An ninh mạng

Nhóm tin tặc DragonForce lạm dụng hạ tầng Microsoft Teams để ẩn giấu backdoor

Nhóm ransomware DragonForce đang sử dụng một loại mã độc RAT mới có tên Backdoor.Turn, lợi dụng hạ tầng chuyển tiếp của Microsoft Teams để che giấu lưu lượng C2 và duy trì sự hiện diện trái phép...

Nguyen Hung
20 Tháng 6, 2026 2 Min Read
2 0

Các chuyên gia bảo mật từ Symantec và Carbon Black vừa phát hiện một chiến dịch tấn công tinh vi từ nhóm ransomware DragonForce. Nhóm này đang sử dụng một loại mã độc Remote Access Trojan (RAT) tùy chỉnh có tên Backdoor.Turn, với khả năng ẩn giấu lưu lượng điều khiển (C2) bên trong hạ tầng chuyển tiếp của Microsoft Teams.

Theo báo cáo, mã độc này đã được triển khai nhắm vào một công ty dịch vụ lớn tại Mỹ. Kỹ thuật này cho phép kẻ tấn công duy trì sự hiện diện trong mạng lưới nạn nhân từ một đến hai tháng mà không bị phát hiện, vì mọi lưu lượng mạng đều xuất hiện dưới dạng kết nối hợp lệ tới các server của Microsoft Teams.

Cơ chế hoạt động của Backdoor.Turn

Backdoor.Turn hoạt động bằng cách lấy một token khách (visitor token) ẩn danh từ dịch vụ định danh của Microsoft (Skype-backed). Sau đó, nó sử dụng một server TURN (Traversal Using Relays around NAT) hợp lệ của Microsoft để thiết lập kết nối. Cuối cùng, mã độc thực hiện một phiên QUIC trực tiếp tới server C2 thực sự của kẻ tấn công.

Kỹ thuật này được gọi là Ghost Calls, giúp kẻ tấn công vượt qua các hệ thống giám sát mạng truyền thống. Sau khi xâm nhập, Backdoor.Turn hỗ trợ hàng loạt tính năng nguy hiểm như: thực thi lệnh, tạo tiến trình mới, quét mạng, tìm kiếm LDAP/Active Directory, di chuyển ngang (lateral movement) và đánh cắp thông tin đăng nhập từ trình duyệt.

Kỹ thuật tấn công đa lớp

Quá trình xâm nhập ban đầu được cho là bắt nguồn từ việc khai thác lỗ hổng trên server SQL hoặc thông qua các nhà môi giới truy cập ban đầu (IAB). Sau khi thâm nhập, nhóm DragonForce đã sử dụng kỹ thuật BYOVD (Bring Your Own Vulnerable Driver), cụ thể là lợi dụng driver Huawei (“HWAuidoOs2Ec.sys”) để vô hiệu hóa các phần mềm bảo mật.

Ngoài ra, kẻ tấn công còn thực hiện tấn công DLL side-loading để duy trì sự bền bỉ (persistence) và thực hiện các hoạt động trinh sát. Đáng chú ý, mã độc được tiêm vào tiến trình hợp lệ DbgView64.exe sau khi ransomware đã được triển khai, cho thấy mục tiêu không chỉ dừng lại ở việc mã hóa dữ liệu mà còn là duy trì quyền truy cập lâu dài để phục vụ các mục đích khai thác khác.

Các chuyên gia nhận định rằng DragonForce đã chuyển dịch từ mô hình Ransomware-as-a-Service (RaaS) truyền thống sang một cấu trúc băng nhóm có tổ chức cao, với năng lực phát triển kỹ thuật tấn công ngày càng tinh vi và khó lường.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept