Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Cyberprzestępcy coraz częściej wykorzystują legalne usługi chmurowe do maskowania komunikacji z serwerami dowodzenia i kontroli. W najnowszym przypadku grupa ransomware DragonForce ukrywała ruch C2 w infrastrukturze relay powiązanej z Microsoft Teams, przez co złośliwa aktywność mogła przypominać zwykły ruch biznesowy do zaufanej platformy.
To ważny sygnał dla zespołów bezpieczeństwa, ponieważ klasyczne podejście oparte na reputacji domen, adresów IP i listach usług dozwolonych staje się coraz mniej skuteczne. Jeśli malware tuneluje komunikację przez powszechnie wykorzystywane środowisko SaaS, wykrycie incydentu wymaga znacznie głębszej korelacji danych z sieci, endpointów i tożsamości.
W skrócie
- DragonForce wykorzystał malware Backdoor.Turn do ukrywania komunikacji C2 w infrastrukturze TURN używanej przez Microsoft Teams.
- Atakujący pozyskiwali anonimowy token gościa i zestawiali połączenie przez legalny relay, aby ruch wyglądał jak zaufana komunikacja.
- Kampania została powiązana z atakiem na dużą firmę usługową w USA.
- W łańcuchu ataku użyto także DLL sideloading, technik BYOVD, eskalacji uprawnień i finalnego wdrożenia ransomware po eksfiltracji danych.
Kontekst / historia
DragonForce jest znaną operacją ransomware aktywną co najmniej od 2023 roku. Grupa była wcześniej opisywana jako podmiot działający w modelu zbliżonym do kartelu, korzystający z rozproszonego zaplecza przestępczego i elastycznych metod prowadzenia ataków.
W analizowanym incydencie szczególną uwagę zwrócił nie tylko sam etap szyfrowania danych, ale przede wszystkim sposób utrzymywania ukrytej komunikacji po uzyskaniu dostępu do środowiska ofiary. To właśnie wykorzystanie infrastruktury Microsoft Teams Relay pokazuje, że techniki znane dotąd z analiz badawczych zaczynają być stosowane w realnych operacjach ransomware.
Znaczenie tego przypadku wzmacnia wcześniejsze zainteresowanie badaczy możliwością nadużywania usług konferencyjnych i mechanizmów TURN do tworzenia ukrytych tuneli komunikacyjnych. Obecnie widać już wyraźne przejście od koncepcji teoretycznej do praktycznego użycia w atakach wymierzonych w przedsiębiorstwa.
Analiza techniczna
Centralnym elementem kampanii było złośliwe oprogramowanie Backdoor.Turn, opisane jako trojan zdalnego dostępu napisany w języku Go. Malware wykorzystywał protokół TURN, czyli mechanizm pośredniczący w komunikacji sieciowej w sytuacji, gdy bezpośrednie połączenie między stronami jest utrudnione, na przykład przez translację adresów lub ograniczenia sieciowe.
Schemat działania polegał na uzyskaniu anonimowego tokenu gościa Microsoft Teams, a następnie na zainicjowaniu komunikacji przez legalny serwer relay. W praktyce pozwalało to tunelować ruch C2 tak, aby z perspektywy monitoringu przypominał standardowe połączenia związane z usługą Teams. To znacząco utrudnia wykrywanie oparte wyłącznie na analizie miejsca docelowego ruchu.
Według opisu incydentu atak rozpoczął się prawdopodobnie od wykorzystania nieznanej podatności w serwerze SQL lub MSSQL. Po uzyskaniu dostępu napastnicy pobrali archiwum ZIP zawierające legalny plik wykonywalny, taki jak VirtualBox lub DbgView, oraz złośliwą bibliotekę DLL przeznaczoną do sideloadingu. Taki mechanizm pozwala uruchomić szkodliwy kod w kontekście zaufanego procesu i utrudnia analizę operacyjną.
Kolejny etap obejmował utrwalanie dostępu i osłabianie zabezpieczeń. Atakujący tworzyli nieautoryzowane konta użytkowników, modyfikowali polityki bezpieczeństwa Windows, zmieniali ustawienia zapory oraz przygotowywali środowisko do dalszych działań. Następnie zastosowali technikę Bring Your Own Vulnerable Driver, wykorzystując podatne sterowniki do uzyskania uprawnień jądra i wyłączania narzędzi ochronnych.
W analizie wskazano użycie kilku podatnych lub nadużywanych sterowników, a także złośliwego sterownika ABYSSWORKER podszywającego się pod legalny komponent. To istotny element łańcucha ataku, ponieważ BYOVD pozwala omijać ochronę endpointów jeszcze przed wdrożeniem właściwego ładunku ransomware.
