Ransomware DragonForce Usa Servidores Microsoft Teams para Ocultar Tráfego Malicioso
Operadores do ransomware DragonForce estão empregando uma tática inovadora, utilizando servidores Microsoft Teams para mascarar seu tráfego de comando e controle. Essa técnica explora o protocolo TURN, normalmente usado para comunicação em tempo real, para disfarçar atividades maliciosas como tráfego legítimo da plataforma.
MundiX News·20 de junho de 2026·6 min de leitura·👁 5 views
Operadores da gangue de ransomware DragonForce começaram a utilizar uma tática incomum para disfarçar suas atividades. Conforme relatado por pesquisadores das empresas Symantec e Carbon Black, em um ataque recente, hackers usaram um backdoor customizado, o Backdoor.Turn, que disfarça a troca de dados com o servidor de comando e controle como tráfego normal do Microsoft Teams.
Especialistas escrevem que o grupo DragonForce está ativo pelo menos desde 2023 e, nos últimos meses, aprimorou significativamente seu conjunto de ferramentas. Além disso, o grupo de hackers opera sob um modelo "cartel" e já foi anteriormente associado ao Scattered Spider. O novo malware do DragonForce é escrito em Go e utiliza o protocolo TURN (Traversal Using Relays around NAT), que o Microsoft Teams emprega para entregar mensagens aos clientes quando uma conexão direta não pode ser estabelecida.
A configuração funciona da seguinte maneira: o backdoor recebe um token de visitante anônimo do Teams através da infraestrutura da Microsoft, utiliza um relay TURN legítimo para estabelecer uma conexão e, em seguida, abre uma sessão QUIC com o servidor de comando e controle real dos atacantes. Como resultado, as soluções de segurança detectam apenas as requisições aos servidores do Microsoft Teams, sem perceber que tráfego malicioso está sendo transmitido através deste canal. Pesquisadores observam que, no ano passado, especialistas da empresa Praetorian demonstraram um conceito semelhante chamado Ghost Calls. Na época, tratava-se apenas da possibilidade teórica de usar credenciais TURN temporárias no Microsoft Teams e Zoom para criar túneis de comunicação ocultos. O malware Backdoor.Turn se tornou o primeiro caso conhecido de aplicação de tal abordagem em ataques reais.
De acordo com a Symantec, o backdoor foi utilizado durante um ataque a uma empresa de serviços americana não identificada. Presume-se que, antes disso, os invasores obtiveram acesso através de uma vulnerabilidade desconhecida em um servidor SQL ou MSSQL, ou adquiriram acesso de outros criminosos. Após a comprometimento, os atacantes empregaram a técnica de DLL sideloading para executar malware adicional, se estabeleceram no sistema, criaram contas falsas e alteraram as configurações de segurança do Windows. Os especialistas destacam particularmente um conjunto de drivers que os atacantes usaram como parte da abordagem BYOVD (Bring Your Own Vulnerable Driver). Assim, os hackers exploraram drivers assinados vulneráveis da Huawei, Topaz Antifraud, Tower of Fantasy e K7 Security para obter privilégios de nível de kernel e encerrar as soluções de segurança. Além disso, um driver malicioso chamado ABYSSWORKER, disfarçado de produto da Palo Alto Networks, também foi utilizado no ataque.
O Backdoor.Turn foi implantado no processo DbgView64.exe logo após o lançamento do ransomware DragonForce. Na opinião dos pesquisadores, isso pode indicar a preparação de um canal para acesso futuro à rede da vítima. A funcionalidade do novo backdoor inclui a execução de comandos, o lançamento de processos, a varredura de rede, a busca por objetos LDAP e Active Directory, a coleta de certificados TLS, o roubo de credenciais de navegadores e outras opções para realizar reconhecimento dentro da rede. Segundo os pesquisadores, esta campanha demonstra um "nível excepcionalmente alto" de preparação dos invasores e prova que os grupos de ransomware estão cada vez mais desenvolvendo suas próprias ferramentas complexas em vez de usar malware de código aberto.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Operadores da gangue de ransomware DragonForce começaram a utilizar uma tática incomum para disfarçar suas atividades. Conforme relatado por pesquisadores das empresas Symantec e Carbon Black, em um ataque recente, hackers usaram um backdoor customizado, o Backdoor.Turn, que disfarça a troca de dados com o servidor de comando e controle como tráfego normal do Microsoft Teams.
Especialistas escrevem que o grupo DragonForce está ativo pelo menos desde 2023 e, nos últimos meses, aprimorou significativamente seu conjunto de ferramentas. Além disso, o grupo de hackers opera sob um modelo "cartel" e já foi anteriormente associado ao Scattered Spider. O novo malware do DragonForce é escrito em Go e utiliza o protocolo TURN (Traversal Using Relays around NAT), que o Microsoft Teams emprega para entregar mensagens aos clientes quando uma conexão direta não pode ser estabelecida.
A configuração funciona da seguinte maneira: o backdoor recebe um token de visitante anônimo do Teams através da infraestrutura da Microsoft, utiliza um relay TURN legítimo para estabelecer uma conexão e, em seguida, abre uma sessão QUIC com o servidor de comando e controle real dos atacantes. Como resultado, as soluções de segurança detectam apenas as requisições aos servidores do Microsoft Teams, sem perceber que tráfego malicioso está sendo transmitido através deste canal. Pesquisadores observam que, no ano passado, especialistas da empresa Praetorian demonstraram um conceito semelhante chamado Ghost Calls. Na época, tratava-se apenas da possibilidade teórica de usar credenciais TURN temporárias no Microsoft Teams e Zoom para criar túneis de comunicação ocultos. O malware Backdoor.Turn se tornou o primeiro caso conhecido de aplicação de tal abordagem em ataques reais.
De acordo com a Symantec, o backdoor foi utilizado durante um ataque a uma empresa de serviços americana não identificada. Presume-se que, antes disso, os invasores obtiveram acesso através de uma vulnerabilidade desconhecida em um servidor SQL ou MSSQL, ou adquiriram acesso de outros criminosos. Após a comprometimento, os atacantes empregaram a técnica de DLL sideloading para executar malware adicional, se estabeleceram no sistema, criaram contas falsas e alteraram as configurações de segurança do Windows. Os especialistas destacam particularmente um conjunto de drivers que os atacantes usaram como parte da abordagem BYOVD (Bring Your Own Vulnerable Driver). Assim, os hackers exploraram drivers assinados vulneráveis da Huawei, Topaz Antifraud, Tower of Fantasy e K7 Security para obter privilégios de nível de kernel e encerrar as soluções de segurança. Além disso, um driver malicioso chamado ABYSSWORKER, disfarçado de produto da Palo Alto Networks, também foi utilizado no ataque.
O Backdoor.Turn foi implantado no processo DbgView64.exe logo após o lançamento do ransomware DragonForce. Na opinião dos pesquisadores, isso pode indicar a preparação de um canal para acesso futuro à rede da vítima. A funcionalidade do novo backdoor inclui a execução de comandos, o lançamento de processos, a varredura de rede, a busca por objetos LDAP e Active Directory, a coleta de certificados TLS, o roubo de credenciais de navegadores e outras opções para realizar reconhecimento dentro da rede. Segundo os pesquisadores, esta campanha demonstra um "nível excepcionalmente alto" de preparação dos invasores e prova que os grupos de ransomware estão cada vez mais desenvolvendo suas próprias ferramentas complexas em vez de usar malware de código aberto.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
