Tội phạm mạng tìm cách ẩn lưu lượng điều khiển qua Microsoft Teams
Một phần mềm độc hại tùy chỉnh mới đã được phát hiện đang định tuyến thông tin liên lạc thông qua các dịch vụ hợp pháp của Microsoft, khiến hoạt động độc hại ngụy trang như lưu lượng truy cập thông thường của Microsoft Teams. Các nhà nghiên cứu cho biết nhóm tội phạm đứng sau ransomware DragonForce đã sử dụng backdoor "Backdoor.Turn" để trốn tránh sự phát hiện trong hai tháng tại một công ty dịch vụ lớn của Mỹ.
Tội phạm mạng tìm cách ẩn lưu lượng điều khiển qua Microsoft Teams
Các tội phạm mạng triển khai ransomware DragonForce dường như đã xâm nhập thành công vào mạng của một công ty dịch vụ lớn tại Mỹ, sau đó dành hai tháng để thực hiện các hoạt động độc hại trong khi ngụy trang lưu lượng điều khiển của chúng thành lưu lượng truy cập hợp pháp của Microsoft Teams.
Các nhà nghiên cứu tại công ty bảo mật Symantec cho biết cuộc xâm nhập này bắt đầu bằng việc kẻ tấn công giành quyền truy cập vào môi trường của nạn nhân trước khi triển khai một backdoor (cửa sau) tùy chỉnh dựa trên ngôn ngữ Go, được theo dõi dưới tên gọi "Backdoor.Turn", để duy trì liên lạc với các hệ thống đã bị xâm phạm. Thay vì kết nối đến cơ sở hạ tầng do kẻ tấn công kiểm soát (vốn có thể kích hoạt cảnh báo), backdoor này đã ẩn hoạt động của nó bên trong lưu lượng liên quan đến nền tảng cộng tác phổ biến của Microsoft.
Đối với bất kỳ ai đang giám sát lưu lượng mạng, các hệ thống bị xâm phạm dường như chỉ đang giao tiếp với các máy chủ hợp pháp của Microsoft.
Kỹ thuật ngụy trang tinh vi
"Những kẻ tấn công trong chiến dịch này sử dụng kỹ thuật mạng cực kỳ tinh vi," Symantec nhận định. "Cấu hình của Backdoor.Turn có nghĩa là các sản phẩm bảo mật chỉ nhìn thấy lưu lượng C&C (lệnh điều khiển) đang đi đến các máy chủ Teams hợp pháp, khiến những người bảo vệ không biết rằng dữ liệu đang bị đánh cắp bởi các tác nhân độc hại."
Symantec cho biết những kẻ tấn công đã cài đặt Backdoor.Turn lên các hệ thống sau khi triển khai ransomware DragonForce, có thể mang lại cho họ đường quay trở lại mạng bị xâm phạm hoặc quyền truy cập mà họ có thể sau này bán cho các tội phạm khác.
Cơ chế hoạt động
Để kết nối với cơ sở hạ tầng của Microsoft, backdoor trước tiên yêu cầu một mã thông báo truy cập khách ẩn danh từ các dịch vụ phụ trợ của Microsoft Teams và Skype. Sau đó, nó sử dụng máy chủ chuyển tiếp TURN do Microsoft vận hành — cơ sở hạ tầng thường được sử dụng để giúp thiết lập liên lạc giữa người dùng — trước khi thiết lập kết nối QUIC trực tiếp đến một máy chủ lệnh điều khiển độc hại.
Symantec cho biết đây là trường hợp đầu tiên được biết đến về phần mềm độc hại sử dụng kỹ thuật cụ thể này.
Công ty bảo mật này không xác định danh tính nạn nhân ngoài việc mô tả đó là một công ty dịch vụ lớn của Mỹ, cũng như không nói rõ liệu kênh liên lạc dựa trên Teams này có được quan sát thấy trong các sự cố DragonForce khác hay không.
Hoạt động ransomware này đã trở nên ngày càng nổi bật trong năm qua, vận hành theo mô hình ransomware-as-a-service (mã độc tống tiền dưới dạng dịch vụ) cho phép các chi nhánh thực hiện các cuộc tấn công dưới danh nghĩa DragonForce. Nó được liên kết với nhóm Scattered Spider năng nổ, nhóm này đã thực hiện một loạt các cuộc tấn công nổi tiếng, bao gồm các vụ xâm nhập nhắm vào các nhà bán lẻ lớn tại Anh.
Trong khi các kẻ tấn công đã lâu nay lạm dụng các dịch vụ đám mây hợp pháp để che giấu lưu lượng độc hại, phát hiện của Symantec cho thấy các nhà điều hành DragonForce tiếp tục tìm cách hòa trộn vào phần mềm và cơ sở hạ tầng mà các tổ chức tin tưởng nhất.