Genel Bakış
UNC6692 olarak izlenen tehdit aktörü, Microsoft Teams platformunu kullanarak kurumsal ağlara sızmak için sosyal mühendislik tekniklerini başarıyla uygulamaktadır. 'Snow' olarak adlandırılan bu yeni zararlı yazılım paketi; tarayıcı eklentisi, tünel oluşturucu (tunneler) ve arka kapı (backdoor) bileşenlerinden oluşmaktadır. Bu makale, söz konusu tehdidin teknik detaylarını ve IT ekiplerinin alması gereken önlemleri kapsamaktadır.
Tehdit Analizi
Snow zararlı yazılımı, genellikle kurbanın güvenini kazanmak için Teams üzerinden gönderilen sahte dosyalar veya bağlantılar aracılığıyla sisteme bulaşmaktadır. Yazılımın temel amacı, tarayıcı verilerini çalmak ve saldırganın ağ içinde kalıcı bir erişim sağlamasına olanak tanımaktır.
Tespit ve Müdahale Adımları
- Süreç İzleme: Şüpheli işlemler için uç nokta (EDR) günlüklerini inceleyin. Özellikle tarayıcı süreçleri (chrome.exe, msedge.exe) ile ilişkili beklenmedik ağ bağlantılarını kontrol edin.
- Ağ Trafiği Analizi: Tünel oluşturucu bileşenlerin kullandığı şüpheli dış bağlantıları engelleyin.
- Kalıcılık Kontrolü: Kayıt defteri (Registry) ve başlangıç klasörlerini kontrol ederek zararlı yazılımın kalıcılık sağlamasını engelleyin.
Uyarı: Microsoft Teams üzerinden gelen beklenmedik dosya paylaşımlarını mutlaka BT güvenlik birimine bildirin. Kullanıcı farkındalığı, bu tür saldırılara karşı en güçlü savunmadır.
İnceleme Komutları
Sisteminizde şüpheli ağ bağlantılarını listelemek için şu komutu kullanabilirsiniz:
netstat -ano | findstr /i "ESTABLISHED"Tarayıcı eklentilerini kontrol etmek için PowerShell üzerinden şu sorguyu çalıştırın:
Get-ChildItem -Path "$env:LOCALAPPDATA\Google\Chrome\User Data\Default\Extensions"Önleyici Tedbirler
Kurumsal güvenliği artırmak için Microsoft Teams üzerinde 'Harici Erişim' (External Access) ayarlarını kısıtlayın ve kullanıcıların bilinmeyen kaynaklardan gelen dosyaları indirmesini engelleyecek güvenlik politikaları uygulayın. Ayrıca, tarayıcı eklenti yükleme izinlerini merkezi olarak yönetin.
