خانه » هکرهای DragonForce ترافیک فرماندهی و کنترل بدافزار Backdoor.Turn را در مایکروسافت تیمز پنهان می‌کنند

هکرهای DragonForce ترافیک فرماندهی و کنترل بدافزار Backdoor.Turn را در مایکروسافت تیمز پنهان می‌کنند

توسط Vulnerbyte_News
33 بازدید

مهاجمان مرتبط با باج‌افزار DragonForce در یک کمپین نفوذ هدفمند از یک تروجان دسترسی از راه دور (RAT) سفارشی مبتنی بر Go با نام Backdoor.Turn برای پنهان‌سازی ترافیک فرماندهی و کنترل (C2) استفاده کرده‌اند. Backdoor.Turn با سوءاستفاده از زیرساخت‌های معتبر مایکروسافت تیمز (Microsoft Teams) ، ارتباطات مخرب را در قالب ترافیک عادی و قانونی این سرویس پنهان می‌کند؛ به‌گونه‌ای که از دید سامانه‌های دفاعی، این ارتباطات مشابه اتصال‌های استاندارد کاربران به سرویس رسمی مایکروسافت به نظر می‌رسند.

بر اساس گزارش Symantec و Carbon Black (Broadcom)، این بکدور در یک سازمان بزرگ در حوزه سرویس‌های ایالات متحده شناسایی شده، اما هویت قربانی فاش نشده است. بررسی تیم Threat Hunter نیز نشان می‌دهد مهاجمان بین یک تا دو ماه در شبکه حضور داشته‌اند، در حالی که تنها نشانه قابل مشاهده برای تیم‌های امنیتی، ارتباطات خروجی با سرورهای معتبر مایکروسافت تیمز بوده است.

زنجیره ارتباطی Backdoor.Turn و سوءاستفاده از زیرساخت TURN

این بکدور ابتدا یک توکن احراز هویت مهمان را به‌صورت ناشناس از سرویس‌های هویتی مایکروسافت مبتنی بر Skype دریافت می‌کند. در ادامه، با استفاده از یک سرور واسط معتبر TURN مایکروسافت، اتصال اولیه برقرار می‌شود و سپس یک نشست مبتنی بر پروتکل QUIC به سمت سرور واقعی C2 مهاجم ایجاد می‌گردد. در این مرحله، Backdoor.Turn بخش قابل توجهی از مسیر ارتباطی خود را در قالب زیرساخت قانونی مایکروسافت تیمز پنهان می‌سازد و از آن به‌عنوان پوشش ترافیکی استفاده می‌کند.

این رخداد نخستین نمونه عمومی و مستند از سوءاستفاده عوامل تهدید از زیرساخت Traversal Using Relays around NAT (TURN) در اکوسیستم مایکروسافت محسوب می‌شود؛ روشی که امکان عبور و پنهان‌سازی ارتباطات مخرب در دل سرویس‌های قانونی را فراهم می‌کند.

مسیر دسترسی اولیه و شروع فعالیت مخرب

طبق ارزیابی‌ها، مهاجمان احتمالاً دسترسی اولیه را از طریق سوءاستفاده از یک آسیب‌پذیری در سرور SQL یا MS-SQL به دست آورده‌اند؛ هرچند ماهیت دقیق این ضعف امنیتی مشخص نشده است. احتمال دیگر این است که دسترسی از یک واسطه دسترسی اولیه (IAB) خریداری شده باشد.

فعالیت‌های مخرب اولیه در شبکه قربانی از دسامبر 2025 آغاز شده است. مهاجمان با اجرای یک دستور پاورشل (PowerShell)، یک آرشیو ZIP را با پوشش یک هات‌فیکس (hotfix) پشتیبانی فنی روی سیستم مستقر کردند. این فایل ZIP در ادامه برای اجرای حمله بارگذاری جانبی DLL (DLL Side-Loading) مورد استفاده قرار گرفت و یک DLL مخرب را فعال کرد که وظیفه انجام شناسایی اولیه، ایجاد پایداری در سیستم (Persistence) و غیرفعال‌سازی ابزارهای امنیتی را بر عهده داشت. در این زنجیره، Backdoor.Turn به‌عنوان بخشی از دسترسی پایدار و مخفیانه مهاجمان اهمیت پیدا می‌کند.

نقش Backdoor.Turn در تداوم دسترسی پس از استقرار باج‌افزار

نکته قابل توجه در این حمله، اجرای Backdoor.Turn از طریق تزریق آن به داخل پردازه قانونی DbgView64.exe پس از استقرار باج‌افزار DragonForce است. این عملکرد نشان می‌دهد مهاجمان در تلاش بوده‌اند دسترسی پایدار و مداوم به میزبان آلوده را حفظ کنند تا بتوانند در مراحل بعدی از آن برای حملات تکمیلی استفاده کرده یا حتی آن را برای فروش در اختیار سایر عوامل تهدید قرار دهند.

استفاده از BYOVD برای دور زدن ابزارهای امنیتی

مهاجمان برای تضعیف مکانیزم‌های دفاعی از تکنیک BYOVD (درایور آسیب‌پذیر خود را بیاورید) استفاده کرده‌اند. در این روش، یک درایور معتبر اما دارای آسیب‌پذیری روی سیستم هدف مورد سوءاستفاده قرار می‌گیرد تا مهاجم بتواند برخی کنترل‌های امنیتی را دور بزند یا ابزارهای دفاعی را غیرفعال کند.

