مهاجمان مرتبط با باجافزار DragonForce در یک کمپین نفوذ هدفمند از یک تروجان دسترسی از راه دور (RAT) سفارشی مبتنی بر Go با نام Backdoor.Turn برای پنهانسازی ترافیک فرماندهی و کنترل (C2) استفاده کردهاند. Backdoor.Turn با سوءاستفاده از زیرساختهای معتبر مایکروسافت تیمز (Microsoft Teams) ، ارتباطات مخرب را در قالب ترافیک عادی و قانونی این سرویس پنهان میکند؛ بهگونهای که از دید سامانههای دفاعی، این ارتباطات مشابه اتصالهای استاندارد کاربران به سرویس رسمی مایکروسافت به نظر میرسند.
بر اساس گزارش Symantec و Carbon Black (Broadcom)، این بکدور در یک سازمان بزرگ در حوزه سرویسهای ایالات متحده شناسایی شده، اما هویت قربانی فاش نشده است. بررسی تیم Threat Hunter نیز نشان میدهد مهاجمان بین یک تا دو ماه در شبکه حضور داشتهاند، در حالی که تنها نشانه قابل مشاهده برای تیمهای امنیتی، ارتباطات خروجی با سرورهای معتبر مایکروسافت تیمز بوده است.
زنجیره ارتباطی Backdoor.Turn و سوءاستفاده از زیرساخت TURN
این بکدور ابتدا یک توکن احراز هویت مهمان را بهصورت ناشناس از سرویسهای هویتی مایکروسافت مبتنی بر Skype دریافت میکند. در ادامه، با استفاده از یک سرور واسط معتبر TURN مایکروسافت، اتصال اولیه برقرار میشود و سپس یک نشست مبتنی بر پروتکل QUIC به سمت سرور واقعی C2 مهاجم ایجاد میگردد. در این مرحله، Backdoor.Turn بخش قابل توجهی از مسیر ارتباطی خود را در قالب زیرساخت قانونی مایکروسافت تیمز پنهان میسازد و از آن بهعنوان پوشش ترافیکی استفاده میکند.
این رخداد نخستین نمونه عمومی و مستند از سوءاستفاده عوامل تهدید از زیرساخت Traversal Using Relays around NAT (TURN) در اکوسیستم مایکروسافت محسوب میشود؛ روشی که امکان عبور و پنهانسازی ارتباطات مخرب در دل سرویسهای قانونی را فراهم میکند.
مسیر دسترسی اولیه و شروع فعالیت مخرب
طبق ارزیابیها، مهاجمان احتمالاً دسترسی اولیه را از طریق سوءاستفاده از یک آسیبپذیری در سرور SQL یا MS-SQL به دست آوردهاند؛ هرچند ماهیت دقیق این ضعف امنیتی مشخص نشده است. احتمال دیگر این است که دسترسی از یک واسطه دسترسی اولیه (IAB) خریداری شده باشد.
فعالیتهای مخرب اولیه در شبکه قربانی از دسامبر 2025 آغاز شده است. مهاجمان با اجرای یک دستور پاورشل (PowerShell)، یک آرشیو ZIP را با پوشش یک هاتفیکس (hotfix) پشتیبانی فنی روی سیستم مستقر کردند. این فایل ZIP در ادامه برای اجرای حمله بارگذاری جانبی DLL (DLL Side-Loading) مورد استفاده قرار گرفت و یک DLL مخرب را فعال کرد که وظیفه انجام شناسایی اولیه، ایجاد پایداری در سیستم (Persistence) و غیرفعالسازی ابزارهای امنیتی را بر عهده داشت. در این زنجیره، Backdoor.Turn بهعنوان بخشی از دسترسی پایدار و مخفیانه مهاجمان اهمیت پیدا میکند.
نقش Backdoor.Turn در تداوم دسترسی پس از استقرار باجافزار
نکته قابل توجه در این حمله، اجرای Backdoor.Turn از طریق تزریق آن به داخل پردازه قانونی DbgView64.exe پس از استقرار باجافزار DragonForce است. این عملکرد نشان میدهد مهاجمان در تلاش بودهاند دسترسی پایدار و مداوم به میزبان آلوده را حفظ کنند تا بتوانند در مراحل بعدی از آن برای حملات تکمیلی استفاده کرده یا حتی آن را برای فروش در اختیار سایر عوامل تهدید قرار دهند.
استفاده از BYOVD برای دور زدن ابزارهای امنیتی
مهاجمان برای تضعیف مکانیزمهای دفاعی از تکنیک BYOVD (درایور آسیبپذیر خود را بیاورید) استفاده کردهاند. در این روش، یک درایور معتبر اما دارای آسیبپذیری روی سیستم هدف مورد سوءاستفاده قرار میگیرد تا مهاجم بتواند برخی کنترلهای امنیتی را دور بزند یا ابزارهای دفاعی را غیرفعال کند.
در این حمله، درایور هواوی (Huawei) با نام HWAuidoOs2Ec.sys مورد سوءاستفاده قرار گرفته است. این درایور بعدها در یک کمپین گسترده تبلیغات مخرب (Malvertising) علیه کاربران آمریکایی جویای اسناد مالیاتی نیز مشاهده شده است؛ با این حال، این فعالیت در بازهای پس از وقوع این حمله باجافزاری ثبت شده است.
در کنار این موارد، چند درایور دیگر نیز برای اهداف مشابه شناسایی شدهاند:
- sys مرتبط با آسیبپذیری CVE-2023-52271
- sys مرتبط با آسیبپذیری CVE-2025-61155
- sys مرتبط با آسیبپذیری CVE-2025-1055
- ABYSSWORKER، یک درایور مخرب سفارشی که پیشتر در حملات باجافزاری Medusa نیز مشاهده شده است
در این مرحله، Backdoor.Turn در کنار این تکنیکهای چندلایه فرار، تصویر دقیقتری از سطح پیچیدگی عملیاتی گروه DragonForce ارائه میدهد.
قابلیتهای عملیاتی و ارتباط با تکنیک Ghost Calls
مکانیزم مبتنی بر TURN در این بکدور بر یک تکنیک مخفی ارتباط C2 به نام Ghost Calls تکیه دارد. این تکنیک توسط شرکت Praetorian در آگوست 2024 مستند شده است و به مهاجمان کمک میکند ارتباطات مخرب را در قالب مسیرهای ظاهراً معتبر پنهان کنند.
این بکدور از مجموعه گستردهای از قابلیتها از جمله موراد زیر پشتیبانی میکند:
- اجرای دستورات
- ایجاد پردازه
- اسکن شبکه
- جستجو در LDAP و اکتیو دایرکتوری (Active Directory)
- حرکت جانبی (Lateral Movement) مبتنی بر اعتبارنامه
- سرقت اطلاعات ورود مرورگر
دلیل اهمیت این حمله برای تیمهای دفاعی
طبق توضیح Symantec و Carbon Black، این بکدور ابتدا یک توکن مهمان را از بکاند مایکروسافت (Teams/Skype) دریافت میکند. سپس با استفاده از همان توکن، به زیرساختهای مرتبط با تیمز و بهویژه سرور واسط TURN متصل شده و از آن برای پیشبرد ارتباط استفاده میکند و در نهایت یک اتصال خروجی برقرار میسازد.
پس از ایجاد اتصال اولیه از طریق سازوکار واسطه، بدافزار یک نشست مستقیم QUIC را با سرور C2 مخرب خود برقرار میکند.
از دید تیمهای دفاعی، نکته مهم این است که دیگر نمیتوان صرفاً به «قانونی بودن سرویس یا مقصد» یا استفاده از زیرساختهای شناختهشده اعتماد کرد؛ زیرا مهاجمان میتوانند از همین سرویسهای معتبر و ابری برای پنهانسازی ترافیک و فعالیتهای مخرب خود سوءاستفاده کنند. در این سناریو، Backdoor.Turn نمونهای روشن از سوءاستفاده از سرویسهای ابری معتبر برای مخفیسازی ارتباطات مخرب محسوب میشود.
تکامل DragonForce به سمت عملیات هدفمندتر
یافتهها نشان میدهد گروه پشت DragonForce که با نام Hackledorb نیز شناخته میشود، از مدل سنتی باجافزار بهعنوان سرویس (RaaS) فاصله گرفته و به سمت یک ساختار منسجمتر، سازمانیافته و شبیه کارتل (cartel) حرکت کرده است. بررسی جدول زمانی عملیات این گروه نیز نشاندهنده یک روند پیوسته در توسعه قابلیتهاست؛ بهطوریکه پس از سال 2025، استفاده از تکنیکهای پیشرفتهتر به یکی از ویژگیهای ثابت عملیاتی آنها تبدیل شده است.
ترکیب روشهایی مانند پنهانسازی سرورهای C2، استفاده از زیرساختهای مایکروسافت تیمز، بهرهگیری از پروتکل QUIC، اجرای بارگذاری جانبی DLL، بهکارگیری تکنیک BYOVD و همچنین حفظ پایداری پس از استقرار باجافزار، باعث شده DragonForce در جایگاه یکی از گروههای باجافزاری بسیار توانمند و پایدار قرار گیرد.
در چنین شرایطی، صرفاً اتکا به شناساییهای سطحی کافی نیست و استفاده از تحلیل عملکردی، مانیتورینگ عمیق ترافیک خروجی و بررسی زنجیره کامل رخدادها برای شناسایی تهدیداتی مانند Backdoor.Turn ضروری است.