Um grupo de cibercriminosos, identificado como DragonForce, conseguiu manter uma invasão silenciosa na rede de uma empresa de serviços nos Estados Unidos por um período de até dois meses. A estratégia utilizada pelos atacantes envolveu a camuflagem de tráfego de comando e controle diretamente dentro da infraestrutura do Microsoft Teams, dificultando a detecção por parte das equipes de segurança corporativa.
O incidente foi detalhado em um relatório técnico divulgado pela Symantec e pela Carbon Black. A técnica permitiu que o malware, classificado como um cavalo de troia de acesso remoto, operasse sem levantar suspeitas ao mimetizar conexões legítimas de voz e vídeo da plataforma de colaboração da Microsoft.
Abuso da infraestrutura de servidores TURN
O malware, nomeado pelos pesquisadores como Backdoor.Turn, foi desenvolvido na linguagem Go e explorava os servidores TURN do Microsoft Teams. Ao obter um token de visitante anônimo, o programa estabelecia comunicações que pareciam ser acessos comuns ao serviço, utilizando o protocolo de transporte QUIC para tornar o tráfego malicioso indistinguível de uma conexão convencional.
Essa camuflagem impedia que os sistemas de monitoramento identificassem a exfiltração de dados ou a comunicação com servidores externos controlados pelos invasores. O backdoor possuía capacidades avançadas, incluindo a execução remota de comandos, varredura de rede e o roubo de credenciais armazenadas em navegadores.
Técnicas de evasão e persistência no sistema
Além da manipulação do Teams, os criminosos empregaram a técnica conhecida como BYOVD, ou “traga seu próprio driver vulnerável”. Ao instalar um driver legítimo da Huawei que continha falhas de segurança conhecidas, os atacantes conseguiram elevar privilégios no sistema, contornando soluções de proteção como antivírus e ferramentas de detecção e resposta de endpoint.
A persistência na rede foi garantida por meio de alterações nas configurações do Windows. Os invasores desativaram políticas de segurança que bloqueavam senhas em branco em contas administrativas e criaram novos perfis de usuário, assegurando caminhos alternativos para manter o acesso caso a intrusão inicial fosse descoberta.
Invasão inicial e impacto do ransomware
A análise forense sugere que a porta de entrada para a rede da vítima ocorreu através de uma vulnerabilidade em um servidor SQL ou MSSQL. Após consolidar sua presença e movimentar-se lateralmente pela infraestrutura, o grupo DragonForce finalmente executou a fase final do ataque: a implantação de um ransomware que criptografou os sistemas e comprometeu dados sensíveis da organização.
O uso de táticas sofisticadas de evasão, combinadas com a exploração de serviços amplamente utilizados, coloca o DragonForce entre os coletivos de ransomware mais persistentes e capazes da atualidade. Até o momento, não foram divulgadas informações sobre possíveis negociações de resgate ou o impacto financeiro total decorrente do incidente.
