Операторы вымогательской группировки DragonForce начали использовать необычную тактику для маскировки своей активности. Как сообщают исследователи из компаний Symantec и Carbon Black, в одной из недавних атак хакеры использовали кастомный бэкдор Backdoor.Turn, который маскирует обмен данными с управляющим сервером под обычный трафик Microsoft Teams.

Эксперты пишут, что группировка DragonForce активна как минимум с 2023 года и за последние месяцы заметно усложнила свой инструментарий. При этом хак-группа работает по «картельной» модели и ранее ее уже связывали с Scattered Spider.

Новый вредонос DragonForce написан на Go и использует протокол TURN (Traversal Using Relays around NAT), который Microsoft Teams применяет для доставки сообщений клиентам, когда прямое соединение установить невозможно.

Схема выглядит следующим образом: бэкдор получает анонимный visitor-токен Teams через инфраструктуру Microsoft, использует легитимный TURN-релей для установки соединения, а затем открывает QUIC-сессию с настоящим управляющим сервером атакующих. В итоге защитные решения обнаруживают только обращения к серверам Microsoft Teams, но не замечают, что через этот канал проходит вредоносный трафик.

Исследователи отмечают, что в прошлом году специалисты компании Praetorian продемонстрировали похожую концепцию под названием Ghost Calls. Тогда речь шла лишь о теоретической возможности использования временных учетных данных TURN в Microsoft Teams и Zoom для создания скрытых туннелей связи. Вредонос Backdoor.Turn стал первым известным случаем применения подобного подхода в реальных атаках.

По данным Symantec, бэкдор использовался во время атаки на неназванную американскую сервисную компанию. Предполагается, что перед этим злоумышленники получили доступ через неизвестную уязвимость в SQL- или MSSQL-сервере или приобрели доступ у других преступников. После компрометации атакующие применили технику DLL sideloading для запуска дополнительной малвари, закрепились в системе, создали фальшивые учетные записи и изменили настройки безопасности Windows.

Особенно специалисты выделяют набор драйверов, которые атакующие использовали в рамках подхода BYOVD (Bring Your Own Vulnerable Driver). Так, хакеры эксплуатировали уязвимые подписанные драйверы Huawei, Topaz Antifraud, Tower of Fantasy и K7 Security, чтобы получить привилегии уровня ядра и завершить работу защитных решений. Кроме того, в атаке фигурировал ABYSSWORKER — вредоносный драйвер, маскирующийся под продукт Palo Alto Networks.

Backdoor.Turn был внедрен в процесс DbgView64.exe уже после запуска шифровальщика DragonForce. По мнению исследователей, это может указывать на подготовку канала для повторного доступа к сети жертвы в будущем.

Функциональность нового бэкдора включает выполнение команд, запуск процессов, сканирование сети, поиск объектов LDAP и Active Directory, сбор TLS-сертификатов, кражу учетных данных из браузеров и другие опции для проведения разведки внутри сети.

По словам исследователей, эта кампания демонстрирует «исключительно высокий уровень» подготовки злоумышленников и доказывает, что вымогательские группы все чаще разрабатывают собственные сложные инструменты вместо использования общедоступной малвари.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии