กลุ่มแรนซัมแวร์ DragonForce ได้ใช้มัลแวร์ที่พัฒนาขึ้นมาโดยเฉพาะ และใช้ชื่อว่า Backdoor.Turn เพื่อใช้ในการซ่อนการรับส่งข้อมูลของ Command-and-Control ไว้ภายใน Relay Infrastructure ของ Microsoft Teams
Backdoor ประเภทนี้ใช้ประโยชน์จากโปรโตคอล Traversal Using Relays around NAT (TURN) ซึ่งเป็นโปรโตคอลที่ Microsoft Teams ใช้ในการส่งต่อข้อมูลเมื่อไม่สามารถเชื่อมต่อโดยตรงไปยังเครื่องผู้ใช้งานได้ (เช่น กรณีที่เครื่อง client อยู่ภายใต้เครือข่ายส่วนตัว หรือ Private Network)
โดย DragonForce เป็นกลุ่มแรนซัมแวร์ที่เคลื่อนไหวมาตั้งแต่ปี 2023 โดยมีรูปแบบการใช้โครงสร้างในลักษณะ Cartel-style และพบว่ามีความเชื่อมโยงกับกลุ่มแฮ็กเกอร์ชื่อดังอย่าง Scattered Spider
ตามรายงานของนักวิจัยจาก Symantec ซึ่งเป็นบริษัทด้านความปลอดภัยทางไซเบอร์ระบุว่า ผู้โจมตีได้ใช้มัลแวร์ที่พัฒนาขึ้นมาโดยเฉพาะด้วยภาษา Go ในการโจมตีบริษัทผู้ให้บริการรายใหญ่แห่งหนึ่งในสหรัฐอเมริกา
มัลแวร์ Backdoor.Turn ใช้ประโยชน์จาก TURN infrastructure ของ Teams โดยการขอรับโทเค็นจากผู้ที่เข้ามาใช้งาน Teams แบบไม่ระบุตัวตน จากนั้นจะใช้ระบบ TURN relay ที่ถูกต้องและเป็นทางการของ Microsoft ในช่วงการตั้งค่าการเชื่อมต่อ ก่อนที่จะทำการเชื่อมต่อไปยัง C2 Server ของผู้โจมตี
ส่งผลให้ผู้ดูแลระบบมองเห็นเพียงปริมาณการรับส่งข้อมูล (Traffic) ที่มีความเกี่ยวข้องกับ infrastructure ของ Microsoft Teams เท่านั้น จึงทำให้มัลแวร์สามารถซ่อนการรับส่งข้อมูลภายในเครือข่ายที่มีความน่าเชื่อถือได้อย่างแนบเนียน
เมื่อปีที่ผ่านมา บริษัท Praetorian ได้พัฒนาเทคนิคใหม่ที่เรียกว่า Ghost Calls ซึ่งแสดงให้เห็นว่า Temporary credentials ของระบบ TURN สำหรับ Teams และ Zoom นั้นสามารถถูก Hijack เพื่อสร้างช่องทางการสื่อสารที่สามารถซ่อน conferencing infrastructure ได้
แม้ว่าเทคนิค Ghost Calls จะแสดงให้เห็นถึงแนวคิดนี้ในปี 2025 แต่ Backdoor.Turn ถือว่าเป็นมัลแวร์ที่มีการนำไปใช้ในการโจมตีจริง พบว่ามีการใช้ประโยชน์จาก TURN relays ของ Microsoft Teams เพื่อใช้ในการสื่อสารกับ C2 Server
Symantec ระบุว่า Backdoor.Turn เป็นมัลแวร์ RAT ที่ใช้ภาษา Go ถือเป็นมัลแวร์ตัวแรกที่มีการใช้ประโยชน์จาก TURN relay ของ Microsoft Teams เพื่อซ่อนการรับส่งข้อมูลของ C2 Server
นักวิจัยยังเน้นย้ำถึงการใช้ประโยชน์จากไดรเวอร์ HWAuidoOs2Ec.sys ของ Huawei (หรือที่เรียกว่า Havoc Process Terminator) ซึ่งถูกนำมาใช้เพื่อหลบเลี่ยงการตรวจจับในเทคนิค Bring Your Own Vulnerable Driver (BYOVD)
การโจมตีของ DragonForce
Symantec ระบุว่า การโจมตีดังกล่าวตรวจพบในเดือนธันวาคม 2025 มีแนวโน้มว่าจะเริ่มต้นขึ้นจากการใช้ประโยชน์จากช่องโหว่ที่ยังไม่เป็นที่รู้จักในเซิร์ฟเวอร์ SQL หรือ MSSQL
