ล้ำไปอีกขั้น! แรนซัมแวร์ DragonForce หลอกใช้เซิร์ฟเวอร์ Relay ของ Microsoft Teams ซ่อนทราฟฟิก C&C

สำนักข่าวไอที — ทีมวิจัยภัยคุกคามจาก Symantec และ Carbon Black ตรวจพบมัลแวร์ Backdoor ตัวใหม่ในชื่อ Backdoor.Turn ซึ่งถูกพัฒนาด้วยภาษา Go และถูกนำมาใช้ในแคมเปญโจมตีของกลุ่มแรนซัมแวร์ DragonForce โดยความน่ากลัวคือ มัลแวร์ตัวนี้สามารถพรางตาเครื่องมือตรวจจับ ด้วยการส่งทราฟฟิกฝังไปกับเซิร์ฟเวอร์ที่ถูกต้องของ Microsoft Teams

จากการตรวจสอบพบว่า มัลแวร์จะทำการขอ Visitor Token แบบไม่ระบุตัวตนจากบริการจัดการอัตลักษณ์ของ Skype (อยู่เบื้องหลัง Teams) จากนั้นจะหลอกใช้โครงสร้างพื้นฐาน TURN Relay ของ Microsoft เพื่อตั้งค่าการเชื่อมต่อ และเปิดเซสชันแบบ QUIC ตรงไปยังเซิร์ฟเวอร์ควบคุม (C&C) ที่แท้จริงของแฮกเกอร์ ทำให้ทีมเฝ้าระวัง (Defenders) ตรวจพบเพียงแค่ทราฟฟิกที่วิ่งไปยังเซิร์ฟเวอร์ Teams ที่ถูกต้องเท่านั้น

ในแคมเปญนี้ แฮกเกอร์ยังได้ใช้เทคนิคขั้นสูงร่วมด้วย เช่น:

• BYOVD (Bring Your Own Vulnerable Driver): หลอกใช้ประโยชน์จากช่องโหว่ในไดรเวอร์ที่มีลายเซ็นดิจิทัลถูกต้อง เพื่อสั่งปิดกระบวนการทำงานของโปรแกรม Antivirus/EDR ในระดับ Kernel

• DLL Sideloading: สำหรับรันโค้ดและดาวน์โหลดมัลแวร์เพิ่มเติม

• การฝังตัวถาวร (Persistence): แม้ว่าจะมีการรันแรนซัมแวร์เพื่อเข้ารหัสและขโมยข้อมูล (Data Exfiltration) ไปแล้ว แต่ Backdoor.Turn ก็ยังคงแอบฝังตัวอยู่ เพื่อให้แฮกเกอร์สามารถกลับเข้ามาควบคุมระบบ สแกนเครือข่ายภายใน (Lateral Movement) และขโมยรหัสผ่านจากเบราว์เซอร์ได้ตลอดเวลา

นักวิจัยระบุว่า นี่ถือเป็นครั้งแรกที่มีการตรวจพบมัลแวร์สายแรนซัมแวร์ที่พัฒนาเครื่องมือ Custom Tailored ที่มีความซับซ้อนสูง และหลอกใช้โครงสร้างพื้นฐาน TURN Relay ในลักษณะนี้อย่างเป็นระบบ