Операторы вымогательской экосистемы DragonForce использовали кастомный Go-бэкдор Backdoor.Turn, чтобы маскировать командно-контрольный трафик внутри инфраструктуры Microsoft Teams. Как сообщает BleepingComputer со ссылкой на Symantec, это первый известный случай вредоносного ПО в реальных атаках, которое злоупотребляет TURN-реле Teams для C2-коммуникаций.

TURN, или Traversal Using Relays around NAT, применяется коммуникационными сервисами, когда клиент не может установить прямое соединение, например из-за частной сети или NAT. В нормальном сценарии такие реле помогают доставлять аудио, видео и сообщения. В атаке Backdoor.Turn получает анонимный токен посетителя Teams, использует легитимное Microsoft TURN-реле на этапе установки соединения, а затем связывается с сервером злоумышленников.

Для защитников такой трафик выглядит особенно неприятно: сетевые события ассоциируются с доверенной инфраструктурой Microsoft Teams, а не с очевидным подозрительным доменом. Идея туннелирования через инфраструктуру видеоконференций уже демонстрировалась исследователями Praetorian в технике Ghost Calls для Teams и Zoom, но Symantec подчёркивает, что Backdoor.Turn стал первым известным вредоносом, который применил этот подход в боевой операции.

По данным исследователей, атака против крупной американской сервисной компании началась, вероятно, с эксплуатации неизвестной уязвимости в SQL- или MSSQL-сервере. Получив первоначальный доступ, атакующие загрузили ZIP-архив с легитимным исполняемым файлом VirtualBox или DbgView и вредоносной DLL для sideloading. Затем они усиливали закрепление, создавали несанкционированных пользователей и злоупотребляли настройками безопасности Windows, включая LimitBlankPassword.

Отдельно Symantec отметила использование драйвера Huawei HWAuidoOs2Ec.sys, также известного как Havoc Process Terminator, для уклонения от защиты в технике Bring Your Own Vulnerable Driver. Такой подход позволяет злоумышленникам опираться на уязвимые, но легитимно подписанные компоненты для отключения защитных процессов или обхода контроля.

DragonForce активна как минимум с 2023 года и, по данным публикации, перешла к картельной модели, предоставляя инфраструктуру и бренд партнёрам. Группировку также связывали с Scattered Spider. Для компаний вывод практический: одного доменного allowlist для Microsoft-сервисов недостаточно. Нужно анализировать поведение, неожиданные TURN-сессии, появление новых локальных пользователей, DLL-sideloading и признаки BYOVD, а также ограничивать исходящие соединения там, где бизнес-процессам не нужен произвольный доступ к релейной инфраструктуре.

Источник: BleepingComputer, 16 июня 2026