- Регистрация
- 29.05.26
- Сообщения
- 74
- Реакции
- 31
Для просмотра ссылки Войди или Зарегистрируйся
злоумышленники, связанные с Для просмотра ссылки Войдиили ЗарегистрируйсяБыло замечено, что используют собственную троянскую программу удаленного доступа (RAT) на языке Go под названием Backdoor.Turn для сокрытия трафика управления и контроля (C2) внутри инфраструктуры ретрансляции Microsoft Teams.
Согласно данным компаний Symantec и Carbon Black, принадлежащих Broadcom, бэкдор был развернут против крупной американской сервисной компании. Название компании не разглашается.
«Backdoor.Turn получает анонимный токен посетителя Teams от служб идентификации Microsoft, поддерживаемых Skype, использует легитимный ретранслятор Microsoft TURN для установления соединения, а затем запускает сессию QUIC с реальным сервером управления и контроля (C2) злоумышленника», — Для просмотра ссылки Войдиили Зарегистрируйся в отчете команды Threat Hunter, предоставленном изданию The Hacker News.
«Сетевым специалистам по защите от угроз был виден только исходящий трафик на легитимные серверы Microsoft Teams. Злоумышленники находились в сети жертвы от одного до двух месяцев».
Это событие знаменует собой первый публично задокументированный случай злоупотребления злоумышленниками Для просмотра ссылки Войдиили Зарегистрируйся инфраструктурой ретрансляции
Предполагается, что злоумышленник получил первоначальный доступ, используя уязвимость в сервере SQL или MS-SQL, хотя точная природа этой уязвимости неизвестна. Также возможно, что доступ был получен через брокера первоначального доступа (IAB).
Первоначальная вредоносная активность в сети жертвы началась в декабре 2025 года, когда злоумышленники запустили команду PowerShell для размещения ZIP-архива под предлогом исправления для технической поддержки. Этот ZIP-файл отвечал за запуск атаки с использованием DLL-библиотек, которая затем запускала вредоносную DLL для проведения разведки, обеспечения постоянного присутствия и подавления работы программного обеспечения безопасности с помощью драйвера Huawei ("HWAuidoOs2Ec.sys").
Это достигается с помощью метода атаки, называемого «использование собственного уязвимого драйвера» (BYOVD). Этот драйвер был использован в Для просмотра ссылки Войдиили Зарегистрируйся направленной на жителей США, ищущих документы, связанные с налогами, хотя, как утверждается, это произошло уже после инцидента с программой-вымогателем.
Некоторые другие драйверы, используемые для этой цели, перечислены ниже.
Примечательно, что атака была осуществлена путем внедрения Backdoor.Turn в легитимный процесс "DbgView64.exe" после развертывания программы-вымогателя DragonForce. Это говорит о попытке сохранить доступ к скомпрометированному хосту для последующих атак или для его перепродажи с целью получения прибыли.
В основе механизма Backdoor.Turn лежит технология скрытой связи C2, называемая Для просмотра ссылки Войдиили Зарегистрируйся , которая была описана Praetorian в августе 2024 года. Бэкдор поддерживает широкий спектр возможностей, включая выполнение команд, создание процессов, сканирование сети, поиск в LDAP и Active Directory, горизонтальное перемещение на основе учетных данных и кражу учетных данных браузера.
Для просмотра ссылки Войдиили Зарегистрируйся
злоумышленники, связанные с Для просмотра ссылки Войдиили ЗарегистрируйсяБыло замечено, что используют собственную троянскую программу удаленного доступа (RAT) на языке Go под названием Backdoor.Turn для сокрытия трафика управления и контроля (C2) внутри инфраструктуры ретрансляции Microsoft Teams.
Согласно данным компаний Symantec и Carbon Black, принадлежащих Broadcom, бэкдор был развернут против крупной американской сервисной компании. Название компании не разглашается.
«Backdoor.Turn получает анонимный токен посетителя Teams от служб идентификации Microsoft, поддерживаемых Skype, использует легитимный ретранслятор Microsoft TURN для установления соединения, а затем запускает сессию QUIC с реальным сервером управления и контроля (C2) злоумышленника», — Для просмотра ссылки Войдиили Зарегистрируйся в отчете команды Threat Hunter, предоставленном изданию The Hacker News.
«Сетевым специалистам по защите от угроз был виден только исходящий трафик на легитимные серверы Microsoft Teams. Злоумышленники находились в сети жертвы от одного до двух месяцев».
Это событие знаменует собой первый публично задокументированный случай злоупотребления злоумышленниками Для просмотра ссылки Войдиили Зарегистрируйся инфраструктурой ретрансляции
Для просмотра ссылки Войдиили Зарегистрируйся
Предполагается, что злоумышленник получил первоначальный доступ, используя уязвимость в сервере SQL или MS-SQL, хотя точная природа этой уязвимости неизвестна. Также возможно, что доступ был получен через брокера первоначального доступа (IAB).
Первоначальная вредоносная активность в сети жертвы началась в декабре 2025 года, когда злоумышленники запустили команду PowerShell для размещения ZIP-архива под предлогом исправления для технической поддержки. Этот ZIP-файл отвечал за запуск атаки с использованием DLL-библиотек, которая затем запускала вредоносную DLL для проведения разведки, обеспечения постоянного присутствия и подавления работы программного обеспечения безопасности с помощью драйвера Huawei ("HWAuidoOs2Ec.sys").
Это достигается с помощью метода атаки, называемого «использование собственного уязвимого драйвера» (BYOVD). Этот драйвер был использован в Для просмотра ссылки Войдиили Зарегистрируйся направленной на жителей США, ищущих документы, связанные с налогами, хотя, как утверждается, это произошло уже после инцидента с программой-вымогателем.
Некоторые другие драйверы, используемые для этой цели, перечислены ниже.
В основе механизма Backdoor.Turn лежит технология скрытой связи C2, называемая Для просмотра ссылки Войдиили Зарегистрируйся , которая была описана Praetorian в августе 2024 года. Бэкдор поддерживает широкий спектр возможностей, включая выполнение команд, создание процессов, сканирование сети, поиск в LDAP и Active Directory, горизонтальное перемещение на основе учетных данных и кражу учетных данных браузера.
«Бэкдор запрашивает токен посетителя у бэкэнда Microsoft Teams/Skype, использует этот токен для взаимодействия с инфраструктурой, связанной с Teams (TURN relay), а затем устанавливает исходящее соединение», — пояснили Symantec и Carbon Black.
«Вредоносная программа получает анонимный токен аутентификации посетителя Teams, поддерживаемый службами идентификации Skype. Затем она использует легитимный сервер Microsoft в качестве сервера ретрансляции TURN во время установления соединения. После установки соединения с помощью ретранслятора вредоносная программа устанавливает прямую сессию QUIC с сервером управления и контроля, что является вредоносным».
Полученные данные рисуют картину хакерской группы, использующей сложные методы киберпреступлений для осуществления масштабных целенаправленных атак, при этом скрывая от жертв информацию о тайной утечке данных. Это особенно важно, поскольку Hackledorb, злоумышленник, стоящий за DragonForce, перешел от традиционной модели «программы-вымогателя как услуга» (RaaS) к высокоорганизованной, формализованной картельной структуре.
«Оперативная хронология показывает закономерность непрерывного развития их возможностей, при этом внедрение высокотехнологичных методов становится отличительной чертой их деятельности после 2025 года», — заявила компания. «Развертывание Backdoor.Turn в сочетании с их многовекторным обходом защиты BYOVD делает их одной из самых способных и настойчивых группировок, использующих программы-вымогатели сегодня».
злоумышленники, связанные с Для просмотра ссылки Войди
Согласно данным компаний Symantec и Carbon Black, принадлежащих Broadcom, бэкдор был развернут против крупной американской сервисной компании. Название компании не разглашается.
«Backdoor.Turn получает анонимный токен посетителя Teams от служб идентификации Microsoft, поддерживаемых Skype, использует легитимный ретранслятор Microsoft TURN для установления соединения, а затем запускает сессию QUIC с реальным сервером управления и контроля (C2) злоумышленника», — Для просмотра ссылки Войди
«Сетевым специалистам по защите от угроз был виден только исходящий трафик на легитимные серверы Microsoft Teams. Злоумышленники находились в сети жертвы от одного до двух месяцев».
Это событие знаменует собой первый публично задокументированный случай злоупотребления злоумышленниками Для просмотра ссылки Войди
Предполагается, что злоумышленник получил первоначальный доступ, используя уязвимость в сервере SQL или MS-SQL, хотя точная природа этой уязвимости неизвестна. Также возможно, что доступ был получен через брокера первоначального доступа (IAB).
Первоначальная вредоносная активность в сети жертвы началась в декабре 2025 года, когда злоумышленники запустили команду PowerShell для размещения ZIP-архива под предлогом исправления для технической поддержки. Этот ZIP-файл отвечал за запуск атаки с использованием DLL-библиотек, которая затем запускала вредоносную DLL для проведения разведки, обеспечения постоянного присутствия и подавления работы программного обеспечения безопасности с помощью драйвера Huawei ("HWAuidoOs2Ec.sys").
Это достигается с помощью метода атаки, называемого «использование собственного уязвимого драйвера» (BYOVD). Этот драйвер был использован в Для просмотра ссылки Войди
Некоторые другие драйверы, используемые для этой цели, перечислены ниже.
- wsftprm.sys ( Для просмотра ссылки Войди
или Зарегистрируйся ) - GameDriverX64.sys ( Для просмотра ссылки Войди
или Зарегистрируйся ) - K7RKScan.sys ( Для просмотра ссылки Войди
или Зарегистрируйся ) - Для просмотра ссылки Войди
или Зарегистрируйся — специально разработанный вредоносный драйвер, ранее обнаруженный в атаках программы-вымогателя Medusa.
Примечательно, что атака была осуществлена путем внедрения Backdoor.Turn в легитимный процесс "DbgView64.exe" после развертывания программы-вымогателя DragonForce. Это говорит о попытке сохранить доступ к скомпрометированному хосту для последующих атак или для его перепродажи с целью получения прибыли.
В основе механизма Backdoor.Turn лежит технология скрытой связи C2, называемая Для просмотра ссылки Войди
Для просмотра ссылки Войди
злоумышленники, связанные с Для просмотра ссылки Войди
Согласно данным компаний Symantec и Carbon Black, принадлежащих Broadcom, бэкдор был развернут против крупной американской сервисной компании. Название компании не разглашается.
«Backdoor.Turn получает анонимный токен посетителя Teams от служб идентификации Microsoft, поддерживаемых Skype, использует легитимный ретранслятор Microsoft TURN для установления соединения, а затем запускает сессию QUIC с реальным сервером управления и контроля (C2) злоумышленника», — Для просмотра ссылки Войди
«Сетевым специалистам по защите от угроз был виден только исходящий трафик на легитимные серверы Microsoft Teams. Злоумышленники находились в сети жертвы от одного до двух месяцев».
Это событие знаменует собой первый публично задокументированный случай злоупотребления злоумышленниками Для просмотра ссылки Войди
Для просмотра ссылки Войди
Предполагается, что злоумышленник получил первоначальный доступ, используя уязвимость в сервере SQL или MS-SQL, хотя точная природа этой уязвимости неизвестна. Также возможно, что доступ был получен через брокера первоначального доступа (IAB).
Первоначальная вредоносная активность в сети жертвы началась в декабре 2025 года, когда злоумышленники запустили команду PowerShell для размещения ZIP-архива под предлогом исправления для технической поддержки. Этот ZIP-файл отвечал за запуск атаки с использованием DLL-библиотек, которая затем запускала вредоносную DLL для проведения разведки, обеспечения постоянного присутствия и подавления работы программного обеспечения безопасности с помощью драйвера Huawei ("HWAuidoOs2Ec.sys").
Это достигается с помощью метода атаки, называемого «использование собственного уязвимого драйвера» (BYOVD). Этот драйвер был использован в Для просмотра ссылки Войди
Некоторые другие драйверы, используемые для этой цели, перечислены ниже.
- wsftprm.sys ( Для просмотра ссылки Войди
или Зарегистрируйся ) - GameDriverX64.sys ( Для просмотра ссылки Войди
или Зарегистрируйся ) - K7RKScan.sys ( Для просмотра ссылки Войди
или Зарегистрируйся ) - Для просмотра ссылки Войди
или Зарегистрируйся — специально разработанный вредоносный драйвер, ранее обнаруженный в атаках программы-вымогателя Medusa.
В основе механизма Backdoor.Turn лежит технология скрытой связи C2, называемая Для просмотра ссылки Войди
«Бэкдор запрашивает токен посетителя у бэкэнда Microsoft Teams/Skype, использует этот токен для взаимодействия с инфраструктурой, связанной с Teams (TURN relay), а затем устанавливает исходящее соединение», — пояснили Symantec и Carbon Black.
«Вредоносная программа получает анонимный токен аутентификации посетителя Teams, поддерживаемый службами идентификации Skype. Затем она использует легитимный сервер Microsoft в качестве сервера ретрансляции TURN во время установления соединения. После установки соединения с помощью ретранслятора вредоносная программа устанавливает прямую сессию QUIC с сервером управления и контроля, что является вредоносным».
Полученные данные рисуют картину хакерской группы, использующей сложные методы киберпреступлений для осуществления масштабных целенаправленных атак, при этом скрывая от жертв информацию о тайной утечке данных. Это особенно важно, поскольку Hackledorb, злоумышленник, стоящий за DragonForce, перешел от традиционной модели «программы-вымогателя как услуга» (RaaS) к высокоорганизованной, формализованной картельной структуре.
«Оперативная хронология показывает закономерность непрерывного развития их возможностей, при этом внедрение высокотехнологичных методов становится отличительной чертой их деятельности после 2025 года», — заявила компания. «Развертывание Backdoor.Turn в сочетании с их многовекторным обходом защиты BYOVD делает их одной из самых способных и настойчивых группировок, использующих программы-вымогатели сегодня».