Skjult i Teams: DragonForce misbruker Microsoft Teams-reléer for å skjule bakdører.
Skjult i Teams: DragonForce misbruker Microsoft Teams-reléer for å skjule bakdører
DragonForce angripere skjulte kommando og kontrolltrafikk inne i Microsoft Teams sin reléinfrastruktur under et ransomware angrep mot et større amerikansk selskap. De benyttet en spesialutviklet Go basert RAT kalt Backdoor.Turn, som er den første kjente skadevaren som misbruker Microsoft Teams sine TURN reléservere for å maskere C2 trafikk. Backdoor.Turn henter et anonymt Teams besøkstoken fra Microsofts Skype baserte identitetstjenester, etablerer forbindelse via en legitim TURN relétjeneste og oppretter deretter en QUIC sesjon mot angripernes server. For nettverksforsvarere fremstår trafikken som legitime forbindelser til Microsoft Teams servere. Angriperne oppholdt seg i miljøet mellom én og to måneder. Kampanjen benyttet også Bring Your Own Vulnerable Driver (BYOVD) og en tidligere ukjent utnyttelse av Huawei driveren HWAuidoOs2Ec.sys for å omgå sikkerhetsmekanismer.
Overvåk og analyser uvanlig Microsoft Teams relatert nettverkstrafikk som etablerer vedvarende forbindelser via TURN reléer.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.