Siber güvenlik araştırmacıları, ünlü bir fidye yazılımı grubunun büyük bir şirketin ağına iki aya kadar gizlice sızarak, saldırıyı başlatmadan önce Microsoft Teams üzerinden komuta ve kontrol (C&C) trafiğini gizlediğini ortaya çıkardı. Symantec ve Carbon Black tarafından 16 Haziran'da yayınlanan rapor, DragonForce fidye yazılımını kullanan saldırganların 'büyük bir ABD hizmet firmasının' ağına sızdığını belirtiyor.
Saldırganlar, Go tabanlı bir Uzaktan Erişim Truva Atı (RAT) kullanarak Microsoft Teams'in TURN aktarma sunucularını kötüye kullandı ve C&C trafiğini maskeledi. Backdoor.Turn adı verilen bu arka kapı, tüm savunmacıların yalnızca meşru Microsoft Teams sunucularına giden bağlantıları görmesini sağladı. Saldırganlar, Microsoft'un Skype destekli kimlik hizmetlerinden anonim bir Teams ziyaretçi jetonu alarak ve meşru bir Microsoft TURN aktarma sunucusu kullanarak bağlantı kurdular. Ardından, enfekte makineyi saldırgan kontrolündeki bir sunucuya bağlayan QUIC taşıma katmanı ağ protokolü oturumu başlattılar.
Ayrıca saldırganlar, saldırı sırasında belgelenmemiş bir Huawei sürücü güvenlik açığından yararlanarak faaliyetlerini gizlediler. Ağda kalıcılığı sürdürmek için Limit Blank Password güvenlik ayarını kaldırarak tehlikeye atılmış makinelere kolay erişim sağladılar, yeni kullanıcı hesapları oluşturdular ve güvenlik duvarı kurallarını değiştirerek uzaktan erişimi kolaylaştırdılar. Backdoor.Turn'un kod yürütme, ağ taraması, kimlik bilgileri tabanlı yanal hareket ve tarayıcı kimlik bilgisi hırsızlığı gibi yetenekleriyle birleşen bu yöntemler, saldırganların ağa gizlice erişmesini sağladı.
Detaylar ve Etkileri
Araştırmacılar, bu kampanyadaki saldırganların olağanüstü sofistike siber taktikler kullandığını belirtti. Backdoor.Turn'un yapılandırması, güvenlik ürünlerinin yalnızca meşru Teams sunucularına giden C&C trafiğini görmesini sağlayarak, savunmacıların verilerin kötü niyetli aktörler tarafından sızdırıldığından habersiz kalmasına neden oldu. 2025 yılında gerçekleşen bu olayda, DragonForce fidye yazılımı verileri sızdırdı ve makineleri şifreledi. Kurbanın fidye ödeyip ödemediği bilinmiyor. DragonForce, son zamanların en kötü şöhretli fidye yazılımı gruplarından biri haline geldi ve büyük perakendecileri hedef aldı.