Kako so nepridipravi zlorabili komunikacijske strežnike Teams?

Kibernetski kriminalci, ki stojijo za izsiljevalskim virusom oziroma Hackledorb, so bili v omrežju žrtve prisotni med enim in dvema mesecema, njihova aktivnost pa se je začela decembra 2025. Prvotni dostop so si verjetno zagotovili z izkoriščanjem ranljivosti v podatkovnih strežnikih SQL oziroma MSSQL. Ključni element njihovega uspeha pri prikrivanju je bilo novo zaledno orodje, imenovano Backdoor.Turn, napisano v programskem jeziku Go.

To napredno zlonamerno programsko opremo so napadalci vbrizgali v legitimen proces DbgView64.exe. Orodje deluje tako, da od Microsoftovih identifikacijskih storitev pridobi anonimni žetone za obiskovalce Teams, nato pa uporabi uradne Microsoftove strežnike TURN za vzpostavitev povezave. Skozi to varno povezavo nato zlonamerna koda zažene neposredno sejo do napadalčevega dejanskega nadzornega strežnika. Ker promet poteka preko uradne Microsoftove infrastrukture, skrbniki omrežij in varnostni produkti niso zaznali ničesar nenavadnega, medtem ko so napadalci nemoteno izvajali skeniranje omrežja, zbirali podatke iz imenikov Active Directory in kradli poverilnice iz brskalnikov.

Poleg prikrivanja prometa je skupina uporabila tudi izjemno prefinjene tehnike za izogibanje zaznavanju na samih računalnikih. Napadalci so v sistem naložili lastne ali starejše legitimne, a ranljive gonilnike, da bi pridobili dostop do jedra sistema in izklopili varnostne programe. Med njimi izstopa tehnika, imenovana „Havoc Process Terminator“, ki izkorišča Huaweijev gonilnik (HWAuidoOs2Ec.sys). Ranljivost tega gonilnika v času napada sploh še ni bila javno znana. Uporabili so tudi gonilnik Abyss Worker, ki je neposredno posnemal legitimne varnostne rešitve družbe Palo Alto.

Po uspešnem izogibanju varnostnim mehanizmom in obsežnem pregledu omrežja so napadalci sprožili izsiljevalski virus DragonForce, s katerim so šifrirali podatke in izsiljevali podjetje. Ta skupina se je v zadnjem obdobju preoblikovala iz običajnega ponudnika izsiljevalskega programja kot storitve (RaaS) v visoko organiziran in formaliziran kartel, kar dokazuje njihovo visoko stopnjo zrelosti in usmerjenost v visokoprofilne tarče.