Un recente attacco informatico ha mostrato come i criminali legati al ransomware DragonForce stiano alzando il livello di sofisticazione, sfruttando infrastrutture legittime per nascondere le comunicazioni malevole. Al centro della campagna c’è un trojan di accesso remoto personalizzato sviluppato in Go, chiamato Backdoor Turn, usato per occultare il traffico di comando e controllo all’interno dei relay di Microsoft Teams.
La tecnica è particolarmente insidiosa per i team di sicurezza perché il traffico osservabile appare come normali connessioni in uscita verso server Microsoft. In pratica il malware richiede un token anonimo come visitatore, ottenuto tramite servizi di identità collegati a Skype, poi utilizza un server Microsoft come TURN relay durante la fase di instaurazione della connessione. Una volta completato il setup assistito dal relay, la comunicazione passa a una sessione QUIC diretta verso il server di comando e controllo reale degli attaccanti. Per un sistema di monitoraggio di rete tradizionale, questo comportamento può risultare indistinguibile da un uso legittimo di Teams.
L’intrusione osservata ha colpito una grande azienda di servizi negli Stati Uniti e gli attaccanti sarebbero rimasti nella rete tra uno e due mesi. Si sospetta che l’accesso iniziale sia stato ottenuto sfruttando una vulnerabilità su server SQL o MS SQL, oppure acquistato tramite un broker di accesso iniziale. Le prime azioni malevole includono l’esecuzione di comandi PowerShell per scaricare un archivio ZIP mascherato da hotfix di supporto tecnico. Da lì è stato avviato un attacco di DLL side loading per eseguire una DLL malevola dedicata a ricognizione, persistenza e disattivazione dei controlli di sicurezza.
Per eludere le difese è stato anche impiegato l’approccio BYOVD (bring your own vulnerable driver), tramite un driver Huawei usato per silenziare strumenti di sicurezza. In seguito, Backdoor Turn è stato eseguito tramite injection nel processo legittimo DbgView64.exe dopo il rilascio del ransomware, segnale di una strategia orientata a mantenere accesso prolungato o a rivendere l’host compromesso.
Le capacità del RAT includono esecuzione comandi, creazione processi, scansione rete, ricerche LDAP e Active Directory, movimento laterale con credenziali e furto di credenziali dai browser, rendendo l’attacco un caso rilevante di evasione e persistenza attraverso canali apparentemente affidabili.