Microsoft Teams Serverləri DragonForce Fidyə Hücumunda İstifadə Edildi – Veri Sızıntısı
Live
Sorğu
Korporativ
Haqqımızda Qurucunun notu Mətbuat & Media Məxfilik siyasəti İstifadə şərtləri TSS Mətbuat Kiti
Məhsullar
HUBOne HUBCorp Tezliklə Veri Sızıntısı Android Tezliklə Veri Sızıntısı iOS Tezliklə Veri Sızıntısı Huawei Tezliklə Breach Radar Argus Flow Argus Engine LivePlatform
Texnologiyalar
Argus AI Nədir? HUBOne'da sına Argus Flow nədir? Argus Engine Nədir?
Bloq Əlaqə

Microsoft Teams Serverləri Fidyə Hücumunda İstismar Edildi

DragonForce adlı fidyə proqramı dəstəsi, kiber təhlükəsizlik müdafiəsindən yayınmaq üçün Microsoft-un etibarlı Teams infrastrukturunu komanda-nəzarət serveri kimi istifadə edərək diqqəti cəlb etdi.

Microsoft Teams loqosunun arxasında görünən əjdaha fiquru, kiber hücumu simvolizə edir.

Nə Baş Verdi

Kiber təhlükəsizlik dünyası, təcavüzkarların nə qədər yaradıcı və cəsarətli ola bildiyini bir daha nümayiş etdirən bir xəbərlə çalxalanır. DragonForce olaraq tanınan fidyə proqramı qrupu, son hücumlarında qeyri-adi bir üsul tətbiq edərək Microsoft Teams-in server infrastrukturundan sui-istifadə etdi. Bu vəziyyət, kiber cinayətkarların artıq yalnız sistemlərə sızmaqla kifayətlənmədiyini, eyni zamanda ən çox etibar etdiyimiz rəqəmsal ünsiyyət vasitələrini də bir silaha çevirdiyini göstərir. Hadisə, kiber təhlükəsizlik firmalarının hesabatları ilə 17 iyun 2026-cı ildə ictimaiyyətə açıqlandı.

Əsasən baş verən budur: Təcavüzkarlar, ələ keçirdikləri bir şəbəkə daxilində gizlənmək və əmrlərini ötürmək üçün normalda milyonlarla insanın video konfrans və mesajlaşma üçün istifadə etdiyi Teams infrastrukturunu bir pərdə olaraq istifadə ediblər. Bu, təhlükəsizlik proqramları üçün tam bir kabus ssenarisidir. Çünki normal şərtlərdə bir təhlükəsizlik divarı və ya antivirus proqramı, Microsoft-un öz serverlərinə gedən bir trafiki "təhlükəsiz" və "qanuni" olaraq etiketləyir. Təcavüzkarlar da məhz bu etibardan sui-istifadə edirlər. Bu üsula kiber təhlükəsizlik dilində "Living Off the Land" (LOTL) yəni "ərazidən qidalanma" deyilir. Cinayətkarlar, hədəf sistemdə onsuz da mövcud olan qanuni alətləri və xidmətləri istifadə edərək özlərini gizlədirlər. Beləliklə, arxalarında daha az iz buraxır və aşkar edilmələri çox daha çətinləşir.

Ələ Keçirilən Məlumatlar

Bu hücumda tam olaraq hansı məlumatların oğurlandığı və ya şifrələndiyi barədə hələlik dəqiq bir məlumat paylaşılmayıb. Hücuma məruz qalan qurumun kimliyi də hələlik gizli saxlanılır. Ancaq DragonForce kimi fidyə proqramı qruplarının ümumi iş prinsipinə baxdığımızda, hədəfin adətən dəyərli məlumatlar olduğunu bilirik. Bu cür hücumlarda cinayətkarlar ilk olaraq şirkətin əməliyyatlarını dayandırmaq üçün kritik faylları şifrələyir. Daha sonra, fidyənin ödənilməsi üçün təzyiqi artırmaq məqsədilə, şifrələmədən əvvəl oğurladıqları həssas məlumatları dərc etməklə hədələyirlər. Bu məlumatlara adətən aşağıdakılar daxil ola bilər:

E-poçtunuz sızdırılıb? Pulsuz yoxlayın — saniyələr içində nəticə.

