В последните месеци експерти по киберсигурност от Symantec и Carbon Black, подразделения на Broadcom, разкриха нов метод на атака, използван от групата DragonForce. Тя прилага специално разработен зловреден софтуер, който използва инфраструктурата на Microsoft Teams, за да прикрие командно-контролния (C2) трафик и по този начин да избегне откриването от традиционните системи за сигурност.
Какво се случи?
DragonForce, известна с разпространението на рансъмуер, използва отдалечен достъп чрез троян (RAT), наречен Backdoor.Turn, написан на програмния език Go. Този троян изпраща и получава команди, използвайки релета на Microsoft Teams, което позволява на атакуващите да скрият комуникацията си в легитимен трафик на платформата. Този подход беше забелязан при атака срещу голяма американска компания, предоставяща услуги, чието име не беше разкрито поради съображения за сигурност.
Защо това е важно?
Използването на Microsoft Teams като канал за C2 трафик представлява значително предизвикателство за киберсигурността. Платформата е широко разпространена в корпоративния свят, особено след пандемията, когато дистанционната работа се превърна в норма. Трафикът, свързан с Teams, обикновено се счита за доверен и не се блокира от защитните системи, което позволява на атакуващите да проникнат и да останат незабелязани по-дълго време.
По-широк контекст
Тази нова тактика на DragonForce илюстрира тенденцията при киберпрестъпниците да използват легитимни платформи и услуги за прикриване на злонамерени дейности. Това затруднява откриването и реагирането на инциденти, като изисква от организациите да подобрят мониторинга и анализа на мрежовия трафик, включително и този, който преминава през популярни комуникационни инструменти.
Освен това, тази ситуация подчертава необходимостта от по-задълбочени интеграции между доставчиците на софтуер и решенията за киберсигурност, за да се идентифицират и блокират подобни атаки на ранен етап.
Какво може да последва?
В отговор на тези заплахи, компаниите и доставчиците на услуги вероятно ще засилят защитните мерки около използването на платформи като Microsoft Teams. Това може да включва по-строг контрол върху мрежовия трафик, внедряване на по-усъвършенствани системи за откриване на аномалии и повишаване на осведомеността сред служителите относно рисковете от кибератаки.
От своя страна, Microsoft вероятно ще работи върху подобряване на защитата на своята инфраструктура, за да предотврати използването ѝ за злонамерени цели. В дългосрочен план, този случай подчертава нуждата от постоянна адаптация на киберсигурността към новите методи на атака, които използват все по-иновативни подходи за прикриване.
