Microsoft Teams Sunucuları DragonForce Fidye Saldırısında Kullanıldı – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

Microsoft Teams Sunucuları Fidye Saldırısında Kullanıldı

DragonForce isimli fidye yazılımı çetesi, siber güvenlik savunmalarını atlatmak için Microsoft'un güvenilir Teams altyapısını komuta kontrol sunucusu olarak kullanarak dikkatleri üzerine çekti.

Microsoft Teams logosunun arkasında beliren bir ejderha figürü, siber saldırıyı simgeliyor.

Ne Oldu

Siber güvenlik dünyası, saldırganların ne kadar yaratıcı ve cüretkar olabildiğini bir kez daha gösteren bir haberle çalkalanıyor. DragonForce olarak bilinen fidye yazılımı grubu, son saldırılarında alışılmışın dışında bir yöntem kullanarak Microsoft Teams'in sunucu altyapısını kötüye kullandı. Bu durum, siber suçluların artık sadece sistemlere sızmakla kalmayıp, aynı zamanda en güvendiğimiz dijital iletişim araçlarını da birer silaha dönüştürdüğünü gösteriyor. Olay, siber güvenlik firmalarının raporlarıyla 17 Haziran 2026'da kamuoyuna yansıdı.

Temelde olan şu: Saldırganlar, ele geçirdikleri bir ağ içinde gizlenmek ve komutlarını iletmek için normalde milyonlarca insanın video konferans ve mesajlaşma için kullandığı Teams altyapısını bir paravan olarak kullanmış. Bu, güvenlik yazılımları için tam bir kabus senaryosu. Çünkü normal şartlarda bir güvenlik duvarı veya antivirüs programı, Microsoft'un kendi sunucularına giden bir trafiği "güvenli" ve "meşru" olarak etiketler. Saldırganlar da tam olarak bu güveni istismar ediyor. Bu yönteme siber güvenlik dilinde "Living Off the Land" (LOTL) yani "araziden beslenme" deniyor. Suçlular, hedef sistemde zaten var olan meşru araçları ve servisleri kullanarak kendilerini gizliyorlar. Böylece arkalarında daha az iz bırakıyor ve tespit edilmeleri çok daha zor hale geliyor.

Ele Geçirilen Veriler

Bu saldırıda tam olarak hangi verilerin çalındığı veya şifrelendiği konusunda henüz net bir bilgi paylaşılmadı. Saldırıya uğrayan kurumun kimliği de şimdilik gizli tutuluyor. Ancak DragonForce gibi fidye yazılımı gruplarının genel çalışma prensibine baktığımızda, hedefin genellikle değerli bilgiler olduğunu biliyoruz. Bu tür saldırılarda suçlular ilk olarak şirketin operasyonlarını durdurmak için kritik dosyaları şifreler. Ardından, fidyenin ödenmesi için baskıyı artırmak amacıyla, şifrelemeden önce çaldıkları hassas verileri yayınlamakla tehdit ederler. Bu verilere genellikle şunlar dahil olabilir:

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →
  • Müşteri bilgileri (isimler, adresler, iletişim bilgileri)
  • Çalışanların kişisel verileri
  • Finansal raporlar, bilançolar ve banka hesap detayları
  • Fikri mülkiyet hakları, ticari sırlar ve ürün tasarımları
  • Yönetim kurulu toplantı tutanakları gibi stratejik belgeler

Verilerin akıbeti, genellikle kurban şirketin fidyeyi ödeyip ödememesine ve saldırganların insafına kalmış durumda. Çoğu zaman, fidye ödense bile verilerin geri alınacağının veya sızdırılmayacağının bir garantisi olmuyor.

Saldırı Nasıl Gerçekleşti

Saldırının teknik ayrıntıları henüz tam olarak aydınlatılmış değil, özellikle de saldırganların ağa ilk olarak nasıl sızdığı belirsizliğini koruyor. Ancak en çarpıcı kısım, sızdıktan sonra yaptıkları. Raporlara göre DragonForce, Microsoft Teams'in "relay server" olarak adlandırılan aktarma sunucularını bir Komuta ve Kontrol (C2 veya C&C) merkezi olarak kullandı.

Peki bu ne anlama geliyor? Bir ağa sızan bir zararlı yazılımın, dışarıdaki saldırganla iletişim kurması gerekir. Saldırgan bu iletişim kanalı üzerinden zararlı yazılıma "şu dosyaları şifrele", "bu verileri dışarı sızdır" veya "ağdaki diğer makinelere yayıl" gibi komutlar gönderir. İşte bu iletişimin sağlandığı sunuculara Komuta ve Kontrol sunucusu denir. Normalde siber güvenlik sistemleri, bilinen kötü amaçlı C2 sunucularına giden trafiği hemen tespit edip engeller.

