Các chiến dịch tấn công mạng ngày càng lạm dụng các dịch vụ đám mây đáng tin cậy để trốn tránh sự phát hiện. Một chiến dịch mới được khám phá minh họa cách cơ sở hạ tầng Microsoft Teams có thể bị vũ khí hóa để che giấu lưu lượng truy cập độc hại. Theo Symantec Threat Hunter Team, một trojan truy cập từ xa (RAT) mới được viết bằng Go, có tên Backdoor.TURN, đã lợi dụng các máy chủ chuyển tiếp (relay server) TURN của Microsoft Teams để ngụy trang giao tiếp lệnh và điều khiển (C2) như hoạt động doanh nghiệp hợp pháp. Chiến dịch này liên quan đến một cuộc tấn công ransomware DragonForce nhằm vào một công ty dịch vụ lớn tại Hoa Kỳ, trong đó những kẻ tấn công đã tồn tại mà không bị phát hiện trong tối đa 2 tháng. Tên miền chính của trang web như một yếu tố quan trọng trong việc xác định mối đe dọa mạng.
Backdoor.TURN Lợi Dụng Cơ Sở Hạ Tầng Microsoft Teams
Thay vì giao tiếp trực tiếp với cơ sở hạ tầng do kẻ tấn công kiểm soát, phần mềm độc hại định tuyến lưu lượng qua các máy chủ của Microsoft, khiến nó xuất hiện như các kết nối đi thông thường tới dịch vụ Teams. Backdoor.TURN hoạt động bằng cách yêu cầu một token khách truy cập ẩn danh từ các dịch vụ nhận dạng của Microsoft hỗ trợ Skype. Phần mềm độc hại sử dụng token này để xác thực với cơ sở hạ tầng Teams và thiết lập một phiên chuyển tiếp qua các máy chủ TURN. Sau khi kết nối được thiết lập, nó khởi tạo một phiên QUIC với máy chủ C2 thực tế. Kỹ thuật này đảm bảo rằng các nhà bảo vệ mạng chỉ quan sát thấy lưu lượng truy cập đến các miền Microsoft hợp pháp, che giấu hiệu quả hoạt động độc hại. Việc theo dõi các lỗ hổng CVE liên quan là rất quan trọng để phòng chống.
Phương Thức Truy Cập Ban Đầu
Vector truy cập ban đầu vẫn chưa rõ ràng. Tuy nhiên, phân tích của Symantec cho thấy những kẻ tấn công có khả năng đã khai thác một lỗ hổng chưa biết trên máy chủ SQL hoặc MSSQL, hoặc giành quyền truy cập thông qua một nhà môi giới truy cập ban đầu. Cuộc xâm nhập bắt đầu vào tháng 12 năm 2025. Sau đó, những kẻ tấn công đã triển khai một kho lưu trữ ZIP độc hại chứa một tệp thực thi VirtualBox hợp pháp và một DLL đã được vũ khí hóa.
Kỹ Thuật Duy Trì Quyền Truy Cập và Trốn Tránh Phát Hiện
Thông qua kỹ thuật DLL sideloading, mã độc hại đã được thực thi dưới một tiến trình đáng tin cậy, cho phép duy trì hoạt động lén lút. Sau khi thực thi, những kẻ tấn công đã thực hiện trinh sát, thu thập thông tin đăng nhập và di chuyển ngang trong mạng. Họ cũng sửa đổi các quy tắc tường lửa, tạo thêm các tài khoản người dùng và điều chỉnh cài đặt hệ thống để duy trì quyền truy cập dài hạn. Symantec lưu ý rằng những thay đổi này được thiết kế để đảm bảo khả năng phục hồi và liên lạc C2 không bị gián đoạn. Một điểm nổi bật của chiến dịch là chiến lược né tránh phòng thủ nâng cao của nó. Những kẻ tấn công đã sử dụng kỹ thuật Bring Your Own Vulnerable Driver (BYOVD) để tắt các công cụ bảo mật ở cấp độ kernel. Đáng chú ý, các nhà nghiên cứu Symantec đã quan sát thấy việc khai thác một trình điều khiển Huawei mới, HWAuidoOs2Ec.sys, được mô tả là “Havoc Process Terminator”.
