Grupo criminoso utiliza Microsoft Teams para esconder ataque de ransomware
Um grupo de cibercriminosos conhecido como DragonForce conseguiu manter uma invasão silenciosa na rede de uma grande empresa de serviços nos Estados Unidos por um período de até dois meses. A estratégia utilizada pelos atacantes envolveu uma técnica sofisticada de camuflagem, escondendo o tráfego de comando e controle dentro de conexões legítimas do Microsoft Teams.
ransomware: cenário e impactos
O caso, que expõe novas vulnerabilidades na segurança corporativa, foi detalhado em um relatório conjunto publicado pela Symantec e pela Carbon Black. A tática permitiu que os invasores operassem sem serem detectados, utilizando um cavalo de troia de acesso remoto (RAT) para controlar as máquinas das vítimas como se estivessem fisicamente presentes no local.
A camuflagem do tráfego malicioso no Microsoft Teams
Os pesquisadores identificaram que o malware, batizado de Backdoor.Turn, foi desenvolvido na linguagem Go. O programa abusava dos servidores TURN do Microsoft Teams, que integram a infraestrutura de voz e vídeo da plataforma, para estabelecer uma comunicação disfarçada.
Ao obter um token de visitante anônimo nos serviços de identidade da plataforma, o malware utilizava o protocolo QUIC para transmitir dados. Essa escolha técnica tornava a atividade maliciosa praticamente indistinguível das conexões comuns de trabalho, enganando as ferramentas de monitoramento de rede utilizadas pela empresa.
Técnicas avançadas de evasão e persistência
Além da camuflagem no Teams, os criminosos recorreram ao método BYOVD, que consiste em instalar um driver legítimo, porém vulnerável, da Huawei. Essa manobra permitiu que o grupo executasse códigos com privilégios elevados, contornando defesas de antivírus e soluções de EDR.
Para garantir a permanência na rede, os atacantes realizaram alterações estruturais no Windows. Eles desativaram restrições de senhas em contas administrativas e criaram novos usuários, estabelecendo caminhos alternativos caso a invasão inicial fosse descoberta pela equipe de TI.
O desfecho do ataque e o impacto do DragonForce
Acredita-se que a intrusão tenha começado através de uma falha em um servidor SQL ou MSSQL. Após meses de movimentação lateral, roubo de credenciais em navegadores e escaneamento de rede, o grupo finalmente ativou o ransomware, resultando no sequestro de dados e na criptografia dos sistemas da companhia.
O DragonForce consolida-se como um dos coletivos mais perigosos e persistentes da atualidade, com um histórico de ataques contra grandes redes varejistas. O nível de sofisticação empregado neste caso, conforme aponta a Symantec, coloca o grupo em um patamar de alta capacidade técnica, capaz de manipular protocolos de comunicação corporativa para atingir seus objetivos.
Você encontra mais notícias em nosso site www.sobralonline.com.br. Não deixe de acompanhar nossas atualizações e convido você a seguir nossas redes sociais em @SobralOnline.
