DragonForce sử dụng backdoor mới lạm dụng máy chủ Microsoft Teams để ẩn mình

Nhóm tội phạm mạng DragonForce mới đây đã triển khai một loại backdoor cực kỳ tinh vi trong các cuộc tấn công ransomware gần đây. Điểm đáng chú ý nhất là phần mềm độc hại này sử dụng máy chủ chuyển tiếp (relay server) hợp pháp của Microsoft Teams để giao tiếp với máy chủ chỉ huy và điều khiển (C&C), giúp chúng lẩn tránh sự phát hiện của các hệ thống an ninh.

Cảnh báo Ransomware

Theo các nhà nghiên cứu mối đe dọa từ Broadcom (Symantec và Carbon Black), nhóm DragonForce đã hoạt động từ năm 2023 và hoạt động theo mô hình cartel (băng đảng). Việc họ áp dụng các kỹ thuật cao cấp trong những tháng gần đây cho thấy tổ chức này đã đạt đến độ chín chắn về tổ chức và sở hữu nguồn lực đáng kể.

Cơ chế hoạt động của Backdoor.Turn

Phần mềm độc hại mới này được đặt tên là Backdoor.Turn, được viết bằng ngôn ngữ lập trình Go. Nó ẩn mình rất khéo léo bằng cách ngụy trang lưu lượng giao tiếp C&C thành lưu lượng truy cập hợp pháp của Microsoft Teams.

"Backdoor.Turn lấy mã thông báo truy cập khách ẩn danh của Teams từ dịch vụ định danh của Microsoft Skype, sử dụng chuyển tiếp TURN hợp pháp của Microsoft để thiết lập kết nối, sau đó chạy phiên QUIC đến máy chủ C&C thực tế của kẻ tấn công," các nhà nghiên cứu giải thích.

Đây được coi là họ phần mềm độc hại đầu tiên lạm dụng cơ sở hạ tầng chuyển tiếp TURN theo cách này. Các chuyên gia nhận định rằng việc kẻ tấn công ransomware sử dụng công cụ tự chế (custom tools) là khá hiếm gặp, và đặc biệt bất thường khi công cụ đó lại tinh vi như Backdoor.Turn.

Bảo mật mạng

Quy trình tấn công phức tạp

Backdoor tùy chỉnh này đã được sử dụng trong một cuộc tấn công vào một công ty dịch vụ của Mỹ. Nạn nhân có thể đã bị xâm nhập thông qua một lỗ hổng chưa biết trong máy chủ SQL hoặc MSSQL, hoặc nhóm DragonForce có thể đã mua quyền truy cập vào công ty này từ một môi giới truy cập (access broker).

Theo Symantec và Carbon Black, tin tặc đã xâm nhập vào mạng của nạn nhân vào tháng 12 năm 2025. Chúng sử dụng kỹ thuật DLL sideloading để thực thi mã, từ đó tải thêm phần mềm độc hại từ các máy chủ từ xa.

Sau khi xâm nhập thành công, tin tặc đã thiết lập sự duy trì (persistence), trinh sát mạng và sử dụng chiến thuật BYOVD (Bring Your Own Vulnerable Driver) rất nguy hiểm. Chiến thuật này tận dụng các lỗ hổng đã biết trong các trình điều khiển đã được ký chữ ký số để truy cập cấp hạt nhân (kernel-level) và chấm dứt các quy trình bảo mật.

Nguy cơ khó phát hiện

Cuộc tấn công không chỉ mã hóa dữ liệu bằng ransomware DragonForce mà còn triển khai Backdoor.Turn để duy trì sự hiện diện trên hệ thống sau khi tấn công.

Backdoor này cho phép tin tặc thực thi lệnh, tạo quy trình, quét mạng, ánh xạ LDAP/AD, di chuyển ngang (lateral movement) bằng cách sử dụng thông tin xác thực bị đánh cắp và exfiltrate (tải trộm) thông tin đăng nhập từ các trình duyệt trên hệ thống bị nhiễm.

"Những kẻ tấn công trong chiến dịch này sử dụng các kỹ thuật mạng tinh vi đặc biệt. Cấu hình của Backdoor.Turn có nghĩa là các sản phẩm bảo mật chỉ thấy lưu lượng C&C đi đến các máy chủ Teams hợp pháp, khiến người bảo vệ không biết rằng dữ liệu đang bị hút đi bởi các tác nhân độc hại," các nhà nghiên cứu cảnh báo.

Cách tiếp cận này tạo ra một thách thức lớn cho các đội ngũ an ninh mạng, vì việc chặn lưu lượng truy cập đến Microsoft Teams là không khả thi đối với hầu hết các tổ chức sử dụng dịch vụ này.