Siber İstihbarat

Kış Geldi: Microsoft Teams Üzerinden Yayılan Yeni "Snow" Zararlı Yazılım Ağı

UNC6692 tehdit grubu, IT destek ekibi kılığına girerek "Snow" adlı yeni nesil bir zararlı yazılım setini sistemlere sızdırıyor. Sosyal mühendislik ve gelişmiş arka kapıların (backdoor) tehlikeli birleşimi.

Kış Geldi: Microsoft Teams Üzerinden Yayılan Yeni "Snow" Zararlı Yazılım Ağı

Güvenlik çevrelerinin (Perimeter) güçlenmesiyle birlikte saldırganlar, sistemlere dışarıdan "kırmak" yerine içeriden "ikna ederek" girmeyi tercih ediyor. Mandiant araştırmacılarının raporladığı ve UNC6692 kod adıyla izlenen tehdit grubunun son operasyonu, bu durumun en sinsi örneklerinden birini ortaya koydu.

Saldırganlar, kurbanları panikletecek bir "E-posta Bombardımanı" (Email Bombing) başlatıyor. Kurban, gelen binlerce gereksiz mail ile boğuşurken, saldırgan bu kez Microsoft Teams üzerinden kurbanla iletişime geçiyor. Kendisini "IT Destek Uzmanı" (Helpdesk) olarak tanıtan saldırgan, bu spam sorununu çözecek bir "güncelleme" kurması gerektiğini söyleyerek kurbanı sahte bir yönetim paneline yönlendiriyor.

Ekran görüntüsü 2026-04-26 132806.png

Görsel: Saldırılarda kullanılan sahte yapılandırma sayfası. Kaynak: Google

Kurban bu linke tıkladığında, arka planda "Snow" adını taşıyan ve üç farklı bileşenden oluşan (SnowBelt, SnowGlaze, SnowBasin) çok yetenekli bir zararlı yazılım ağı sistemin derinliklerine kök salmaya başlıyor.

Nasıl Çalışır? "Snow" Saldırı Döngüsü

Bu zararlı yazılım setinin çalışması, tespit edilmemek için işletim sisteminin doğal işleyişini (Living off the Land) mükemmel şekilde taklit ediyor:

1. Sızma ve Gizlenme (SnowBelt): Kurbanın indirdiği "dropper" aracı, arka planda AutoHotkey betiklerini çalıştırarak "SnowBelt" adında zararlı bir Chrome eklentisi kuruyor. Eklenti, kurbana hiçbir şey hissettirmemek için arayüzsüz (headless) bir Microsoft Edge oturumunda çalışıyor. Kalıcılık (persistence) sağlamak için zamanlanmış görevler ve başlangıç klasörüne kısayollar ekleniyor.

2. Arka Kapı ve Tünelleme (SnowGlaze & SnowBasin): Zararlı yazılımın beyni olan "SnowBasin", Python tabanlı güçlü bir arka kapıdır (backdoor). Bu arka kapı ile saldırganın sunucusu arasındaki iletişim, "SnowGlaze" adlı tünelleme aracı tarafından WebSocket ve SOCKS proxy üzerinden gizlenerek sağlanıyor.

WhatsApp Image 2026-04-26 at 13.41.38 (1).jpeg

Görsel: SnowBasin zararlısının arka kapı komut yetenekleri. Kaynak: Google

Tabloda da görüldüğü gibi SnowBasin; uzaktan komut çalıştırma (/stream), veri sızdırma (/buffer), ekran görüntüsü alma (/capture) ve işi bittiğinde kendi kendini yok etme (/gc) gibi çok kritik komut setlerine sahip.

3. Yatay Hareket ve Veri Hırsızlığı: Sisteme yerleşen saldırganlar, SMB ve RDP gibi servisleri tarayarak ağ içinde yatay hareket (Lateral Movement) gerçekleştiriyor. LSASS belleğini dökerek (dump) kullanıcı şifrelerini çalıyorlar ve "Pass-the-Hash" tekniğiyle şirket ağının kalbi olan Etki Alanı Denetleyicilerine (Domain Controller) kadar ilerliyorlar.

WhatsApp Image 2026-04-26 at 13.41.38.jpeg

Görsel: Snow zararlısının ağ içindeki saldırı yaşam döngüsü. Kaynak: Google

Kişisel Not / Analiz: Adli Bilişim Silahları Bize Karşı Çekildiğinde

Bu vakanın olay müdahalesi (Incident Response) ve adli bilişim (Forensics) açısından en çarpıcı yanı, saldırganların hedefe ulaştıklarında kullandıkları araçtır. UNC6692 grubu, Active Directory veritabanını (NTDS.dit) ve sistem kayıt defterini (SAM, SYSTEM, SECURITY) kopyalamak için "FTK Imager" kullanmış.

Adli bilişim mühendislerinin kanıt toplamak, RAM ve disk imajı almak için en güvendiği, sistemlerde "yasal ve güvenilir" olarak işaretlenmiş olan FTK Imager'ın ofansif bir veri hırsızlığı aracına dönüştürülmesi, tespit mekanizmalarını kör eden muazzam bir taktiktir. Gelişmiş saldırganlar artık dışarıdan zararlı yazılım sokmakla uğraşmıyor; ya Microsoft Edge gibi tarayıcıları ya da FTK Imager gibi adli araçları kullanarak kendi yol haritalarını çiziyorlar. Sınır güvenliğinin aşıldığı bu senaryolarda, en büyük kalkanımız "Zero Trust" mimarisi ve çalışanların "IT Destek" yalanlarına karşı eğitilmesidir.

Author

AltaySec Medya

Siber güvenlik operasyonları ve Red Team kültürü içerisinde bilgi yönetimi yapan çekirdek yayın ekibi. #OffensiveKnowledge