Xakerlar Microsoft Teams orqali tizimga masofadan kirishni qo‘lga kiritmoqda

Xakerlar Microsoft Teams platformasidan foydalanib, qurbonni o‘z tizimlariga masofaviy kirish huquqini berishga majbur qilishdi. Ushbu hujum Trend Micro tomonidan tahlil qilingan bo‘lib, kiberjinoyatchilar tomonidan qo‘llanilayotgan ijtimoiy muhandislik usullarining yanada murakkablashganini ko‘rsatdi.

Hujum bir necha bosqichda amalga oshirilgan:

1️⃣ Fishing xatlarining ko‘plab yuborilishi: Qurbon avvaliga o‘z elektron pochtasiga ko‘p sonli fishing xatlarini olgan.
2️⃣ Microsoft Teams qo‘ng‘irog‘i: Keyinchalik hujumchi Microsoft Teams orqali qo‘ng‘iroq qilib, ishonchli mijoz xodimi sifatida o‘zini tanishtirgan.
3️⃣ Masofaviy yordam dasturi o‘rnatish: Qo‘ng‘iroq davomida qurbonni dastlab Microsoft Remote Support dasturini o‘rnatishga undashgan. Ammo Microsoft do‘konidan yuklab olish muvaffaqiyatsiz bo‘lgach, hujumchi AnyDesk dasturiga o‘tgan. AnyDesk – bu qonuniy masofaviy ish stoli vositasi bo‘lib, ko‘pincha kiberjinoyatchilar tomonidan suiiste’mol qilinadi.

AnyDesk o‘rnatilgandan so‘ng, hujumchi qurbonning kompyuteriga to‘liq kirish imkoniga ega bo‘ldi va turli zararli fayllarni, jumladan Trojan.AutoIt.DARKGATE.D deb aniqlangan zararli dasturiy ta’minotni yukladi.

Zararli dasturning tarqatilishi: Ushbu dastur AutoIt skripti orqali tarqatilgan. Skript tizimni masofadan boshqarish, zararli buyruqlarni bajarish va buyruqni boshqarish (C2) serveriga ulanish imkonini bergan.

Hujumchi AnyDesk orqali quyidagi buyruqlarni bajarib, tizim va tarmoq konfiguratsiyasini o‘rganishga kirishdi:

  • systeminfo: Tizim haqida umumiy ma’lumot olish.
  • route print: Tarmoq marshrutlari haqida ma’lumot yig‘ish.
  • ipconfig /all: IP manzillari va tarmoq sozlamalarini aniqlash.

Yig‘ilgan ma’lumotlar 123.txt nomli faylga saqlangan bo‘lib, keyingi hujumlar uchun qo‘shimcha ma’lumot to‘plash maqsadida ishlatilgan.

Mudofaa mexanizmlaridan qochish:

  • AutoIt skriptlari tizimdagi antivirus dasturlarini aniqlab, ularni chetlab o‘tish uchun ishlatilgan.
  • Zararli fayllar yashirin kataloglarga yuklab olingan va chiqarilgan.

Yana bir zararli fayl, SystemCert.exe, vaqtinchalik papkalarda qo‘shimcha skript va bajariladigan fayllar yaratgan. Ushbu fayllar orqali C2 serverga ulanish va yangi zararli yuklamalarni olish amalga oshirilgan.

Yaxshiyamki, ushbu hujum vaqtida hech qanday ma’lumot o‘g‘irlanmagan. Ammo qurbonning kompyuterida zararli fayllar va reyestr yozuvlari qoldirilgan. Ushbu voqea tizim xavfsizligini ta’minlash zarurligini yana bir bor eslatadi.

Bunday hujumlardan himoyalanish uchun quyidagilarni tavsiya qilamiz:

1️⃣ Uchinchi tomon talablarini tekshiring: Texnik yordam ko‘rsatuvchi kompaniyalar bilan hamkorlik qilishdan oldin ularning ishonchliligini tasdiqlang.
2️⃣ Masofaviy kirish vositalarini nazorat qiling: Faqat tasdiqlangan dasturlarni (masalan, AnyDesk) oq ro‘yxatga kiritib, ulardan foydalanishda ko‘p faktorli autentifikatsiyani (MFA) majburiy qiling.
3️⃣ Xodimlarni o‘rgating: Fishing va vishing (ovozli fishing) kabi ijtimoiy muhandislik usullari haqida xodimlarni ogohlantiring va ularga bu kabi tahdidlardan qochish bo‘yicha ma’lumot bering.

Xakerlar ishonchni suiiste’mol qilish va Microsoft Teams kabi qonuniy platformalarni o‘z maqsadlarida ishlatishni yaxshi biladi. Shuning uchun, bunday tahdidlarni oldini olish uchun hushyorlik va proaktiv xavfsizlik choralarini qo‘llash muhimdir.

Xavfsizligingizni ta’minlashni bugundan boshlang va bunday tahdidlarga qarshi kurashda xodimlaringizni doimo tayyorlang!

Skip to content