>

Securtr

$title =

IT Yardım Masası Kılığındaki Tehdit: UNC6692 Teams’i Silaha Çevirdi

;

$içerik = [

Microsoft Teams, artık sadece toplantı aracı değil — aktif bir saldırı vektörü. UNC6692 adıyla takip edilen ve daha önce belgelenmemiş bir tehdit grubu, BT yardım masası çalışanı kimliğine bürünerek kurbanlarını Teams üzerinden ikna ediyor ve ardından SNOW adı verilen özel bir zararlı yazılım paketini hedef sistemlere yerleştiriyor. Bu saldırı zincirinde teknik bir zafiyet yok — sadece insan güveni istismar ediliyor, ki bu çok daha tehlikeli.

UNC6692 Kimdir ve SNOW Nedir?

UNC6692, Mandiant/Google Threat Intelligence tarafından yeni belgelenen bir tehdit kümesi. “UNC” öneki, grubun henüz belirli bir ülke veya motivasyona kesin olarak atfedilemediğini gösteriyor — bu belirsizlik tek başına önemli bir uyarı işareti. Grubun kullandığı SNOW, tek bir araç değil; birden fazla bileşenden oluşan özel (custom) bir zararlı yazılım paketi. Bu tür özel araçların kullanılması, grubun operasyonel olgunluğunu ve hedefli saldırı kapasitesini ele veriyor. Hazır, herkese açık araçlarla çalışan fırsatçı saldırganlardan çok daha ısrarcı ve yapılandırılmış bir tehdit profiliyle karşı karşıyayız.

Saldırının temel mekaniği şu: Kurban, harici bir Teams hesabından sohbet daveti alıyor. Bu hesap, kurumun BT yardım masası personeli gibi görünmek üzere yapılandırılmış. Kurban daveti kabul ettiğinde, “teknik destek” kisvesi altında belirli işlemleri yapmaya ikna ediliyor — ve süreç sonunda SNOW sisteme sızıyor.

Saldırı Nasıl İşliyor? Adım Adım Zincir

Bu saldırıyı diğer sosyal mühendislik girişimlerinden ayıran birkaç kritik nokta var. Standart bir oltalama (phishing) e-postasında şüpheli bağlantılar, yazım hataları veya tanımadığınız bir gönderici adresi gibi kırmızı bayraklar bulunur. Teams tabanlı bu saldırıda ise kurban zaten güvendiği bir platformda, görünürde kurumsal kimlik taşıyan biriyle konuştuğunu düşünüyor.

⚠️ Saldırı zinciri şu adımlardan oluşuyor:

  1. Kimlik taklidi hesabı oluşturma: Saldırganlar, hedef kurumun BT yardım masası ismiyle birebir örtüşen veya çok yakın bir Microsoft hesabı oluşturuyor. Örneğin “BilgiIslem-Destek” veya “IT-HelpDesk-[KurumAdı]” gibi görünümlü harici hesaplar.
  2. Teams sohbet daveti gönderme: Microsoft Teams varsayılan olarak harici kullanıcıların kurum çalışanlarına mesaj göndermesine izin verir. Bu ayar pek çok kurumda değiştirilmeden bırakılıyor — saldırgan bu açıktan yararlanıyor.
  3. Güven inşası ve senaryo kurma: Saldırgan, “sistem güncellemesi”, “güvenlik taraması” veya “hesap doğrulaması” gibi meşru görünen bir senaryo üretiyor.
  4. Kurbanı harekete geçirme: Kurban bir araç indirmeye, bir bağlantıya tıklamaya ya da belirli bir komutu çalıştırmaya yönlendiriliyor.
  5. SNOW devreye giriyor: Kurbanın etkileşimi sonucunda SNOW zararlı yazılım paketi sisteme yerleşiyor; kalıcılık mekanizmaları kurularak uzun vadeli erişim sağlanıyor.

Benim için bu saldırının en rahatsız edici yanı şu: Kurban teknik olarak hiçbir “hata” yapmıyor. Şirketinin BT departmanından geldiğini düşündüğü biriyle Teams üzerinden konuşuyor ve talimatları uyguluyor. Geleneksel güvenlik farkındalığı eğitimlerindeki “bilinmeyen gönderici” uyarısı burada işe yaramıyor.

Türk Kurumları İçin Bu Neden Kritik?

Microsoft Teams, Türkiye’deki kurumsal ortamlarda son birkaç yılda inanılmaz bir penetrasyon oranına ulaştı. Bankacılıktan kamu kurumlarına, üretimden sağlığa kadar neredeyse her sektörde Teams birincil iletişim aracı konumunda. Bu yaygınlık, saldırı yüzeyini de orantılı biçimde genişletiyor.

