Атаки на крупные организации с использованием программ-вымогателей становятся всё более изощрёнными. Группировка DragonForce, действующая с июня 2023 года, продемонстрировала принципиально новый уровень технической оснащённости. Злоумышленники атаковали крупную американскую сервисную компанию, задействовав специально написанный бэкдор Backdoor.Turn на языке Go, который прячет управляющий трафик внутри легитимной инфраструктуры Microsoft Teams. Для сетевых защитников единственным видимым трафиком оставались исходящие соединения к серверам Microsoft Teams. Вредоносное присутствие на сети жертвы продолжалось от одного до двух месяцев.
Описание
Backdoor.Turn получает анонимный гостевой токен Teams от сервисов идентификации Microsoft, основанных на Skype. Затем он использует легитимный TURN-релей сервера Майкрософт для установки соединения. После этого запускается сессия поверх протокола QUIC - и трафик уходит уже на реальный командный сервер злоумышленников. Это первый известный случай применения TURN-релейной инфраструктуры для маскировки каналов управления в реальных атаках. Обычно вымогатели редко создают собственные инструменты, а тем более такие сложные, как Backdoor.Turn.
Помимо маскировки трафика, группировка применила технику "Принеси свой уязвимый драйвер" для обхода защитных механизмов. Особый интерес представляет новая атака, использующая драйвер Huawei HWAuidoOs2Ec.sys. Исследователи из Huntress задокументировали уязвимое состояние этого драйвера в марте 2026 года, уже после произошедшей атаки. DragonForce применила собственный метод, названный Havoc Process Terminator, для завершения процессов антивирусных и EDR-решений на уровне ядра операционной системы. Ранее эта уязвимость в реальных атаках не эксплуатировалась.
Предоставленный анализ цепочки атак показывает, что проникновение произошло через уязвимость в SQL-сервере. Возможно, доступ был приобретён у брокеров. Злоумышленники загрузили архив, содержавший легитимный исполняемый файл VirtualBox или DbgView вместе с вредоносной DLL. При запуске библиотека vboxrt.dll загружала код с управляющего сервера, который обеспечивал закрепление в системе, разведку и скрытное существование. Для удержания доступа хакеры настраивали параметры, позволяющие пустые пароли, добавляли учётные записи и изменяли правила брандмауэра.
Особого внимания заслуживает сложная стратегия использования драйверов. Помимо драйвера Huawei, злоумышленники применили известные уязвимости в драйверах Topaz Antifraud (CVE-2023-52271), Tower of Fantasy (CVE-2025-61155) и K7 Security Anti-Malware (CVE-2025-1055). Также был задействован самодельный вредоносный драйвер Abyss Worker, маскирующийся под легитимный драйвер Palo Alto Networks. Такое разнообразие техник характерно для группировок с высоким уровнем ресурсов и экспертизы.
Backdoor.Turn непосредственно внедряется в процесс DbgView64.exe для скрытности. Механизм его работы вдохновлён техникой Ghost Calls, представленной на конференции Black Hat в 2025 году. Суть в том, что сетевые защитные системы видят только трафик к серверам Teams, не подозревая о передаче данных злоумышленникам. Бэкдор обладает широкими возможностями: удалённое выполнение команд, сканирование сети с захватом TLS-сертификатов и заголовков веб-страниц, поиск по LDAP и Active Directory для картирования домена, перемещение по сети с использованием учётных данных, а также кража паролей из браузеров.
После того как разведка и обход защиты завершены, группа развёртывает программу-вымогатель DragonForce для шифрования данных и их кражи. Примечательно, что Backdoor.Turn устанавливается уже после запуска вымогателя. Это может означать, что злоумышленники планируют сохранить доступ для повторных атак или для продажи другим преступным группировкам.
Симбиоз кастомного бэкдора, маскирующего трафик под легитимные сервисы, и эксплуатации ранее неизвестной уязвимости драйвера Huawei указывает на высокий уровень организационной зрелости группировки. DragonForce за последние годы превратилась из стандартной программы-вымогателя как услуги в формализованную картельную структуру. Подобная эволюция требует значительных ресурсов и стратегического подхода к проведению целевых атак. Использование Backdoor.Turn в сочетании с многокомпонентным обходом средств защиты ставит DragonForce в ряд наиболее опасных киберпреступных группировок современности.
Индикаторы компрометации
IPv4
- 62.164.177.25
Domains
- comunidadesparentais.com.br
- glanz-gmbh.de
- mysimerp.net
- professionalhomebasedbusiness.com
- projetosmecanicos.com.br
- safefire.jo
- socialbizsolutions.com
- turnkeyaiagents.com
URLs
- http://192.36.27.51/TechSupV18Fix3.zip
SHA256
- 048e18416177de2ead251abdf4d89837f6807c6aba4d5b1debe49adfdecbf05c
- 087f002df0a02c8c74f3ba5cd99cf29fb9efff38bf57b3d808e34a5dd4200dd2
- 142bac0e2148e0d47891b6cd7311195c4acbe33b700fad54a201c52a2bc46219
- 252a8bb2eb9c96c5e6cc7cab822e2ed0d508032f9350351221781684e86c03ab
- 65ab49119c845801f29a57e8aa177146b2ffbd289d4278109b146f933380f951
- 6bbf10bcbef7ac5102b54c81137859891a3802dbacd888be90f990d50e18b0b4
- 6f9fbe29f8cc2788e2bc9d631e0eea2a8e9837076837b55838005a0e654f0a9e
- 821da79d727351dd67ce5df7950e9a3de6647a3cf474bb3a093f67507fed92a6
- 8284c8676cc22c4b2e66826ac16986da7ddecba1f2776b16771be17bfdc45dc2
- 82b37a92589dfd4d67ca87eb9e52ac8e682e8e60d2211f59074cd5ccc693013b
- 8395b621bb4415090f232c59fc41d24ea41a519b58eabe512f3ae7d2fdf049a3
- 8a4033425d36cd99fe23e6faef9764fbf555f362ebdb5b72379342fbbe4c5531
- 9335f61f8ad276d94455c5b6876fea48152c3cea759f2598c8108ee461fa5759
- aea26980059ef2ad11e99556a4edfa1f8ec769fa9f06aa573b81bedf319954b5
- b16e217cdca19e00c1b68bdfb28ead53b20adeabd6edcd91542f9fbf48942877
- b6628d201c2a68d2a3de2a87de7a5acfe21b101a97928e1c8d5c82102d967383
- cd078957167e1af4de39aecdb981cd14156fa81d5a9c6ac51e74ae5b6199a12a
- ce66b8221446c9b6d83f0ce6382f430e519601641e5daaaf1ca7a8a8806cb0b0
- d0da2832ae1e13a98f7ce7e33a66c1b0d9797b81f69ece134e4462ea55ac923e
- d20a3c928761fe00ac522eeb474612b5804cd9108453ea8591106d5d4428428e
- e45b18c93d187aac5c4486f57483bc87580e15def82a312bfb377ff16eb96b22
- f174c19902523dcf005fa044b6598403a5e5c0a5982398d1bc0dcc5ec1cd351b