Khai Thác Trình Điều Khiển Lỗ Hổng
Các trình điều khiển bổ sung liên quan đến CVE-2023-52271, CVE-2025-61155 và CVE-2025-1055 cũng bị lạm dụng. Những kẻ tấn công tiếp tục triển khai một trình điều khiển độc hại tùy chỉnh, Abyss Worker, được ngụy trang dưới dạng trình điều khiển Palo Alto hợp pháp, để chấm dứt các tiến trình bảo mật. Payload Backdoor.Turn đã được tiêm vào tiến trình DbgView64.exe hợp pháp và được triển khai sau khi thực thi ransomware. Điều này cho thấy phần mềm độc hại có thể được sử dụng để duy trì sự hiện diện hoặc cho phép truy cập trong tương lai, có khả năng để bán lại cho các tác nhân đe dọa khác.
Khả Năng Của Backdoor.TURN
Backdoor hỗ trợ các khả năng như thực thi lệnh từ xa, liệt kê Active Directory, quét mạng, đánh cắp thông tin đăng nhập và di chuyển ngang. Kỹ thuật này lấy cảm hứng từ nghiên cứu “Ghost Calls” được trình bày tại Black Hat 2025, nơi đã chứng minh cách các nền tảng hội nghị truyền hình có thể bị lạm dụng cho liên lạc bí mật. Tuy nhiên, đây là trường hợp thực tế đầu tiên được biết đến về việc cơ sở hạ tầng chuyển tiếp TURN của Microsoft Teams được sử dụng theo cách này.
Tổng Quan Về DragonForce
DragonForce, hoạt động từ năm 2023 và được Symantec theo dõi là Hackledorb, đã phát triển thành một nhóm đe dọa có cấu trúc cao và tinh vi. Việc sử dụng cơ sở hạ tầng đám mây đáng tin cậy kết hợp với các kỹ thuật khai thác mới lạ nêu bật một xu hướng ngày càng tăng trong các cuộc tấn công mạng hiện đại. Việc pha trộn lưu lượng truy cập độc hại với các dịch vụ hợp pháp làm giảm đáng kể khả năng hiển thị của những người bảo vệ, nhấn mạnh sự cần thiết của việc phát hiện hành vi và kiểm soát chặt chẽ hơn đối với các trình điều khiển dễ bị tổn thương và các nền tảng giao tiếp doanh nghiệp. Việc giám sát các cảnh báo CVE là tối quan trọng để duy trì an ninh.
Thông Tin Chi Tiết Kỹ Thuật
IOCs (Indicators of Compromise):
- Malware Hash (MD5): 546d0491e2a08291f6894f028a7634f5
- Malware Name: Backdoor.TURN
- Associated Vulnerabilities: CVE-2023-52271, CVE-2025-61155
Command and Control (C2) Communication:
Phần mềm độc hại sử dụng máy chủ TURN của Microsoft Teams để làm trung gian cho kết nối C2. Lưu lượng truy cập ban đầu được định tuyến qua các điểm cuối của Microsoft Teams, khiến việc phân biệt lưu lượng độc hại trở nên khó khăn.
Exploitation Details:
- DLL Sideloading: Kẻ tấn công sử dụng tệp ZIP chứa VirtualBox.exe (hợp pháp) và một DLL độc hại để thực thi mã độc dưới quy trình đáng tin cậy.
- BYOVD (Bring Your Own Vulnerable Driver): Khai thác các trình điều khiển hệ thống dễ bị tổn thương để tắt các giải pháp bảo mật. Ví dụ về trình điều khiển bị khai thác bao gồm HWAuidoOs2Ec.sys (từ Huawei) và Abyss Worker (giả mạo driver Palo Alto).
Persistence Mechanisms:
- Sửa đổi quy tắc tường lửa.
- Tạo tài khoản người dùng bổ sung.
- Điều chỉnh cài đặt hệ thống.
- Sử dụng trình điều khiển độc hại để chấm dứt tiến trình bảo mật.
Remote Code Execution (RCE) Payload:
Backdoor.TURN có khả năng thực thi lệnh từ xa. Payload này được tiêm vào tiến trình DbgView64.exe.
Reference:
Symantec Blog: DragonForce Ransomware Abuses Microsoft Teams for C2