Ancak DragonForce'un yaptığı şey dahice ve bir o kadar da endişe verici. Kendi C2 sunucularını kurmak yerine, trafiği Microsoft Teams'in meşru sunucuları üzerinden yönlendirmişler. Güvenlik sistemleri, ağdan dışarı çıkan trafiği incelerken hedefin "teams.microsoft.com" gibi güvenilir bir adres olduğunu görünce alarm vermemiş olabilir. Bu, saldırganların şifrelenmiş ve meşru görünen bir tünel içinden istedikleri gibi komut göndermesine ve veri çalmasına olanak tanıdı. Bu taktik, geleneksel ağ güvenliği kontrollerinin ne kadar kolay aşılabileceğini acı bir şekilde ortaya koyuyor.

Etkilenenler Kim

Şu an için saldırıdan etkilenen kurumun kimliği kamuoyuyla paylaşılmadı. Ancak bu tür gelişmiş saldırı teknikleri genellikle belirli bir hedef gözetilerek veya fırsatçı bir yaklaşımla, zayıf halka olarak görülen herhangi bir kuruluşa karşı kullanılabilir. DragonForce gibi finansal motivasyonlu gruplar için sektör ayrımı pek yoktur. Finans, sağlık, eğitim, üretim veya kamu sektörü fark etmeksizin, değerli verilere sahip olan ve operasyonlarının durması halinde büyük zarara uğrayacak her kuruluş potansiyel bir hedeftir.

Bu olayın gösterdiği en önemli şey, Microsoft Teams gibi yaygın kullanılan platformları kullanan her şirketin potansiyel olarak risk altında olduğudur. Saldırganlar artık sadece sizin altyapınıza değil, güvendiğiniz üçüncü parti hizmetlerin altyapısına da sızarak sizi hedef alabiliyor. Bu nedenle, hangi sektörde olursanız olun, benzer saldırıların kurbanı olabileceğinizi varsaymak en doğru yaklaşım olacaktır. Güncel Veri Sizintisi Haberleri takip edildiğinde, bu tür tedarik zinciri veya güvenilir üçüncü parti istismarlarının giderek arttığı görülmektedir.

Ne Yapabilirsin

Bu tür sofistike saldırılara karşı korunmak, sadece bir antivirüs yazılımı kurmaktan çok daha fazlasını gerektirir. Kurumların ve bireylerin alabileceği bazı önemli önlemler şunlardır:

  • Ağ Trafiğini Derinlemesine İzleme: Sadece hedefe bakarak trafiğe izin vermek yerine, trafiğin doğasını analiz edin. Microsoft sunucularına giden trafik normal mi? Bir kullanıcının makinesi, gece yarısı Teams sunucularına gigabaytlarca veri mi gönderiyor? Bu tür anormallikleri tespit edebilen gelişmiş ağ izleme araçları kullanmak kritik önem taşıyor.
  • Sıfır Güven (Zero Trust) Modelini Benimseme: "İçerideki her şeye güven, dışarıdaki her şeye şüpheyle yaklaş" mantığı artık geçerli değil. Sıfır Güven modeli, ağın içinden veya dışından gelen her erişim isteğinin kimliğinin doğrulanmasını ve yetkilendirilmesini gerektirir. Hiçbir kullanıcıya veya cihaza varsayılan olarak güvenilmez.
  • Uç Nokta Algılama ve Yanıt (EDR/XDR) Çözümleri: Saldırganlar ağı atlatsa bile, eylemlerini gerçekleştirdikleri yer çalışanların bilgisayarlarıdır (uç noktalar). EDR ve XDR çözümleri, bu cihazlardaki şüpheli davranışları (örneğin, bir Word belgesinin aniden ağdaki diğer dosyalara erişmeye çalışması gibi) tespit edip saldırıyı daha başlamadan durdurabilir.
  • Proaktif Tehdit Avcılığı: Alarmların çalmasını beklemeyin. Güvenlik ekiplerinizin, ağınızda ve sistemlerinizde aktif olarak saldırgan izleri araması gerekir. Bu, normal dışı ağ bağlantıları, şüpheli işlemler veya beklenmedik yapılandırma değişiklikleri gibi anormalliklerin manuel olarak araştırılması anlamına gelir.
  • Olay Müdahale Planı: En iyi savunmaya rağmen bir saldırı gerçekleşebilir. Böyle bir durumda ne yapacağınızı, kiminle iletişime geçeceğinizi, sistemleri nasıl izole edeceğinizi ve operasyonları nasıl devam ettireceğinizi belirleyen net bir plana sahip olduğunuzdan emin olun.

Şirket Ne Diyor

Bu haberin yayına hazırlandığı 17 Haziran 2026 tarihi itibarıyla, Microsoft tarafından Teams altyapısının bu spesifik saldırıda kötüye kullanıldığına dair resmi bir yorum veya açıklama yapılmadı. Genellikle bu tür durumlarda Microsoft, durumu araştırmak ve gelecekte benzer olayların yaşanmasını önlemek için kendi güvenlik ekiplerini devreye sokar. Saldırıya uğrayan ve kimliği açıklanmayan şirketten de henüz bir basın açıklaması gelmedi. Önümüzdeki günlerde her iki taraftan da daha detaylı bilgilendirmeler yapılması bekleniyor.

Kaynak

https://www.securityweek.com/microsoft-teams-relay-servers-abused-in-dragonforce-ransomware-attack/

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı Kodak Veri Sızıntısını Doğruladı Saldırgan ShinyHunters

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.