📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O ransomware DragonForce usou um malware personalizado chamado ‘Backdoor.Turn’ para ocultar o tráfego de comando e controle dentro da infraestrutura de retransmissão do Microsoft Teams.
O backdoor abusa do protocolo Traversal Using Relays around NAT (TURN) usado pelo Microsoft Teams para distribuir mensagens quando uma conexão direta com o cliente não está disponível (por exemplo, clientes em uma rede privada).
DragonForce é uma operação de ransomware ativa pelo menos desde 2023, que adotou uma estrutura organizacional estilo cartel e está vinculada ao infame grupo de ameaças Scattered Spider.
De acordo com pesquisadores da empresa de segurança cibernética Symantec, os hackers usaram malware personalizado baseado em Go em um ataque contra uma grande empresa de serviços dos EUA.
O Backdoor.Turn abusa da infraestrutura TURN do Teams obtendo um token de visitante anônimo do Teams, usando uma retransmissão TURN legítima da Microsoft durante a configuração da conexão e, em seguida, conectando-se ao servidor de comando e controle (C2) do invasor.
Como resultado, os defensores veem o tráfego associado à infraestrutura do Microsoft Teams, permitindo que o malware oculte as suas comunicações dentro de uma rede confiável.
No ano passado, a Praetorian desenvolveu uma nova técnica chamada ‘Ghost Calls’, que mostrou como as credenciais temporárias do TURN para Teams e Zoom poderiam ser sequestradas para criar túneis de comunicação furtivos por meio de infraestrutura de conferência confiável.
Embora Ghost Calls tenha demonstrado o conceito em 2025, Backdoor.Turn é o primeiro malware conhecido a abusar dos relés TURN do Microsoft Teams para comunicações de comando e controle.
“Backdoor.Turn, um RAT baseado em Go, é o primeiro malware conhecido a abusar dos servidores de retransmissão TURN do Microsoft Teams para mascarar o tráfego de comando e controle”, afirma a Symantec.
Os pesquisadores também destacam a exploração do driver HWAuidoOs2Ec.sys da Huawei (“Havoc Process Terminator”), que é usado para evasão nas táticas Bring Your Own Vulnerable Driver (BYOVD).
Ataques DragonForce
O ataque, observado em dezembro de 2025, provavelmente começou com a exploração de uma falha desconhecida em um servidor SQL ou MSSQL, observa a Symantec.
Depois que o invasor estabeleceu uma posição, ele baixou um arquivo ZIP contendo um executável VirtualBox/DbgView legítimo e um arquivo DLL malicioso usado para carregamento lateral.
Nesta fase, o atacante reforçou a sua persistência, criou utilizadores não autorizados, abusou da política de segurança LimitBlankPassword no Windows para facilitar o acesso e modificou as regras de firewall.
Em seguida, eles usaram técnicas BYOVD com vários drivers, como HWAuidoOs2Ec.sys da Huawei, Topaz Antifraud wsftprm.sys (CVE-2023-52271), Tower of Fantasy GameDriverx64.sys (CVE-2025-61155) e K7 Security K7RKScan.sys (CVE-2025-1055), para obter privilégios de nível de kernel e encerrar ferramentas de segurança. no host.
O hacker também usou o ABYSSWORKER, um driver malicioso personalizado disfarçado de driver legítimo de Palo Alto.
O trojan de acesso remoto (RAT) Backdoor.Turn foi injetado em ‘DbgView64.exe’ após a implantação do ransomware, sugerindo que ele pode ser destinado à persistência ou acesso futuro.
O malware obtém um token de visitante anônimo do Teams usando um servidor de retransmissão Microsoft TURN legítimo durante a configuração da conexão e estabelece comunicação com o C2.
Seus recursos incluem execução de comandos, criação de processos, verificação de rede, captura de certificado TLS, pesquisa LDAP/Active Directory, coleta de títulos de sites e roubo de credenciais de navegador.
Depois de concluir o reconhecimento e escapar da defesa, o invasor exfiltrou todos os dados, implantou o ransomware DragonForce e criptografou os sistemas da vítima.
Os pesquisadores dizem que os hackers por trás “desta campanha usam técnicas cibernéticas excepcionalmente sofisticadas”.
