El grupo de ransomware DragonForce ha sido identificado utilizando una nueva herramienta de acceso remoto (RAT) basada en Go, denominada Backdoor.Turn, para ocultar el tráfico de comando y control (C2) dentro de la infraestructura de retransmisión de Microsoft Teams. Este sofisticado método permitió a los atacantes permanecer sin ser detectados en la red de una importante empresa de servicios en EE. UU. durante uno a dos meses, explotando la confianza en servicios legítimos para sus operaciones maliciosas.
La táctica de Backdoor.Turn implica obtener un token de visitante anónimo de los servicios de identidad de Microsoft Teams/Skype y luego utilizar un retransmisor TURN (Traversal Using Relays around NAT) legítimo de Microsoft para establecer la conexión. Esto permite una sesión QUIC directa con el servidor C2 del atacante, haciendo que el tráfico malicioso parezca conexiones legítimas a servidores de Microsoft Teams. El acceso inicial a la red víctima se sospecha que fue a través de una vulnerabilidad en SQL o MS-SQL, o mediante un intermediario de acceso inicial (IAB). Los atacantes desplegaron una carga útil a través de un comando PowerShell, utilizando archivos ZIP para ataques de carga lateral de DLL y el uso de la técnica ‘Bring Your Own Vulnerable Driver’ (BYOVD) con controladores como ‘HWAuidoOs2Ec.sys’ de Huawei, para evadir software de seguridad y establecer persistencia.
Una característica notable de este ataque es la inyección de Backdoor.Turn en procesos legítimos como ‘DbgView64.exe’ después de desplegar el ransomware, buscando mantener un acceso continuo para futuros ataques o para revender el acceso. Este backdoor cuenta con amplias capacidades, incluyendo ejecución de comandos, creación de procesos, escaneo de red, búsqueda en LDAP y Active Directory, movimiento lateral basado en credenciales y robo de credenciales de navegador. Utiliza un mecanismo sigiloso de comunicación C2 conocido como ‘Ghost Calls’. La sofisticación de DragonForce, ahora con una estructura de cartel, subraya una evolución constante en sus técnicas de evasión y persistencia.
Dado que este ataque abusa de la infraestructura legítima de Microsoft Teams, la mitigación se centra en la detección temprana y la protección profunda. Es fundamental garantizar que todas las aplicaciones y servidores, especialmente bases de datos como SQL y MS-SQL, estén actualizados con los últimos parches de seguridad para prevenir vulnerabilidades conocidas. La implementación de una sólida protección de endpoints con capacidades EDR/XDR puede ayudar a detectar actividades anómalas, incluso aquellas que intentan evadir el software de seguridad mediante técnicas BYOVD. Además, la monitorización constante de la actividad de red y los registros de seguridad es clave para identificar patrones de tráfico inusuales o la creación de procesos inesperados.
Qué significa para tu empresa: La capacidad de DragonForce de ocultar sus operaciones en servicios legítimos como Microsoft Teams, permaneciendo indetectables por meses, resalta la necesidad crítica de una estrategia de seguridad proactiva y en profundidad. La detección de este tipo de amenazas avanzadas no se limita a firewalls perimetrales, sino que requiere una vigilancia constante de la actividad interna de la red y los endpoints. Un SOC con monitoreo 24/7 es esencial para identificar patrones anómalos y comportamientos sospechosos que un sistema de seguridad estándar podría pasar por alto, incluso cuando los atacantes se disfrazan con infraestructura de confianza.
Fuente original: The Hacker News — ver artículo →