📊 Türkiye özelinde dikkat edilmesi gereken birkaç faktör var:

  • Harici erişim varsayılan açık: Çoğu kurumda Teams harici kullanıcı erişimi kısıtlanmamış durumda. Bu, saldırganların herhangi bir teknik zafiyet olmadan kapıyı çalabildiği anlamına geliyor.
  • BT yardım masası kültürü: Özellikle büyük kurumsal yapılarda çalışanlar, BT ekibinin Teams üzerinden ulaşmasını olağan karşılıyor. Bu beklenti saldırganlar için mükemmel bir zemin.
  • Uzaktan/hibrit çalışma artığı: Pandemi sonrası uzaktan çalışma düzenlemeleri büyük ölçüde devam ediyor. Fiziksel doğrulama imkânı olmayan ortamlarda dijital kimlik taklidi çok daha kolay.
  • Dil avantajı: Türkçe içerikli, yerel kurum isimlerine uyarlanmış saldırılar artık yapay zeka destekli araçlarla kolayca üretilebiliyor. “Kötü yazılmış Türkçe” artık bir güvenlik filtresi değil.

MITRE ATT&CK Eşleşmesi

Bu saldırı zinciri birden fazla MITRE ATT&CK tekniğini kapsıyor:

  • T1566.004 – Phishing: Spearphishing via Service (Hizmet Üzerinden Hedefli Oltalama): Teams gibi meşru iletişim platformlarının saldırı vektörü olarak kullanılması.
  • T1078 – Valid Accounts (Geçerli Hesaplar): Meşru görünen Microsoft hesaplarıyla kimlik taklidi yapılması.
  • T1204 – User Execution (Kullanıcı Tarafından Yürütme): Kurbanın kendi eliyle zararlı içeriği çalıştırması.
  • T1059 – Command and Scripting Interpreter (Komut ve Betik Yorumlayıcısı): SNOW’un sisteme yerleşme aşamasında büyük olasılıkla kullandığı mekanizma.
  • T1547 – Boot or Logon Autostart Execution (Önyükleme/Oturum Açma Otomatik Başlatma): Kalıcılık için başvurulan yaygın teknik.

🛡️ Wazuh ile Tespit: Kural ve Konfigürasyon Örnekleri

Bu tür saldırılarda erken tespit için Wazuh’u etkin biçimde kullanabilirsiniz. Odaklanılması gereken üç alan var: Teams harici bağlantı izleme, alışılmadık süreç başlatma olayları ve yeni kalıcılık mekanizmalarının tespiti.

Aşağıdaki Wazuh kuralı, kullanıcı etkileşimi sonrası başlatılan şüpheli süreçleri — özellikle Teams gibi uygulamaların alt süreci olarak ortaya çıkanları — yakalamak için tasarlanmıştır:

<!-- Wazuh custom rule: Teams child process anomaly detection -->
<group name="unc6692,teams_abuse,social_engineering,">

  <!-- Teams üzerinden başlatılan şüpheli alt süreçler -->
  <rule id="100500" level="12">
    <if_group>windows</if_group>
    <field name="win.eventdata.parentImage" type="pcre2">(?i)teams\.exe</field>
    <field name="win.eventdata.image" type="pcre2">(?i)(powershell|cmd|wscript|cscript|mshta|rundll32|regsvr32|certutil|bitsadmin)\.exe</field>
    <description>Şüpheli: Microsoft Teams alt süreci olarak $(win.eventdata.image) başlatıldı</description>
    <mitre>
      <id>T1566.004</id>
      <id>T1204</id>
      <id>T1059</id>
    </mitre>
    <group>attack,execution,initial_access</group>
  </rule>

  <!-- Kullanıcı profilinde yeni başlangıç (Startup) girişi oluşturulması -->
  <rule id="100501" level="10">
    <if_group>windows</if_group>
    <field name="win.eventdata.targetFilename" type="pcre2">(?i)\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\</field>
    <description>Kalıcılık girişimi: Startup klasörüne yeni dosya bırakıldı - $(win.eventdata.targetFilename)</description>
    <mitre>
      <id>T1547</id>
    </mitre>
    <group>attack,persistence</group>
  </rule>

  <!-- certutil ile ağdan dosya indirme (SNOW dağıtım vektörü olabilir) -->
  <rule id="100502" level="13">
    <if_group>windows</if_group>
    <field name="win.eventdata.image" type="pcre2">(?i)certutil\.exe</field>
    <field name="win.eventdata.commandLine" type="pcre2">(?i)(-urlcache|-decode|-encode)</field>
    <description>Yüksek öncelik: certutil ile indirme/kod çözme işlemi tespit edildi</description>
    <mitre>
      <id>T1105</id>
      <id>T1140</id>
    </mitre>
    <group>attack,defense_evasion,command_and_control</group>
  </rule>

</group>

Bu kuralları devreye almak için /var/ossec/etc/rules/local_rules.xml dosyasına ekleyip Wazuh yöneticisini yeniden başlatmanız yeterli. Sysmon log toplama aktifse (EventID 1 – Process Create, EventID 11 – File Create) bu kurallar doğrudan çalışacaktır.