A Symantec publicou uma lista completa de indicadores de comprometimento (IoCs) para ajudar os defensores a detectar e bloquear tais ataques.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
O backdoor abusa do protocolo Traversal Using Relays around NAT (TURN) usado pelo Microsoft Teams para distribuir mensagens quando uma conexão direta com o cliente não está disponível (por exemplo, clientes em uma rede privada).
DragonForce é uma operação de ransomware ativa pelo menos desde 2023, que adotou uma estrutura organizacional estilo cartel e está vinculada ao infame grupo de ameaças Scattered Spider.
De acordo com pesquisadores da empresa de segurança cibernética Symantec, os hackers usaram malware personalizado baseado em Go em um ataque contra uma grande empresa de serviços dos EUA.
O Backdoor.Turn abusa da infraestrutura TURN do Teams obtendo um token de visitante anônimo do Teams, usando uma retransmissão TURN legítima da Microsoft durante a configuração da conexão e, em seguida, conectando-se ao servidor de comando e controle (C2) do invasor.
Como resultado, os defensores veem o tráfego associado à infraestrutura do Microsoft Teams, permitindo que o malware oculte as suas comunicações dentro de uma rede confiável.
No ano passado, a Praetorian desenvolveu uma nova técnica chamada ‘Ghost Calls’, que mostrou como as credenciais temporárias do TURN para Teams e Zoom poderiam ser sequestradas para criar túneis de comunicação furtivos por meio de infraestrutura de conferência confiável.
Embora Ghost Calls tenha demonstrado o conceito em 2025, Backdoor.Turn é o primeiro malware conhecido a abusar dos relés TURN do Microsoft Teams para comunicações de comando e controle.
“Backdoor.Turn, um RAT baseado em Go, é o primeiro malware conhecido a abusar dos servidores de retransmissão TURN do Microsoft Teams para mascarar o tráfego de comando e controle”, afirma a Symantec.
Os pesquisadores também destacam a exploração do driver HWAuidoOs2Ec.sys da Huawei (“Havoc Process Terminator”), que é usado para evasão nas táticas Bring Your Own Vulnerable Driver (BYOVD).
Ataques DragonForce
O ataque, observado em dezembro de 2025, provavelmente começou com a exploração de uma falha desconhecida em um servidor SQL ou MSSQL, observa a Symantec.
Depois que o invasor estabeleceu uma posição, ele baixou um arquivo ZIP contendo um executável VirtualBox/DbgView legítimo e um arquivo DLL malicioso usado para carregamento lateral.
Nesta fase, o atacante reforçou a sua persistência, criou utilizadores não autorizados, abusou da política de segurança LimitBlankPassword no Windows para facilitar o acesso e modificou as regras de firewall.
Em seguida, eles usaram técnicas BYOVD com vários drivers, como HWAuidoOs2Ec.sys da Huawei, Topaz Antifraud wsftprm.sys (CVE-2023-52271), Tower of Fantasy GameDriverx64.sys (CVE-2025-61155) e K7 Security K7RKScan.sys (CVE-2025-1055), para obter privilégios de nível de kernel e encerrar ferramentas de segurança. no host.
O hacker também usou o ABYSSWORKER, um driver malicioso personalizado disfarçado de driver legítimo de Palo Alto.
O trojan de acesso remoto (RAT) Backdoor.Turn foi injetado em ‘DbgView64.exe’ após a implantação do ransomware, sugerindo que ele pode ser destinado à persistência ou acesso futuro.
O malware obtém um token de visitante anônimo do Teams usando um servidor de retransmissão Microsoft TURN legítimo durante a configuração da conexão e estabelece comunicação com o C2.
Seus recursos incluem execução de comandos, criação de processos, verificação de rede, captura de certificado TLS, pesquisa LDAP/Active Directory, coleta de títulos de sites e roubo de credenciais de navegador.
Depois de concluir o reconhecimento e escapar da defesa, o invasor exfiltrou todos os dados, implantou o ransomware DragonForce e criptografou os sistemas da vítima.
Os pesquisadores dizem que os hackers por trás “desta campanha usam técnicas cibernéticas excepcionalmente sofisticadas”.
A Symantec publicou uma lista completa de indicadores de comprometimento (IoCs) para ajudar os defensores a detectar e bloquear tais ataques.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
#samirnews #samir #news #boletimtec #gangue #de #ransomware #abusa #de #retransmissões #do #microsoft #teams #para #ocultar #tráfego #malicioso
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário