Evolução das táticas de ransomware
Atores de ameaças associados ao ransomware DragonForce têm sido observados usando um trojan de acesso remoto (RAT) personalizado baseado em Go chamado Backdoor.Turn para ocultar o tráfego de comando e controle (C2) dentro da infraestrutura de retransmissão do Microsoft Teams. De acordo com descobertas da Symantec e Carbon Black, de propriedade da Broadcom, o backdoor foi implantado contra uma grande empresa de serviços dos EUA.
Esta técnica representa uma evolução significativa nas operações de ransomware, onde os atacantes buscam camuflar seu tráfego malicioso usando protocolos e serviços legítimos amplamente utilizados, dificultando a detecção por ferramentas de segurança tradicionais que focam em conexões de rede anômalas.
Análise técnica do Backdoor.Turn
O Backdoor.Turn é desenvolvido em Go, uma linguagem conhecida por sua eficiência e capacidade de gerar binários estáticos que são difíceis de detectar. Ao utilizar a infraestrutura do Microsoft Teams, os atacantes aproveitam a confiança inerente que as organizações têm em suas ferramentas de colaboração, permitindo que o tráfego de C2 passe despercebido através de firewalls e gateways de segurança.
O malware se comunica com servidores controlados pelos atacantes através de canais criptografados que imitam o tráfego legítimo do Teams. Isso permite que os atacantes mantenham o acesso persistente às redes comprometidas sem disparar alertas de segurança baseados em assinatura ou comportamento.
Impacto e alcance do ataque
A campanha visa organizações que dependem fortemente do Microsoft Teams para operações diárias, incluindo empresas de serviços, saúde e finanças. A capacidade de esconder o tráfego C2 dentro de uma plataforma legítima aumenta significativamente o tempo de residência dos atacantes na rede, permitindo-lhes mover-se lateralmente e exfiltrar dados antes da detecção.
Além do ransomware, o uso de backdoors como o Backdoor.Turn sugere que os atacantes podem estar buscando acesso persistente para espionagem de longo prazo, não apenas para criptografia de dados e extorsão imediata.
Medidas de defesa e monitoramento
As equipes de segurança devem monitorar o tráfego de saída do Microsoft Teams para padrões anômalos, como conexões a endpoints não autorizados ou volumes de dados incomuns. A implementação de soluções de detecção de ameaças que analisam o comportamento do usuário e do dispositivo pode ajudar a identificar atividades suspeitas associadas ao Backdoor.Turn.
Além disso, as organizações devem revisar as configurações de segurança do Microsoft Teams, garantindo que apenas usuários autorizados possam acessar recursos sensíveis e que o tráfego de rede seja devidamente auditado e registrado.
Recomendações para equipes de SOC
1. Monitorar conexões de saída do Microsoft Teams para endpoints desconhecidos. 2. Implementar análise de comportamento de rede para detectar tráfego C2 oculto. 3. Revisar logs de autenticação do Teams para atividades suspeitas. 4. Atualizar políticas de segurança para restringir o acesso a recursos do Teams. 5. Considerar a segmentação de rede para isolar tráfego de colaboração.