Grupa DragonForce koristi tajni malver za skrivanje napada preko Microsoft Teams infrastrukture
Ransverska grupa DragonForce koristi malver Backdoor.Turn da sakrije napade unutar Microsoft Teams relay infrastrukture.
Šta se desilo?
Ransomverska grupa DragonForce koristi prilagođeni malver nazvan 'Backdoor.Turn' da sakrije komunikaciju sa svojim serverima za upravljanje unutar Microsoft Teams relay infrastrukture. Malver zloupotrebljava TURN protokol koji Teams koristi za preusmjeravanje poruka kada direktna konekcija nije moguća, čime se napadi maskira kao legitimni Microsoft saobraćaj i otežava detektovanje od strane odbrambenih sistema.
Koga pogađa?
Napadi DragonForce grupe pogađaju velika preduzeća, posebno u sektoru usluga. Rizik je posebno velik za organizacije sa SQL ili MSSQL serverima jer hekeri koriste poznate ranjivosti za inicijalni pristup mreži. Svako preduzeće koje koristi Microsoft Teams i raznovrsne sisteme bezbednosti može biti potencijalna meta.
Kako se zaštititi?
- Redovno ažurirajte sve sisteme, posebno SQL/MSSQL servere, kako biste zatvorio poznate ranjivosti
- Monitorujte i ograničite TURN relay saobraćaj iz Microsoft Teams infrastrukture
- Implementirajte dvofaktornu autentifikaciju i stroga pravila za administratorske naloge
- Redovno proveravajte firewall pravila i logove pristupa
- Instalirajte zakrpe za drajvere hardvera poznate po ranjivostima (Huawei, Topaz, Tower of Fantasy, K7 Security)
- Koristite napredne alate za detektovanje pretnji koje mogu identificirati čudnu aktivnost u procesima
- Redovno sinhronizujte i testirajte sigurnosne kopije podataka
- Provedite edukaciju zaposlenih o rizicima od phishing napada koji mogu dovesti do inicijalne kompromitacije
Tehnički detalji
Backdoor.Turn je RAT (Remote Access Trojan) napisan u programskom jeziku Go. Malver se injektuje u DbgView64.exe proces i komunicira sa C2 serverom kroz TURN relaye Microsoft Teams. Tokom napada, hekeri su koristili BYOVD (Bring Your Own Vulnerable Driver) tehnike sa više drajvera: Huawei HWAuidoOs2Ec.sys, Topaz Antifraud wsftprm.sys (CVE-2023-52271), Tower of Fantasy GameDriverx64.sys (CVE-2025-61155), K7 Security K7RScan.sys (CVE-2025-1055), i ABYSSWORKER - prilagođeni drajver maskiran kao Palo Alto. Mogućnosti malvera obuhvataju izvršavanje komandi, kreiranje procesa, skeniranje mreže, hvatanje TLS sertifikata, pretrazivanje LDAP/Active Directory, prikupljanje naslova vebsajtova i krađenje kredencijala iz pregledača. Inicijalni pristup je najverovatnije realizovan kroz eksploataciju nepoznate ranjivosti u SQL ili MSSQL serverima.
Preporuka Sajber Radara
DragonForce grupa demonstrira izuzetno sofisticirano znanje iz bezbednosti i koristi najnovije tehnike skrivanja. Preporučujemo svim organizacijama da prioritetno isplate zakrpe za sve drajvere, implementiraju detaljnije monitorovanje TURN saobraćaja i sprovedu kompleksnu analizu bezbednosti svoje Microsoft Teams konfiguracije.
