详细内容或原文请订阅后点击阅览
DragonForce 隐藏在 Microsoft Teams 内两个月无人注意到
DragonForce 通过 Microsoft Teams 基础设施路由恶意软件流量、掩盖 C2 活动并逃避网络检测,隐藏了数月之久。 DragonForce 勒索软件攻击者攻击了美国一家大型服务公司,并通过 Microsoft 自己的 Teams 中继服务器路由命令和控制流量,并隐藏了一到两个月。赛门铁克的威胁追踪者追踪了他们 [...]
来源:Security Affairs _恶意软件DragonForce 隐藏在 Microsoft Teams 内两个月无人注意到
DragonForce 通过 Microsoft Teams 基础设施路由恶意软件流量、掩盖 C2 活动并逃避网络检测,隐藏了数月之久。
DragonForce 勒索软件运营商攻击了美国一家大型服务公司,并通过 Microsoft 自己的 Teams 中继服务器路由其命令和控制流量,并隐藏了一到两个月。赛门铁克的威胁追踪人员追踪了他们用作 Backdoor.Turn 的自定义后门。对于任何观察网络的防御者来说,流量看起来就像正常的团队活动。
“Backdoor.Turn 从 Microsoft Skype 支持的身份服务获取匿名 Teams 访问者令牌,使用合法的 Microsoft TURN 中继来建立连接,然后运行与攻击者真实命令和控制服务器的 QUIC 会话。”阅读赛门铁克发布的报告。 “据我们所知,这是 TURN 中继基础设施第一次在野外以这种方式被滥用。勒索软件攻击者使用自己的自定义工具相对不常见,尤其不寻常的是他们使用像 Backdoor.Turn 这样复杂的自定义工具。
这是第一个以这种方式滥用 TURN 中继基础设施的已知恶意软件。该技术的灵感来自 2025 年黑帽大会上提出的 Ghost Calls 方法,该方法专注于难以从网络端分析的 C&C 通信。
该后门是用Go编写的,并注入到合法的DbgView64.exe进程中。恶意负载可以执行命令、扫描网络、映射 Active Directory、使用被盗凭据横向移动以及从浏览器提取密码。
为了规避防御,他们对多个签名驱动程序使用了自带漏洞驱动程序 (BYOVD) 技术,其中包括对华为 HWAuidoOs2Ec.sys 的新颖攻击。 Huntress 在这次攻击发生后于 2026 年 3 月记录了该司机的脆弱状态。
在 Twitter 上关注我:@securityaffairs 以及 Facebook 和 Mastodon