به گزارش زوم تک، محققان امنیتی از کشف روشی پیچیده و بی سابقه توسط گروه باج افزاری DragonForce خبر داده اند. این گروه با استفاده از یک بدافزار دسترسی از راه دور سفارشی به نام Backdoor.Turn، ترافیک فرماندهی و کنترل خود را در دل زیرساخت قانونی Microsoft Teams پنهان می کند تا از دید ابزارهای امنیتی مخفی بماند.
بد افزار هکرهای DragonForce
بر اساس تحقیقات شرکت های Symantec و Carbon Black، این حمله علیه یک شرکت بزرگ خدماتی در آمریکا انجام شده و مهاجمان موفق شده اند بین یک تا دو ماه بدون جلب توجه در شبکه قربانی باقی بمانند. کارشناسان می گویند این نخستین مورد مستند سوءاستفاده از زیرساخت TURN مایکروسافت توسط یک گروه هکری است.
Backdoor.Turn چگونه عمل می کند؟
بدافزار Backdoor.Turn که با زبان Go توسعه یافته، ابتدا یک توکن بازدیدکننده ناشناس از سرویس های هویتی مبتنی بر Skype مایکروسافت دریافت می کند. سپس با استفاده از سرورهای قانونی Microsoft Teams و قابلیت TURN یا Traversal Using Relays around NAT، ارتباط اولیه را برقرار می کند.
پس از آن، بدافزار یک اتصال QUIC مستقیم با سرور فرماندهی و کنترل واقعی مهاجمان ایجاد می کند. در نتیجه، از دید تیم های امنیتی تنها ارتباطات خروجی با سرورهای قانونی مایکروسافت قابل مشاهده است و ترافیک مخرب عملا در میان ترافیک عادی Teams پنهان می شود.
ورود اولیه مهاجمان چگونه انجام شد؟
به گفته محققان، مهاجمان احتمالا از طریق سوءاستفاده از یک آسیب پذیری در SQL Server یا MS-SQL Server به شبکه قربانی نفوذ کرده اند. البته احتمال خرید دسترسی اولیه از فروشندگان دسترسی یا Initial Access Broker نیز مطرح شده است.
فعالیت های مخرب از دسامبر ۲۰۲۵ آغاز شده و مهاجمان با اجرای یک دستور PowerShell فایل ZIP آلوده ای را تحت عنوان به روزرسانی پشتیبانی فنی روی سیستم قربانی قرار داده اند.
استفاده از حمله DLL Side-Loading و درایورهای آسیب پذیر
فایل ZIP مذکور باعث اجرای حمله DLL Side-Loading شده است. DLL مخرب پس از اجرا وظایف شناسایی محیط، ایجاد پایداری و غیرفعال کردن نرم افزارهای امنیتی را بر عهده داشته است.
برای دور زدن سیستم های دفاعی، مهاجمان از تکنیک معروف BYOVD یا Bring Your Own Vulnerable Driver استفاده کرده اند. در این روش، درایورهای آسیب پذیر اما قانونی برای خاموش کردن ابزارهای امنیتی مورد سوءاستفاده قرار می گیرند.
در این حمله از درایور Huawei با نام HWAuidoOs2Ec.sys استفاده شده است. همچنین محققان به استفاده از درایورهای دیگری مانند wsftprm.sys، GameDriverX64.sys، K7RKScan.sys و درایور مخرب ABYSSWORKER در حملات مشابه اشاره کرده اند.
بدافزار حتی پس از اجرای باج افزار نیز فعال می ماند
یکی از نکات قابل توجه این حمله، اجرای Backdoor.Turn پس از استقرار باج افزار DragonForce است. این بدافزار درون فرآیند قانونی DbgView64.exe تزریق می شود تا مهاجمان بتوانند حتی پس از پایان حمله اولیه، دسترسی خود را حفظ کنند.
این موضوع نشان می دهد که هدف مهاجمان تنها رمزگذاری اطلاعات نبوده و آن ها به دنبال استفاده مجدد از دسترسی به سیستم یا فروش آن به سایر مجرمان سایبری بوده اند.
قابلیت های گسترده Backdoor.Turn
بدافزار Backdoor.Turn از تکنیکی به نام Ghost Calls بهره می برد که نخستین بار در سال ۲۰۲۴ توسط شرکت Praetorian معرفی شد. این بدافزار توانایی اجرای دستورات، ایجاد فرآیندهای جدید، اسکن شبکه، جستجو در Active Directory و LDAP، حرکت جانبی در شبکه با استفاده از اطلاعات کاربری و سرقت رمزهای عبور ذخیره شده در مرورگرها را دارد.
این قابلیت ها باعث شده اند Backdoor.Turn فراتر از یک درب پشتی ساده عمل کرده و به ابزاری قدرتمند برای جاسوسی و نفوذ بلندمدت تبدیل شود.
DragonForce به یکی از خطرناک ترین گروه های باج افزاری تبدیل شده است
تحلیلگران امنیتی معتقدند DragonForce که با نام Hackledorb نیز شناخته می شود، طی سال های اخیر از مدل سنتی باج افزار به عنوان سرویس فاصله گرفته و به ساختاری سازمان یافته و شبیه یک کارتل سایبری تبدیل شده است.
استفاده از تکنیک های پیشرفته ای مانند Backdoor.Turn و ترکیب آن با روش های متعدد BYOVD نشان می دهد این گروه اکنون در میان توانمندترین و ماندگارترین گروه های باج افزاری جهان قرار دارد.
چالش جدید برای تیم های امنیتی
استفاده از زیرساخت های معتبر و قانونی مایکروسافت برای مخفی سازی ارتباطات مخرب، شناسایی چنین حملاتی را برای تیم های امنیتی بسیار دشوار می کند. کارشناسان هشدار می دهند که مهاجمان روزبه روز به سمت روش هایی حرکت می کنند که در آن ها ترافیک مخرب در میان ارتباطات عادی سازمان ها پنهان می شود.
به همین دلیل، تحلیل رفتار شبکه و استفاده از سامانه های پیشرفته شناسایی تهدید بیش از هر زمان دیگری برای مقابله با حملات پیچیده نسل جدید اهمیت پیدا کرده است.





نظرات در مورد : هکرهای DragonForce از زیرساخت Microsoft Teams برای پنهان کردن ارتباطات بدافزار خود استفاده می کنند