🔧 Teams harici erişim politikasını Microsoft 365 tarafında kısıtlamak için PowerShell:

# Mevcut harici erişim politikasını kontrol et
Get-CsTenantFederationConfiguration | Select-Object AllowFederatedUsers, AllowPublicUsers, AllowTeamsConsumer

# Yalnızca belirli güvenilir etki alanlarına izin ver (önerilen)
Set-CsTenantFederationConfiguration -AllowFederatedUsers $true `
  -AllowPublicUsers $false `
  -AllowTeamsConsumer $false

# Güvenilir etki alanı listesi ekle (örnek)
$allowedDomain = New-CsEdgeDomainPattern -Domain "guvenilir-partner.com"
Set-CsTenantFederationConfiguration -AllowedDomains $allowedDomain

# Harici kullanıcıların sohbet başlatmasını tamamen engelle (en katı seçenek)
Set-CsTenantFederationConfiguration -AllowFederatedUsers $false

Ne Yapmalısınız? 5 Acil Aksiyon

  1. Teams harici erişim politikasını gözden geçirin: Microsoft 365 yönetim merkezinden ya da yukarıdaki PowerShell komutlarıyla harici kullanıcıların kimlerle iletişim kurabileceğini sınırlandırın. “Tüm harici kullanıcılar” yerine onaylı etki alanı listesi politikasına geçin. Bu tek adım bu saldırının önündeki en büyük engeli oluşturur.
  2. Çalışanları bu spesifik saldırı senaryosuyla eğitin: Genel “oltalama e-postalarına dikkat” mesajı artık yeterli değil. BT yardım masasının Teams üzerinden harici bir hesaptan asla doğrulama veya araç kurulumu istemeyeceğini tüm çalışanlara açıkça bildirin. Doğrulama prosedürü oluşturun: Şüpheli bir Teams mesajı geldiğinde çalışan bilinen bir dahili numara veya e-posta üzerinden BT ekibini doğrulamalı.
  3. Wazuh ile Teams tabanlı süreç anomalilerini izleyin: Yukarıdaki kuralları devreye alın. Sysmon kurulu değilse önce onu yapılandırın — Teams, Outlook, tarayıcılar gibi kullanıcı uygulamalarının alt süreçlerini izlemek bu tür sosyal mühendislik tabanlı saldırıları erken yakalamanın en etkili yolu.
  4. Ayrıcalıklı hesaplar için ek doğrulama katmanı ekleyin: BT yardım masası personeli ve yönetici hesapları, Teams üzerinden gelen taleplere yanıt verirken ikinci bir kanal üzerinden onay almalı. Saldırganların birincil hedefi genellikle bu hesaplar.
  5. SNOW IoC’lerini tehdit istihbarat platformunuza ekleyin: Mandiant raporundaki göstergeler (IoC – uzlaşma belirtisi) yayımlandıkça bunları hemen güvenlik bilgi ve olay yönetimi (SIEM) sisteminize işleyin. Wazuh’ta CDB listesi oluşturarak bilinen SNOW hash’leri ve C2 adreslerini gerçek zamanlı eşleştirme yapabilirsiniz.

Sonuç: Platform Güveni Artık Yeterli Değil

UNC6692 saldırısının bana göre asıl dersi şu: Kurumsal güvenlik stratejileri artık “güvenilir platform = güvenli iletişim” varsayımından vazgeçmek zorunda. Teams meşru bir araç, ama bu onu saldırganlardan muaf kılmıyor — tam tersine, güvenilirliği onu daha çekici bir vektör haline getiriyor. Aynı dinamiği daha önce Microsoft’un kendi altyapısının zararlı yazılım iletişimi için kullanıldığı GoGra Linux analizinde de görmüştük.

Sıfır güven (zero trust) mimarisinin “kimseye güvenme, her şeyi doğrula” ilkesi artık iletişim kanalları için de geçerli olmak zorunda. Kim olduğunu söyleyen biri değil, kim olduğunu kanıtlayan biri güvenilir olmalı — Teams ekranında ne yazıyor olursa olsun.

Orijinal kaynak: https://thehackernews.com/2026/04/unc6692-impersonates-it-helpdesk-via.html

📚 İlgili Yazılar

];

$tarih =

;

$category =

,

;

$previous =

;

$next =

;

Bir Cevap Yazın

Securtr sitesinden daha fazla şey keşfedin

Okumaya devam etmek ve tüm arşive erişim kazanmak için hemen abone olun.

Okumaya Devam Edin