«Ничего подозрительного, просто Teams». Хакеры спрятали управление вирусом за обычной рабочей перепиской

Хакеры нашли способ прятать связь с заражённой сетью там, где её меньше всего ждут: за обычными соединениями к Microsoft Teams. Symantec описала атаку DragonForce на крупную американскую сервисную компанию, где новый модуль Backdoor.Turn помог злоумышленникам скрывать, как они управляли вредоносной программой, за легитимной инфраструктурой Microsoft.

По данным Symantec, злоумышленники находились в сети от одного до двух месяцев. Для скрытой связи они использовали новый удалённый модуль Backdoor.Turn, написанный на Go. Вредонос получал анонимный гостевой токен Microsoft Teams через службы идентификации Skype, подключался к законным ретрансляционным серверам Microsoft TURN, а затем устанавливал сеанс QUIC с настоящим сервером управления хакеров.

Специалисты Symantec считают, что это первый известный случай, когда вредоносная программа в реальной атаке использовала инфраструктуру TURN в Microsoft Teams таким образом. Для защитников картина выглядела как обычный исходящий трафик к Microsoft, хотя через такую схему злоумышленники сохраняли скрытый канал управления.

Начальный доступ, по предварительной версии, был получен через уязвимость в SQL- или MSSQL-сервере, но конкретная брешь пока неизвестна. Не исключается и то, что доступ купили у посредников. Активность началась в декабре 2025 года. После того как проникли в сеть, хакеры загрузили ZIP-архив с легитимным исполняемым файлом VirtualBox или DbgView и вредоносной библиотекой vboxrt.dll. Такой приём позволял заставить доверенную программу запустить чужой код.

Злоумышленники закреплялись в системе, меняли настройки удалённого доступа, добавляли пользователей и группы, а также корректировали правила межсетевого экрана, чтобы связь с их серверами не блокировалась. Чтобы обойти защиту, применялась техника «принеси свой уязвимый драйвер». Хакеры использовали подписанные, но уязвимые драйверы, чтобы получить доступ на уровне ядра и завершать процессы защитных программ.

Особое внимание Symantec уделила драйверу Huawei HWAuidoOs2Ec.sys. До этой атаки не было известно, что его применяли в реальных взломах, хотя позднее, в марте 2026 года, специалисты Huntress описали его уязвимый статус. В кампании также встречались уязвимые драйверы Topaz Antifraud, Tower of Fantasy и K7 Security Anti-Malware, а также вредоносный драйвер Abyss Worker, замаскированный под легитимный компонент Palo Alto.

После того как провели разведку и отключили защитные механизмы, группировка развернула DragonForce, украла данные и зашифровала системы жертвы. Backdoor.Turn, судя по последовательности атаки, установили уже после того, как запустили шифровальщик. Такой шаг может говорить о желании сохранить доступ, чтобы снова проникнуть в систему или продать его другим злоумышленникам.

Backdoor.Turn умеет выполнять команды, запускать процессы, сканировать сеть, собирать сведения о сертификатах TLS и заголовках веб-страниц, искать данные в LDAP и Active Directory, перемещаться по сети с украденными учётными данными и вытаскивать пароли из браузеров на заражённых устройствах.

Symantec связывает DragonForce с группой Hackledorb. По оценке компании, проект, активный как минимум с июня 2023 года, перешёл от обычной модели «шифровальщик как услуга» к более организованной структуре. Backdoor.Turn и несколько способов обойти защиту через драйверы свидетельствуют о том, что операторы DragonForce заметно нарастили технические возможности после 2025 года.