- 27,622
- 46
- 8 Ноя 2022
Обнаружен первый случай использования инфраструктуры Microsoft Teams для сокрытия управления вредоносным ПО.
Хакеры нашли способ прятать связь с заражённой сетью там, где её меньше всего ждут: за обычными соединениями к Microsoft Teams . Symantec описала атаку DragonForce на крупную американскую сервисную компанию, где новый модуль Backdoor.Turn помог злоумышленникам скрывать, как они управляли вредоносной программой, за легитимной инфраструктурой Microsoft.
По данным Symantec, злоумышленники находились в сети от одного до двух месяцев. Для скрытой связи они использовали новый удалённый модуль Backdoor.Turn, написанный на Go. Вредонос получал анонимный гостевой токен Microsoft Teams через службы идентификации Skype, подключался к законным ретрансляционным серверам Microsoft TURN, а затем устанавливал сеанс QUIC с настоящим сервером управления хакеров.
Специалисты Symantec считают, что это первый известный случай, когда вредоносная программа в реальной атаке использовала инфраструктуру TURN в Microsoft Teams таким образом. Для защитников картина выглядела как обычный исходящий трафик к Microsoft, хотя через такую схему злоумышленники сохраняли скрытый канал управления.
Начальный доступ, по предварительной версии, был получен через уязвимость в SQL- или MSSQL-сервере, но конкретная брешь пока неизвестна. Не исключается и то, что доступ купили у посредников. Активность началась в декабре 2025 года. После того как проникли в сеть, хакеры загрузили ZIP-архив с легитимным исполняемым файлом VirtualBox или DbgView и вредоносной библиотекой vboxrt.dll. Такой приём позволял заставить доверенную программу запустить чужой код.
Злоумышленники закреплялись в системе, меняли настройки удалённого доступа, добавляли пользователей и группы, а также корректировали правила межсетевого экрана, чтобы связь с их серверами не блокировалась. Чтобы обойти защиту, применялась техника «принеси свой уязвимый драйвер». Хакеры использовали подписанные, но уязвимые драйверы , чтобы получить доступ на уровне ядра и завершать процессы защитных программ.
Особое внимание Symantec уделила драйверу Huawei HWAuidoOs2Ec.sys. До этой атаки не было известно, что его применяли в реальных взломах, хотя позднее, в марте 2026 года, специалисты Huntress описали его уязвимый статус. В кампании также встречались уязвимые драйверы Topaz Antifraud, Tower of Fantasy и K7 Security Anti-Malware, а также вредоносный драйвер Abyss Worker, замаскированный под легитимный компонент Palo Alto.
После того как провели разведку и отключили защитные механизмы, группировка развернула DragonForce, украла данные и зашифровала системы жертвы. Backdoor.Turn, судя по последовательности атаки, установили уже после того, как запустили шифровальщик. Такой шаг может говорить о желании сохранить доступ, чтобы снова проникнуть в систему или продать его другим злоумышленникам.
Backdoor.Turn умеет выполнять команды, запускать процессы, сканировать сеть, собирать сведения о сертификатах TLS и заголовках веб-страниц, искать данные в LDAP и Active Directory, перемещаться по сети с украденными учётными данными и вытаскивать пароли из браузеров на заражённых устройствах.
Symantec связывает DragonForce с группой Hackledorb. По оценке компании, проект, активный как минимум с июня 2023 года, перешёл от обычной модели «шифровальщик как услуга» к более организованной структуре. Backdoor.Turn и несколько способов обойти защиту через драйверы свидетельствуют о том, что операторы DragonForce заметно нарастили технические возможности после 2025 года.
Хакеры нашли способ прятать связь с заражённой сетью там, где её меньше всего ждут: за обычными соединениями к Microsoft Teams . Symantec описала атаку DragonForce на крупную американскую сервисную компанию, где новый модуль Backdoor.Turn помог злоумышленникам скрывать, как они управляли вредоносной программой, за легитимной инфраструктурой Microsoft.
По данным Symantec, злоумышленники находились в сети от одного до двух месяцев. Для скрытой связи они использовали новый удалённый модуль Backdoor.Turn, написанный на Go. Вредонос получал анонимный гостевой токен Microsoft Teams через службы идентификации Skype, подключался к законным ретрансляционным серверам Microsoft TURN, а затем устанавливал сеанс QUIC с настоящим сервером управления хакеров.
Специалисты Symantec считают, что это первый известный случай, когда вредоносная программа в реальной атаке использовала инфраструктуру TURN в Microsoft Teams таким образом. Для защитников картина выглядела как обычный исходящий трафик к Microsoft, хотя через такую схему злоумышленники сохраняли скрытый канал управления.
Начальный доступ, по предварительной версии, был получен через уязвимость в SQL- или MSSQL-сервере, но конкретная брешь пока неизвестна. Не исключается и то, что доступ купили у посредников. Активность началась в декабре 2025 года. После того как проникли в сеть, хакеры загрузили ZIP-архив с легитимным исполняемым файлом VirtualBox или DbgView и вредоносной библиотекой vboxrt.dll. Такой приём позволял заставить доверенную программу запустить чужой код.
Злоумышленники закреплялись в системе, меняли настройки удалённого доступа, добавляли пользователей и группы, а также корректировали правила межсетевого экрана, чтобы связь с их серверами не блокировалась. Чтобы обойти защиту, применялась техника «принеси свой уязвимый драйвер». Хакеры использовали подписанные, но уязвимые драйверы , чтобы получить доступ на уровне ядра и завершать процессы защитных программ.
Особое внимание Symantec уделила драйверу Huawei HWAuidoOs2Ec.sys. До этой атаки не было известно, что его применяли в реальных взломах, хотя позднее, в марте 2026 года, специалисты Huntress описали его уязвимый статус. В кампании также встречались уязвимые драйверы Topaz Antifraud, Tower of Fantasy и K7 Security Anti-Malware, а также вредоносный драйвер Abyss Worker, замаскированный под легитимный компонент Palo Alto.
После того как провели разведку и отключили защитные механизмы, группировка развернула DragonForce, украла данные и зашифровала системы жертвы. Backdoor.Turn, судя по последовательности атаки, установили уже после того, как запустили шифровальщик. Такой шаг может говорить о желании сохранить доступ, чтобы снова проникнуть в систему или продать его другим злоумышленникам.
Backdoor.Turn умеет выполнять команды, запускать процессы, сканировать сеть, собирать сведения о сертификатах TLS и заголовках веб-страниц, искать данные в LDAP и Active Directory, перемещаться по сети с украденными учётными данными и вытаскивать пароли из браузеров на заражённых устройствах.
Symantec связывает DragonForce с группой Hackledorb. По оценке компании, проект, активный как минимум с июня 2023 года, перешёл от обычной модели «шифровальщик как услуга» к более организованной структуре. Backdoor.Turn и несколько способов обойти защиту через драйверы свидетельствуют о том, что операторы DragonForce заметно нарастили технические возможности после 2025 года.
- Источник новости
- www.securitylab.ru
