رصد باحثون من Symantec وCarbon Black استخدام مجموعة DragonForce المرتبطة ببرمجيات الفدية لتقنية جديدة تعتمد على استغلال بنية Microsoft Teams لإخفاء حركة الاتصال بخوادم التحكم والسيطرة (C2) عبر برمجية خبيثة مكتوبة بلغة Go تُعرف باسم Backdoor.Turn.
آلية الهجوم
- البرمجية تطلب رمز زائر مجهول من خدمات الهوية المدعومة من Skype.
- تستخدم خادم TURN الشرعي الخاص بـ Microsoft Teams لإعداد الاتصال.
- بعد ذلك تُنشئ جلسة QUIC مباشرة مع خادم C2 الحقيقي للمهاجم.
بالنسبة لفرق الدفاع، يظهر الاتصال وكأنه حركة شرعية نحو خوادم Microsoft، ما يجعل اكتشافه بالغ الصعوبة.
سلسلة الاختراق
- بدأ النشاط الخبيث في ديسمبر 2025 عبر استغلال ثغرة في SQL أو MS-SQL (أو شراء وصول من وسيط IAB).
- المهاجمون أسقطوا أرشيف ZIP متخفيًا كـ “تحديث دعم فني”، ليطلق هجوم DLL side-loading.
- استخدموا تقنية BYOVD (Bring Your Own Vulnerable Driver) لتعطيل برامج الحماية، عبر برامج تشغيل مثل:
- wsftprm.sys (CVE-2023-52271)
- GameDriverX64.sys (CVE-2025-61155)
- K7RKScan.sys (CVE-2025-1055)
- ABYSSWORKER (شوهد سابقًا في هجمات Medusa).
قدرات Backdoor.Turn
البرمجية الخبيثة تدعم مجموعة واسعة من الوظائف:
- تنفيذ أوامر وإنشاء عمليات.
- مسح الشبكة والبحث في LDAP وActive Directory.
- التحرك الجانبي باستخدام بيانات اعتماد.
- سرقة بيانات اعتماد المتصفح.
- الحفاظ على وصول مستمر حتى بعد نشر برمجيات الفدية.
أهمية التقنية
هذه هي المرة الأولى التي يتم فيها توثيق استغلال بنية TURN الخاصة بـ Microsoft Teams لإخفاء حركة C2. التقنية تُعرف باسم Ghost Calls، وقد تم توثيقها لأول مرة عام 2024.
النتيجة: وجود المهاجمين داخل الشبكة لشهرين تقريبًا دون أن يلاحظ المدافعون أي حركة مشبوهة.
تحول DragonForce
المجموعة، المعروفة سابقًا بنموذج Ransomware-as-a-Service (RaaS)، تحولت إلى هيكل كارتل منظم بعد 2025، مع اعتماد تقنيات متقدمة كعلامة فارقة في نشاطها. نشر Backdoor.Turn مع تقنيات BYOVD يضعها ضمن أكثر مجموعات الفدية قدرة وإصرارًا في المشهد الحالي.
