellikle şifrelenmiş kanallar üzerinden saldırganların kontrol ve komuta (C2) sunucularına gizlice gönderilir.

4. Sahte Bayrak: Fidye Yazılımı Saldırısı

Asıl hedefleri olan casusluk ve veri hırsızlığını tamamladıktan sonra, MuddyWater dikkat dağıtmak için bir fidye yazılımı dağıtır. Bu fidye yazılımı, sistemdeki dosyaları şifreleyerek bir fidye notu bırakır. Bu durum, kurumun güvenlik ekibinin olayı tipik bir siber suç vakası olarak değerlendirmesine neden olur. Tüm kaynaklar fidye yazılımı krizini çözmeye odaklanırken, saldırganlar izlerini kaybettirir ve asıl veri hırsızlığı fark edilmeyebilir veya çok geç fark edilebilir. Bu taktik, saldırının arkasındaki gerçek aktörün ve niyetin gizlenmesine yardımcı olur.

Etkilenen Kullanıcılar Kimler

Bu saldırıdan doğrudan etkilenenler, hedef kuruluşların çalışanlarıdır. Özellikle BT yöneticileri, sistem yöneticileri, üst düzey yöneticiler ve hassas projelere erişimi olan mühendisler gibi ayrıcalıklı hesaplara sahip personel, birincil hedeflerdir. Ancak, oltalama saldırısı genellikle daha geniş bir çalışan grubuna yayılabileceğinden, kurumdaki herhangi bir Microsoft Teams kullanıcısı potansiyel bir kurban olabilir. Bir çalışanın hesabının ele geçirilmesi, saldırganların tüm organizasyon içinde güvenilir bir kaynak gibi görünerek daha fazla kişiyi hedeflemesine olanak tanır.

Ne Yapmalısınız

Hem bireysel kullanıcılar hem de kurumlar bu tür gelişmiş tehditlere karşı proaktif adımlar atmalıdır:

  • Kullanıcılar İçin: Microsoft Teams veya diğer işbirliği platformları üzerinden gelen beklenmedik dosya ve bağlantılara karşı son derece şüpheci olun. Gönderenin kimliğinden emin olsanız bile, içeriğin beklenmedik olup olmadığını sorgulayın. Tüm hesaplarınızda, özellikle de kurumsal hesaplarınızda, Çok Faktörlü Kimlik Doğrulamayı (MFA) etkinleştirin. Şüpheli bir aktivite fark ederseniz derhal BT güvenlik departmanınıza bildirin. Düzenli olarak bir Veri Sızıntısı Sorgulama hizmeti kullanarak e-posta adresinizin başka sızıntılarda yer alıp almadığını kontrol etmek de iyi bir alışkanlıktır.
  • Kuruluşlar İçin: Çalışanlara yönelik, Teams gibi platformları hedef alan oltalama saldırıları hakkında düzenli siber güvenlik farkındalık eğitimleri düzenleyin. Microsoft Teams için dosya paylaşımı ve harici kullanıcılarla iletişim konusunda katı güvenlik politikaları uygulayın. Ağ trafiğini anormal veri çıkışlarına karşı izleyin. Uç nokta koruma (EDR) çözümleri kullanarak şüpheli işlemleri tespit edin ve engelleyin. Olay müdahale planınızı, fidye yazılımı gibi görünen bir saldırının aslında bir APT grubunun casusluk faaliyeti olabileceği senaryolarını da kapsayacak şekilde güncelleyin.

Şirketin Açıklaması

Microsoft, henüz bu özel kampanya hakkında resmi bir açıklama yapmamış olsa da, Teams platformunun güvenliğini sürekli olarak artırmak için çalıştıklarını belirtmektedir. Şirket genellikle bu tür tehditleri izler ve Microsoft Defender gibi güvenlik ürünlerine yeni tespit kuralları ekleyerek kullanıcılarını korumaya çalışır. Siber güvenlik firmaları, MuddyWater'ın bu yeni taktiklerini yakından takip etmekte ve kurumları bilgilendirmek için teknik analiz raporları yayınlamaktadır. Kurumların, güvenlik sağlayıcılarından ve resmi siber güvenlik otoritelerinden gelen uyarıları dikkate almaları kritik öneme sahiptir.

Kaynak

https://thehackernews.com/2026/05/muddywater-uses-microsoft-teams-to.html

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı Conduent Veri Sızıntısı Missouri'de Milyonları Etkiledi Sonraki Yazı → Fidye Yazılımları Yedeklere Rağmen Neden Başarılı Oluyor

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.