İndi Yoxla →
  • Müştəri məlumatları (adlar, ünvanlar, əlaqə məlumatları)
  • İşçilərin şəxsi məlumatları
  • Maliyyə hesabatları, balanslar və bank hesab detalları
  • Əqli mülkiyyət hüquqları, ticarət sirləri və məhsul dizaynları
  • İdarə heyətinin iclas protokolları kimi strateji sənədlər

Məlumatların aqibəti, adətən qurban şirkətin fidyəni ödəyib-ödəməməsinə və təcavüzkarların insafına qalmışdır. Çox vaxt, fidyə ödənsə belə məlumatların geri alınacağının və ya sızdırılmayacağının bir zəmanəti olmur.

Hücum Necə Baş Verdi

Hücumun texniki təfərrüatları hələ tam olaraq aydınlaşdırılmayıb, xüsusilə də təcavüzkarların şəbəkəyə ilk olaraq necə sızdığı qeyri-müəyyənliyini qoruyur. Ancaq ən diqqət çəkən hissə, sızdıqdan sonra etdikləridir. Hesabatlara görə, DragonForce, Microsoft Teams-in "relay server" olaraq adlandırılan ötürücü serverlərini bir Komanda və Nəzarət (C2 və ya C&C) mərkəzi kimi istifadə edib.

Bəs bu nə deməkdir? Bir şəbəkəyə sızan zərərli proqramın, xaricdəki təcavüzkarla əlaqə qurması lazımdır. Təcavüzkar bu əlaqə kanalı vasitəsilə zərərli proqrama "bu faylları şifrələ", "bu məlumatları xaricə sızdır" və ya "şəbəkədəki digər kompüterlərə yayıl" kimi əmrlər göndərir. Məhz bu ünsiyyətin təmin edildiyi serverlərə Komanda və Nəzarət serveri deyilir. Normalda kiber təhlükəsizlik sistemləri, tanınan zərərli C2 serverlərinə gedən trafiki dərhal aşkar edib bloklayır.

Ancaq DragonForce-un etdiyi şey dahi və bir o qədər də narahatedicidir. Öz C2 serverlərini qurmaq əvəzinə, trafiki Microsoft Teams-in qanuni serverləri vasitəsilə yönləndiriblər. Təhlükəsizlik sistemləri, şəbəkədən çıxan trafiki yoxlayarkən hədəfin "teams.microsoft.com" kimi etibarlı bir ünvan olduğunu gördükdə həyəcan siqnalı verməmiş ola bilər. Bu, təcavüzkarların şifrələnmiş və qanuni görünən bir tunel içindən istədikləri kimi əmr göndərməsinə və məlumat oğurlamasına imkan verdi. Bu taktika, ənənəvi şəbəkə təhlükəsizliyi nəzarətlərinin nə qədər asanlıqla aşıla biləcəyini acı bir şəkildə ortaya qoyur.

Kimlər Təsirləndi

Hazırda hücumdan təsirlənən qurumun kimliyi ictimaiyyətə açıqlanmayıb. Ancaq bu cür inkişaf etmiş hücum texnikaları adətən müəyyən bir hədəfə yönəldilərək və ya fürsətçi bir yanaşma ilə, zəif halqa olaraq görülən hər hansı bir təşkilata qarşı istifadə edilə bilər. DragonForce kimi maliyyə motivasiyalı qruplar üçün sektor fərqi demək olar ki, yoxdur. Maliyyə, səhiyyə, təhsil, istehsalat və ya ictimai sektor fərq etmədən, dəyərli məlumatlara sahib olan və əməliyyatlarının dayanması halında böyük ziyana uğrayacaq hər bir təşkilat potensial bir hədəfdir.

Bu hadisənin göstərdiyi ən vacib şey, Microsoft Teams kimi geniş yayılmış platformalardan istifadə edən hər bir şirkətin potensial olaraq risk altında olmasıdır. Təcavüzkarlar artıq yalnız sizin infrastrukturunuza deyil, etibar etdiyiniz üçüncü tərəf xidmətlərinin infrastrukturuna da sızaraq sizi hədəf ala bilirlər. Bu səbəbdən, hansı sektorda olmağınızdan asılı olmayaraq, oxşar hücumların qurbanı ola biləcəyinizi fərz etmək ən doğru yanaşma olacaqdır. Cari Melumat Sizintisi Xeberler izlənildikdə, bu cür təchizat zənciri və ya etibarlı üçüncü tərəf istismarlarının getdikcə artdığı müşahidə edilir.