เมื่อผู้โจมตีสามารถเข้าถึงระบบได้แล้วจะมีการดาวน์โหลดไฟล์ ZIP ที่มีไฟล์ VirtualBox/DbgView ที่ถูกต้อง และไฟล์ DLL ที่เป็นอันตรายซึ่งใช้สำหรับการติดตั้งมัลแวร์แบบ sideloading
ในขั้นตอนนี้ ผู้โจมตีจะพยายามแฝงตัวอยู่ในระบบ โดยการสร้างบัญชีผู้ใช้ปลอม และใช้ประโยชน์จาก LimitBlankPassword security policy ใน Windows เพื่อให้เข้าถึงระบบได้ง่ายขึ้น และทำการแก้ไข Firewall rules
ถัดมาจะมีการใช้เทคนิค BYOVD ร่วมกับไดรเวอร์หลายตัว เช่น HWAuidoOs2Ec.sys ของ Huawei, wsftprm.sys ของ Topaz Antifraud (CVE-2023-52271), GameDriverx64.sys ของเกม Tower of Fantasy (CVE-2025-61155) และ K7RKScan.sys ของ K7 Security (CVE-2025-1055) เพื่อให้ได้สิทธิ์ในระดับ Kernel และปิดการทำงานของระบบรักษาความปลอดภัยบนเครื่องโฮสต์
นอกจากนี้ ผู้โจมตียังได้ใช้ ABYSSWORKER ซึ่งเป็นไดรเวอร์อันตรายที่พัฒนาขึ้นมาโดยเฉพาะ โดยปลอมตัวเป็นไดรเวอร์ที่ถูกต้องของ Palo Alto
มัลแวร์ RAT อย่าง Backdoor.Turn ถูกฝังเข้าไปในไฟล์ DbgView64.exe หลังจากติดตั้งแรนซัมแวร์แล้ว ซึ่งมีจุดประสงค์เพื่อคงอยู่ในระบบให้นานที่สุด และสามารถเข้าถึงได้ในอนาคต
มัลแวร์จะรับ token ของผู้ใช้งานในรูปแบบไม่ระบุตัวตน โดยใช้ TURN relay server ที่ถูกต้องและเป็นทางการของ Microsoft ในช่วงการตั้งค่าการเชื่อมต่อ และสร้างการสื่อสารกับ C2 Server
โดยความสามารถของมัลแวร์จะประกอบไปด้วย การรันคำสั่ง (Command execution), การสร้างโปรเซส, การสแกนเครือข่าย, การดักจับ certificate TLS (TLS certificate capturing), การค้นหาข้อมูลในระบบ LDAP/Active Directory, การเก็บรวบรวมชื่อหัวข้อของเว็บไซต์ (Website title) และการขโมย Credentials จากเว็บเบราว์เซอร์
หลังจากทำการสอดแนม และหลบเลี่ยงการตรวจจับแล้ว ผู้โจมตีจะทำการขโมยข้อมูล และติดตั้งแรนซัมแวร์ DragonForce รวมไปถึงเข้ารหัสระบบของผู้ใช้งาน
นักวิจัยระบุว่า ผู้โจมตีที่อยู่เบื้องหลังแคมเปญนี้ใช้เทคนิคการโจมตีทางไซเบอร์ที่ซับซ้อนเป็นพิเศษ โดย Symantec ได้เผยแพร่ IOCs เพื่อช่วยให้ผู้ดูแลระบบสามารถตรวจจับ และป้องกันการโจมตีดังกล่าวได้
Indicators of Compromise (IOCs)
File indicators
- 82b37a92589dfd4d67ca87eb9e52ac8e682e8e60d2211f59074cd5ccc693013b – Downloader
- 821da79d727351dd67ce5df7950e9a3de6647a3cf474bb3a093f67507fed92a6 – Backdoor.Turn
- b6628d201c2a68d2a3de2a87de7a5acfe21b101a97928e1c8d5c82102d967383 – GameDriverx64 vulnerable driver
- ce66b8221446c9b6d83f0ce6382f430e519601641e5daaaf1ca7a8a8806cb0b0 – Shellcode containing Backdoor.Turn
