Cibergrupo usa servidores Microsoft Teams para ocultar comunicações

O grupo de ransomware DragonForce está a recorrer a uma nova técnica para ocultar as comunicações dos seus ataques, utilizando servidores de retransmissão do Microsoft Teams como canal de comando e controlo (C&C), avançou o SecurityWeek, citando uma investigação da equipa de threat hunting da Broadcom.

Os investigadores identificaram um novo malware, denominado Backdoor[.]Turn, desenvolvido em Go, que disfarça as suas comunicações maliciosas como tráfego legítimo associado ao Microsoft Teams.

Segundo a análise, o malware obtém um token anónimo de visitante através dos serviços de identidade da Microsoft baseados em Skype, utiliza a infraestrutura legítima TURN (Traversal Using Relays around NAT) da plataforma para estabelecer a ligação e cria posteriormente uma sessão QUIC com o servidor de comando e controlo dos atacantes. Os investigadores acreditam que esta é a primeira família de malware conhecida a abusar da infraestrutura de retransmissão TURN desta forma.

“É relativamente invulgar ver grupos de ransomware a utilizarem ferramentas próprias e ainda mais raro encontrarmos uma ferramenta personalizada tão sofisticada como o Backdoor[.]Turn”, referem os investigadores da Broadcom.

O malware foi identificado durante uma investigação a um ataque contra uma empresa norte-americana do setor dos serviços. De acordo com a Symantec e a Carbon Black, os atacantes terão obtido acesso inicial à rede comprometida em dezembro de 2025, possivelmente através da exploração de uma vulnerabilidade desconhecida num servidor SQL ou Microsoft SQL Server. Existe também a possibilidade de o acesso ter sido adquirido através de um broker especializado na venda de acessos comprometidos.

Após a intrusão, os operadores do DragonForce recorreram a técnicas de DLL sideloading para descarregar malware adicional, estabelecer mecanismos de persistência e realizar reconhecimento da infraestrutura da vítima.

Os investigadores identificaram igualmente a utilização de uma estratégia BYOVD (Bring Your Own Vulnerable Driver), que explora vulnerabilidades conhecidas em drivers assinados para obter privilégios ao nível do kernel e desativar soluções de segurança.

Além do ransomware utilizado para cifrar e exfiltrar dados, o grupo instalou o Backdoor[.]Turn para manter acesso persistente aos sistemas comprometidos após a fase inicial do ataque. O malware permite executar comandos remotamente, criar processos, realizar varrimentos de rede, mapear ambientes Active Directory e LDAP, movimentar-se lateralmente utilizando credenciais roubadas e extrair credenciais armazenadas em navegadores.

Segundo os investigadores, a principal preocupação reside no facto de as comunicações maliciosas parecerem tráfego legítimo do Microsoft Teams.

“A configuração do Backdoor[.]Turn faz com que as soluções de segurança apenas vejam tráfego dirigido a servidores legítimos do Teams, sem perceberem que informação está a ser exfiltrada por agentes maliciosos”, alertam os especialistas.

O caso evidencia a crescente sofisticação das operações do DragonForce, um grupo ativo desde 2023 que tem vindo a adotar técnicas cada vez mais avançadas e estruturas organizacionais semelhantes às de um cartel de cibercrime.