Nə Edə Bilərsiniz

Bu cür mürəkkəb hücumlara qarşı qorunmaq, yalnız bir antivirus proqramı quraşdırmaqdan daha çox şey tələb edir. Qurumların və fərdlərin ata biləcəyi bəzi vacib addımlar bunlardır:

  • Şəbəkə Trafikinin Dərin Təhlili: Yalnız hədəfə baxaraq trafikə icazə vermək əvəzinə, trafikin təbiətini təhlil edin. Microsoft serverlərinə gedən trafik normaldırmı? Bir istifadəçinin kompüteri, gecə yarısı Teams serverlərinə gigabaytlarla məlumat göndərir? Bu cür anormallıqları aşkar edə bilən inkişaf etmiş şəbəkə monitorinq vasitələrindən istifadə etmək kritik əhəmiyyət daşıyır.
  • Sıfır Etibar (Zero Trust) Modelini Mənimsəmək: "İçəridəki hər şeyə güvən, xaricdəki hər şeyə şübhə ilə yanaş" məntiqi artıq keçərli deyil. Sıfır Etibar modeli, şəbəkənin içindən və ya xaricindən gələn hər bir giriş tələbinin kimliyinin yoxlanılmasını və səlahiyyətləndirilməsini tələb edir. Heç bir istifadəçiyə və ya cihaza defolt olaraq etibar edilmir.
  • Endpoint Aşkarlama və Cavab (EDR/XDR) Həlləri: Təcavüzkarlar şəbəkəni keçsələr belə, hərəkətlərini həyata keçirdikləri yer işçilərin kompüterləridir (endpointlər). EDR və XDR həlləri, bu cihazlardakı şübhəli davranışları (məsələn, bir Word sənədinin qəflətən şəbəkədəki digər fayllara daxil olmağa çalışması kimi) aşkar edib hücumu daha başlamadan dayandıra bilər.
  • Proaktiv Təhdid Ovçuluğu: Siqnalların çalmasını gözləməyin. Təhlükəsizlik komandalarınızın, şəbəkənizdə və sistemlərinizdə aktiv olaraq təcavüzkar izləri axtarması lazımdır. Bu, qeyri-adi şəbəkə bağlantıları, şübhəli proseslər və ya gözlənilməz konfiqurasiya dəyişiklikləri kimi anormallıqların əl ilə araşdırılması deməkdir.
  • Hadisəyə Cavab Planı: Ən yaxşı müdafiəyə baxmayaraq bir hücum baş verə bilər. Belə bir vəziyyətdə nə edəcəyinizi, kiminlə əlaqə saxlayacağınızı, sistemləri necə təcrid edəcəyinizi və əməliyyatları necə davam etdirəcəyinizi müəyyən edən aydın bir plana sahib olduğunuzdan əmin olun.

Şirkət Nə Deyir

Bu xəbərin nəşrə hazırlandığı 17 iyun 2026-cı il tarixinə, Microsoft tərəfindən Teams infrastrukturunun bu spesifik hücumda sui-istifadə edildiyinə dair rəsmi bir şərh və ya açıqlama verilməyib. Adətən bu cür hallarda Microsoft, vəziyyəti araşdırmaq və gələcəkdə bənzər hadisələrin yaşanmasının qarşısını almaq üçün öz təhlükəsizlik komandalarını işə salır. Hücuma məruz qalan və kimliyi açıqlanmayan şirkətdən də hələ bir mətbuat açıqlaması gəlməyib. Qarşıdakı günlərdə hər iki tərəfdən daha ətraflı məlumatların verilməsi gözlənilir.

Mənbə

https://www.securityweek.com/microsoft-teams-relay-servers-abused-in-dragonforce-ransomware-attack/

Bu Məqaləni Paylaş
X LinkedIn WhatsApp
← Əvvəlki Yazı Kodak Məlumat Sızmasını Təsdiqlədi Hücumçu ShinyHunters Növbəti Yazı → EdTech Sektoru Kiberböhrandadır Məlumat Sızmaları Artır

Həftəlik Bülten

Hər həftə seçilmiş məlumat pozuntusu xəbərləri gələn qutunuza çatdırılsın.