Kötü şöhretli bir fidye yazılımı grubu olan DragonForce, büyük bir ABD hizmet firmasının ağına Microsoft Teams üzerinden sızarak iki ay boyunca gizlendi. Symantec ve Carbon Black’in 16 Haziran’da yayımladığı rapora göre, saldırganlar Backdoor.Turn adlı bir Go tabanlı Uzaktan Erişim Truva Atı (RAT) kullanarak komuta ve kontrol (C&C) trafiğini meşru Microsoft Teams sunucularına yönlendirdi. Bu sayede güvenlik ürünleri yalnızca Teams bağlantılarını görürken, veri sızıntısı fark edilmedi.
Backdoor.Turn, Microsoft’un Skype destekli kimlik hizmetlerinden anonim bir Teams ziyaretçi token’ı alarak işe başladı. Ardından meşru bir Microsoft TURN rölesi üzerinden bağlantı kuruldu ve QUIC protokolü kullanılarak enfekte makine ile saldırgan sunucusu arasında şifreli bir oturum oluşturuldu. Bu yöntem, C&C trafiğinin tespit edilmesini neredeyse imkânsız hale getirdi.
Saldırganlar ayrıca, saldırı sırasında belgelenmemiş bir Huawei sürücü açığından yararlandı. Huntress tarafından Mart 2026’da detaylandırılan bu açık, faaliyetlerin daha da gizlenmesini sağladı. Ağda kalıcılık sağlamak için Limit Blank Password güvenlik ayarı kaldırıldı, yeni kullanıcı hesapları oluşturuldu ve güvenlik duvarı kuralları değiştirilerek uzaktan erişim kolaylaştırıldı.
Backdoor.Turn, kod çalıştırma, ağ taraması, kimlik bilgileriyle yanal hareket ve tarayıcı kimlik bilgisi hırsızlığı gibi yetenekler sunuyor. Bu sayede saldırganlar zamanla gizlice ağa erişimlerini genişletti. Araştırmacılar, saldırının SQL veya MSSQL sunucusundaki bir açıktan başladığını düşünüyor.
2025 yılında gerçekleşen olayda, DragonForce fidye yazılımı verileri şifreleyerek sızdırdı. Mağdurun fidye ödeyip ödemediği bilinmiyor. DragonForce, son dönemdeki en dikkat çekici gruplardan biri olarak öne çıkıyor ve birçok büyük perakendeciyi hedef aldı.
Araştırmacılar, Backdoor.Turn ve çoklu vektör BYOVD (Kendi Sürücünü Getir) kaçınma tekniklerinin DragonForce’u en yetenekli ve ısrarcı fidye yazılımı gruplarından biri yaptığını vurguluyor. Bu saldırı, meşru hizmetlerin kötüye kullanımının ne kadar tehlikeli olabileceğini gösteriyor.
Kaynak: infosecurity-magazine.com