Backdoor.turn

O ransomware DragonForce, ativo desde 2023, utiliza um malware personalizado chamado ‘Backdoor.Turn’ para esconder o tráfego de comando e controle dentro da infraestrutura de relé do Microsoft Teams. Esse backdoor explora o protocolo TURN (Traversal Using Relays around NAT) do Teams, que é usado para distribuir mensagens quando uma conexão direta não está disponível. Pesquisadores da Symantec relataram que os hackers usaram esse malware baseado em Go em um ataque contra uma grande empresa de serviços nos EUA. O ataque começou com a exploração de uma falha desconhecida em um servidor SQL, seguido pelo download de um arquivo ZIP contendo um executável legítimo e um DLL malicioso. Os atacantes conseguiram obter privilégios de nível de kernel e desativar ferramentas de segurança, utilizando técnicas de BYOVD (Bring Your Own Vulnerable Driver). O Backdoor.Turn permite execução de comandos, criação de processos, e roubo de credenciais, culminando na exfiltração de dados e na implantação do ransomware DragonForce. A Sophos destaca que essa campanha demonstra um nível excepcionalmente sofisticado de técnicas cibernéticas. A publicação inclui uma lista de indicadores de comprometimento (IoCs) para auxiliar na detecção e bloqueio de tais ataques.