Sam Backdoor.Turn został wstrzyknięty do procesu DbgView64.exe po wdrożeniu ransomware, co sugeruje funkcję utrzymania dostępu, dalszego rozpoznania lub przygotowania kolejnych operacji. Możliwości backdoora obejmowały wykonywanie poleceń, uruchamianie procesów, skanowanie sieci, przeszukiwanie LDAP i Active Directory, przechwytywanie certyfikatów TLS, zbieranie tytułów stron WWW oraz kradzież poświadczeń z przeglądarek.
Konsekwencje / ryzyko
Najpoważniejsze ryzyko wynika z nadużycia zaufanej infrastruktury komunikacyjnej do ukrywania złośliwego ruchu. W wielu organizacjach Microsoft Teams i podobne usługi są szeroko dopuszczane przez firewalle, serwery proxy oraz polityki dostępu. To sprawia, że część złośliwej aktywności może nie wzbudzić alarmu, jeśli analiza opiera się głównie na prostym allowlistingu.
Z perspektywy operacyjnej taki model komunikacji obniża skuteczność klasycznych detekcji C2. Ruch nie musi prowadzić do domen o złej reputacji ani do nietypowych lokalizacji geograficznych, a jego charakter może przypominać codzienne wykorzystanie legalnej platformy komunikacyjnej. W rezultacie rośnie poziom szumu, a próg wykrycia rzeczywistego incydentu wyraźnie spada.
Dodatkowo połączenie tej techniki z DLL sideloading, BYOVD, eksfiltracją danych i wdrożeniem ransomware znacząco zwiększa skalę zagrożenia. Ofiara może mieć do czynienia jednocześnie z długotrwałą obecnością napastnika w środowisku, pogłębionym rozpoznaniem infrastruktury, kradzieżą danych i destrukcyjnym etapem szyfrowania systemów.
Rekomendacje
Organizacje powinny odejść od założenia, że ruch do zaufanych platform SaaS jest z definicji bezpieczny. W praktyce oznacza to konieczność analizy behawioralnej połączeń, uwzględniającej proces inicjujący ruch, kontekst użytkownika, czas aktywności oraz korelację z telemetrią bezpieczeństwa.
- Monitorować połączenia do usług komunikacyjnych pod kątem nietypowych procesów i niestandardowych wzorców ruchu.
- Wdrażać detekcję DLL sideloading oraz uruchamiania legalnych binariów z nietypowych lokalizacji.
- Ograniczać ładowanie sterowników poprzez listy dozwolonych, HVCI i Windows Defender Application Control.
- Aktywnie wykrywać techniki BYOVD poprzez monitoring instalacji i uruchamiania podatnych sterowników.
- Wzmocnić ochronę serwerów SQL i MSSQL, które często pełnią rolę punktu wejścia.
- Regularnie audytować nowe konta użytkowników, zmiany polityk systemowych i lokalne uprawnienia administracyjne.
- Analizować ruch związany z Teams pod kątem anomalii wolumenowych, czasowych i procesowych.
- Rozszerzyć reguły SIEM, EDR i NDR o wskaźniki kompromitacji oraz scenariusze threat hunting związane z nadużyciem infrastruktury konferencyjnej.
Zespoły reagowania na incydenty powinny również uwzględnić w playbookach możliwość wykorzystywania legalnych usług konferencyjnych jako kanału C2. Taki scenariusz wymaga innych metod triage niż klasyczne infekcje komunikujące się z oczywiście podejrzaną infrastrukturą.
Podsumowanie
Przypadek DragonForce pokazuje wyraźną ewolucję ataków ransomware w kierunku bardziej dyskretnych i trudniejszych do wykrycia technik operacyjnych. Wykorzystanie relay TURN powiązanego z Microsoft Teams nie jest jedynie ciekawostką techniczną, lecz praktycznym sposobem obchodzenia zaufania, jakim organizacje obdarzają popularne usługi chmurowe.
Połączenie tej metody z sideloadingiem DLL, nadużyciem podatnych sterowników, eskalacją uprawnień i eksfiltracją danych tworzy dojrzały łańcuch ataku zdolny do omijania wielu standardowych mechanizmów ochronnych. Dla obrońców oznacza to konieczność głębszej analizy legalnego ruchu SaaS, twardszej kontroli sterowników oraz lepszej korelacji sygnałów z warstwy endpoint, sieci i tożsamości.