Black Basta'nın Microsoft Teams'i Kullanarak Düzenlediği Karmaşık Phishing Saldırıları

NVISO Labs tarafından ortaya çıkarılan kampanya, e-posta bombardımanıyla başlıyor. Kurbanların gelen kutuları, haber bültenleri gibi zararsız görünen spam e-postalarla dolduruluyor. Bu yöntem, kullanıcıları oyalayıp asıl tehditi gizlemek için kullanılıyor. Daha sonra saldırganlar, Microsoft Teams üzerinden "Yardım Masası" ya da "BT Destek" gibi kimliklerle hedef kişilere ulaşıyor. Rapora göre saldırganlar, kurbanları Quick Assist ya da AnyConnect gibi uzak erişim araçlarıyla erişim izni vermeye ikna ediyor.

Saldırı Süreci

Microsoft Teams’te başlatılan bu sosyal mühendislik saldırıları, saldırganların güvenlik kontrollerini devre dışı bırakması, hassas verileri dışa aktarması ve zararlı yazılımlar dağıtmasıyla sonuçlanıyor.

NVISO Labs, bu tür saldırıların tespit edilmesine yardımcı olabilecek birkaç önemli ipucu paylaştı:

• E-posta Trafiğinde Ani Artışlar: Spam veya phishing olarak sınıflandırılan gelen e-postalarda ani artışlar gözlemlenebilir.
• Şüpheli Görünen Kullanıcı Adları: Microsoft Teams içinde “Help Desk” veya “Support” gibi anahtar kelimeler içeren kullanıcı adlarına dikkat edilmelidir.
• Uzak Yönetim Araçlarının Kullanımı: Quick Assist veya AnyConnect gibi araçların kullanımı, şüpheli aktiviteleri işaret edebilir.
• E-posta Bombardımanı ve Sohbet Zamanlaması: E-posta bombardımanı başlatıldıktan sonraki üç saat içinde Microsoft Teams sohbetlerinin başlatıldığı durumlar araştırılmalıdır.