- f174c19902523dcf005fa044b6598403a5e5c0a5982398d1bc0dcc5ec1cd351b – Sideloaded DLL mimicking VirtualBox
- 142bac0e2148e0d47891b6cd7311195c4acbe33b700fad54a201c52a2bc46219 – ADExplore
- 8395b621bb4415090f232c59fc41d24ea41a519b58eabe512f3ae7d2fdf049a3 – ADExplore
- 9335f61f8ad276d94455c5b6876fea48152c3cea759f2598c8108ee461fa5759 – Malicious ZIP archive
- cd078957167e1af4de39aecdb981cd14156fa81d5a9c6ac51e74ae5b6199a12a – Malicious ZIP archive
- b16e217cdca19e00c1b68bdfb28ead53b20adeabd6edcd91542f9fbf48942877 – K7 vulnerable driver
- d20a3c928761fe00ac522eeb474612b5804cd9108453ea8591106d5d4428428e - sideloaded DLL mimicking VirtualBox
- 8284c8676cc22c4b2e66826ac16986da7ddecba1f2776b16771be17bfdc45dc2 – ABYSSWORKER driver
- 65ab49119c845801f29a57e8aa177146b2ffbd289d4278109b146f933380f951 – ABYSSWORKER driver
- 6bbf10bcbef7ac5102b54c81137859891a3802dbacd888be90f990d50e18b0b4 – AV killer
- 252a8bb2eb9c96c5e6cc7cab822e2ed0d508032f9350351221781684e86c03ab – Topaz Antifraud vulnerable driver
- 8a4033425d36cd99fe23e6faef9764fbf555f362ebdb5b72379342fbbe4c5531 – Havoc Process Terminator
- e45b18c93d187aac5c4486f57483bc87580e15def82a312bfb377ff16eb96b22 – DragonForce ransomware
- 087f002df0a02c8c74f3ba5cd99cf29fb9efff38bf57b3d808e34a5dd4200dd2 – Tower of Fantasy vulnerable driver
- 048e18416177de2ead251abdf4d89837f6807c6aba4d5b1debe49adfdecbf05c – Backdoor.Turn
- 6f9fbe29f8cc2788e2bc9d631e0eea2a8e9837076837b55838005a0e654f0a9e – AV killer
- d0da2832ae1e13a98f7ce7e33a66c1b0d9797b81f69ece134e4462ea55ac923e – Netscan
- aea26980059ef2ad11e99556a4edfa1f8ec769fa9f06aa573b81bedf319954b5 – Netscan
Network indicators
- projetosmecanicos.com[.]br – C&C for downloading additional tools
- socialbizsolutions[.]com - C&C for downloading additional tools
- professionalhomebasedbusiness[.]com - C&C for downloading additional tools
- safefire[.]jo - C&C for downloading additional tools
- glanz-gmbh[.]de - C&C for downloading additional tools
- turnkeyaiagents[.]com - C&C for downloading additional tools
- comunidadesparentais.com[.]br - C&C for downloading additional tools
- mysimerp[.]net - C&C for downloading additional tools
- hxxp://192.36.27[.]51/TechSupV18Fix3.zip - Malicious zip archive download URL
- 62.164.177[.]25 - Backdoor.Turn C&C
ที่มา : bleepingcomputer
You must be logged in to post a comment.