Siber İstihbarat

KongTuke'nin Yeni "Microsoft Teams" Tuzağı ve ModeloRAT Analizi

Ünlü İlk Erişim Komisyoncusu (IAB) KongTuke, saldırı vektörünü değiştirerek Microsoft Teams'i silahlaştırdı. Sahte "IT Destek" profilleriyle çalışanları kandıran tehdit aktörlerinin, kurumsal ağlarda kalıcı bir arka kapı oluşturması sadece 5 dakika sürüyor. Gelişmiş ModeloRAT zararlısının detaylarını ve Blue Team önlemlerini inceliyoruz.

KongTuke'nin Yeni "Microsoft Teams" Tuzağı ve ModeloRAT Analizi

Kurumsal ağlara sızıp bu erişimleri fidye yazılımı (Ransomware) çetelerine satmasıyla bilinen KongTuke, siber istihbarat raporlarına göre taktik değiştirdi. Daha önce "FileFix" ve "CrashFix" gibi sahte web oltalama yöntemleri kullanan grup, artık doğrudan kurumların can damarı olan işbirliği platformlarını hedef alıyor. ReliaQuest araştırmacılarının yayınladığı son bulgular, saldırganların soğuk temastan kalıcı erişime geçiş süresini sadece 5 dakikaya indirdiğini gösteriyor.

Nasıl Çalışır? Teams Üzerinden "IT Destek" Tuzağı

Nisan 2026'dan beri aktif olduğu tespit edilen bu yeni kampanya, son derece basit ama ölümcül bir sosyal mühendislik zinciri kullanıyor:

  1. Sızma ve Kimlik Bürüme: Saldırganlar, kurbanlara dışarıdan bir Microsoft Teams sohbeti başlatıyor. Görünen adlarını (Display Name) meşru bir "IT veya Help-Desk personeli" gibi göstermek için Unicode boşluk karakteri (whitespace) hileleri kullanıyorlar.
  2. Manipülasyon: Kurban, sahte bir teknik sorunu çözmesi gerektiğine ikna edilerek sistemine zararlı bir PowerShell komutu yapıştırmaya yönlendiriliyor.
  3. Enjeksiyon: Çalıştırılan PowerShell komutu, Dropbox üzerinden içinde "WinPython" ortamı bulunan taşınabilir bir ZIP arşivi indiriyor.
  4. Ele Geçirme: Python tabanlı ModeloRAT (Pmanager.py) zararlısı tetikleniyor. Saldırgan artık sistem bilgilerini toplayabiliyor, ekran görüntüsü alabiliyor ve dosya sızdırabiliyor.

Ekran görüntüsü 2026-05-14 211753.png

*Gözlemlenen saldırılarda kullanılan PowerShell komutu. Kaynak: ReliaQuest*

Kişisel Not / Analiz:

Bir adli bilişim mühendisi adayı olarak bu vakada olay müdahale (Incident Response) süreçlerini en çok zorlayacak kısım, ModeloRAT'ın geçirdiği tehlikeli evrimdir. Saldırganlar sadece ağa sızmakla kalmıyor, standart temizlik prosedürlerini atlatmak için zırhlı bir mimari kuruyorlar:

Çözüm ve Mitigasyon

KongTuke'nin bu taktiği, engellenen erişimleri aşmak için en az beş farklı Microsoft 365 kiracısı (tenant) arasında geçiş yapacak kadar esnek. Bu nedenle, reaktif kalmak yerine proaktif önlemler alınması şart:

Sosyal mühendislik ve gelişmiş kalıcılık mekanizmalarının entegre çalıştığı bu tür saldırılar, en büyük zafiyetin hala "insan" olduğunu doğruluyor.

Author

AltaySec Medya

Siber güvenlik operasyonları ve Red Team kültürü içerisinde bilgi yönetimi yapan çekirdek yayın ekibi. #OffensiveKnowledge