در این حمله، درایور هواوی (Huawei) با نام HWAuidoOs2Ec.sys مورد سوءاستفاده قرار گرفته است. این درایور بعدها در یک کمپین گسترده تبلیغات مخرب (Malvertising) علیه کاربران آمریکایی جویای اسناد مالیاتی نیز مشاهده شده است؛ با این حال، این فعالیت در بازه‌ای پس از وقوع این حمله باج‌افزاری ثبت شده است.

در کنار این موارد، چند درایور دیگر نیز برای اهداف مشابه شناسایی شده‌اند:

  • sys مرتبط با آسیب‌پذیری CVE-2023-52271
  • sys مرتبط با آسیب‌پذیری CVE-2025-61155
  • sys مرتبط با آسیب‌پذیری CVE-2025-1055
  • ABYSSWORKER، یک درایور مخرب سفارشی که پیش‌تر در حملات باج‌افزاری Medusa نیز مشاهده شده است

در این مرحله، Backdoor.Turn در کنار این تکنیک‌های چندلایه فرار، تصویر دقیق‌تری از سطح پیچیدگی عملیاتی گروه DragonForce ارائه می‌دهد.

قابلیت‌های عملیاتی و ارتباط با تکنیک Ghost Calls

مکانیزم مبتنی بر TURN در این بکدور بر یک تکنیک مخفی‌ ارتباط C2 به نام Ghost Calls تکیه دارد. این تکنیک توسط شرکت Praetorian در آگوست 2024 مستند شده است و به مهاجمان کمک می‌کند ارتباطات مخرب را در قالب مسیرهای ظاهراً معتبر پنهان کنند.

این بکدور از مجموعه گسترده‌ای از قابلیت‌ها از جمله موراد زیر پشتیبانی می‌کند:

  • اجرای دستورات
  • ایجاد پردازه
  • اسکن شبکه
  • جستجو در LDAP و اکتیو دایرکتوری (Active Directory)
  • حرکت جانبی (Lateral Movement) مبتنی بر اعتبارنامه
  • سرقت اطلاعات ورود مرورگر

دلیل اهمیت این حمله برای تیم‌های دفاعی

طبق توضیح Symantec و Carbon Black، این بکدور ابتدا یک توکن مهمان را از بک‌اند مایکروسافت (Teams/Skype) دریافت می‌کند. سپس با استفاده از همان توکن، به زیرساخت‌های مرتبط با تیمز و به‌ویژه سرور واسط TURN متصل شده و از آن برای پیش‌برد ارتباط استفاده می‌کند و در نهایت یک اتصال خروجی برقرار می‌سازد.

پس از ایجاد اتصال اولیه از طریق سازوکار واسطه، بدافزار یک نشست مستقیم QUIC را با سرور C2 مخرب خود برقرار می‌کند.

از دید تیم‌های دفاعی، نکته مهم این است که دیگر نمی‌توان صرفاً به «قانونی بودن سرویس یا مقصد» یا استفاده از زیرساخت‌های شناخته‌شده اعتماد کرد؛ زیرا مهاجمان می‌توانند از همین سرویس‌های معتبر و ابری برای پنهان‌سازی ترافیک و فعالیت‌های مخرب خود سوءاستفاده کنند. در این سناریو، Backdoor.Turn نمونه‌ای روشن از سوءاستفاده از سرویس‌های ابری معتبر برای مخفی‌سازی ارتباطات مخرب محسوب می‌شود.

 تکامل DragonForce به سمت عملیات هدفمندتر

یافته‌ها نشان می‌دهد گروه پشت DragonForce که با نام Hackledorb نیز شناخته می‌شود، از مدل سنتی باج‌افزار به‌عنوان سرویس (RaaS) فاصله گرفته و به سمت یک ساختار منسجم‌تر، سازمان‌یافته و شبیه کارتل (cartel) حرکت کرده است. بررسی جدول زمانی عملیات این گروه نیز نشان‌دهنده یک روند پیوسته در توسعه قابلیت‌هاست؛ به‌طوری‌که پس از سال 2025، استفاده از تکنیک‌های پیشرفته‌تر به یکی از ویژگی‌های ثابت عملیاتی آن‌ها تبدیل شده است.

ترکیب روش‌هایی مانند پنهان‌سازی سرورهای C2، استفاده از زیرساخت‌های مایکروسافت تیمز، بهره‌گیری از پروتکل QUIC، اجرای بارگذاری جانبی DLL، به‌کارگیری تکنیک BYOVD و همچنین حفظ پایداری پس از استقرار باج‌افزار، باعث شده DragonForce در جایگاه یکی از گروه‌های باج‌افزاری بسیار توانمند و پایدار قرار گیرد.

در چنین شرایطی، صرفاً اتکا به شناسایی‌های سطحی کافی نیست و استفاده از تحلیل عملکردی، مانیتورینگ عمیق ترافیک خروجی  و بررسی زنجیره کامل رخدادها برای شناسایی تهدیداتی مانند Backdoor.Turn ضروری است.

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید