Operadores do ransomware DragonForce desenvolveram uma tática de invasão que utiliza o ecossistema do Microsoft Teams para mascarar o tráfego de comando e controle (C2). Segundo pesquisadores da Symantec, a técnica foi identificada após a invasão de uma empresa de serviços nos Estados Unidos, onde os atacantes mantiveram acesso persistente por dois meses sem levantar suspeitas.
O ataque utiliza um backdoor personalizado, denominado "Backdoor.Turn", que se integra à infraestrutura legítima de colaboração. Ao simular tráfego comum de comunicação corporativa, os criminosos conseguem exfiltrar dados e enviar comandos para sistemas comprometidos enquanto contornam as soluções de monitoramento de rede tradicionais.
A mecânica da dissimulação
A sofisticação do método reside no uso de servidores TURN (Traversal Using Relays around NAT) operados pela Microsoft. O malware solicita um token de visitante anônimo aos serviços de back-end do Teams e Skype, utilizando esses relés para estabelecer uma conexão QUIC direta com o servidor de controle dos atacantes. Essa abordagem transforma a confiança inerente que as empresas depositam em ferramentas de produtividade em uma vulnerabilidade crítica.
Como todo o tráfego parece originar-se ou destinar-se a servidores da Microsoft, ferramentas de segurança baseadas em análise de tráfego falham em identificar a anomalia. A Symantec classificou a tática como um exemplo de "cyber tradecraft" excepcional, destacando que a infraestrutura de colaboração torna-se o próprio túnel para a atividade maliciosa.
Implicações para a cibersegurança
A ascensão do modelo de Ransomware-as-a-Service (RaaS), adotado pelo DragonForce, facilita a disseminação dessas técnicas entre diversos grupos criminosos. A conexão do grupo com o coletivo Scattered Spider, conhecido por ataques de alto perfil, sugere que essa metodologia pode ser replicada em larga escala contra outras organizações globais.
Para as empresas, o desafio é reavaliar a visibilidade sobre o tráfego que é considerado "confiável". Se a infraestrutura de nuvem, que antes era o perímetro de segurança, torna-se o meio de ocultação, as equipes de defesa precisam adotar estratégias de monitoramento mais granulares, focadas no comportamento do endpoint e não apenas no destino do tráfego de rede.
O futuro da detecção
O caso permanece como o primeiro registro documentado dessa técnica específica, deixando em aberto a questão sobre quantos outros grupos já utilizam vetores semelhantes. A dificuldade de identificar a origem do tráfego em ambientes de nuvem híbrida coloca em xeque a eficácia dos firewalls convencionais.
A vigilância constante sobre os tokens de acesso e o comportamento de aplicações de terceiros no ambiente corporativo será o próximo campo de batalha. Resta saber se a Microsoft ou outras gigantes de software implementarão restrições adicionais para impedir o uso de seus relés por agentes externos não autorizados.
O cenário exige uma mudança de paradigma na forma como o tráfego de aplicações SaaS é auditado, forçando as empresas a questionarem a integridade de cada conexão que atravessa suas redes. Com reportagem de Brazil Valley
Source · The Register
