Pesquisa da Symantec e Carbon Black documenta uso de token anônimo do Teams, relay legítimo da Microsoft e sessão QUIC para disfarçar comando e controle após implantação de ransomware em empresa de serviços dos EUA
| Componente | Backdoor.Turn, RAT customizado em Go associado ao ecossistema DragonForce; infraestrutura legítima de relays TURN do Microsoft Teams; processo legítimo DbgView64.exe usado como alvo de injeção; driver vulnerável HWAuidoOs2Ec.sys (Huawei) empregado em técnica BYOVD |
| Vetor | Acesso inicial suspeito por exploração de vulnerabilidade em servidor SQL ou MS-SQL (natureza exata não confirmada) ou aquisição via corretor de acesso inicial; entrega por comando PowerShell que deposita arquivo ZIP disfarçado de hotfix de suporte técnico, seguido de side-loading de DLL maliciosa |
| Impacto | Comunicação de comando e controle mascarada como tráfego de saída para servidores legítimos do Teams; permanência estimada de um a dois meses na rede da vítima; reconhecimento, persistência, desativação de proteções, movimentação lateral baseada em credenciais, varredura de rede, consultas LDAP/Active Directory e coleta de credenciais de navegador; execução do backdoor após implantação do ransomware DragonForce para manter acesso residual |
| Prioridade | Correlacionar conexões de saída para infraestrutura do Teams com sessões QUIC subsequentes para destinos não esperados; caçar injeção anômala em DbgView64.exe, carregamento do driver HWAuidoOs2Ec.sys, artefatos ZIP/PowerShell de hotfix falso e atividade em servidores SQL expostos |
| Artefatos | Arquivo ZIP entregue sob pretexto de correção de suporte; DLL carregada por side-loading; driver HWAuidoOs2Ec.sys; backdoor Backdoor.Turn injetado em DbgView64.exe após o ransomware |
| Mitigação | Endurecer e auditar servidores SQL/MS-SQL; restringir execução de PowerShell e políticas de carregamento de drivers; monitorar uso de relays TURN e tokens de visitante anônimos do Teams; validar integridade de binários como DbgView64.exe e bloquear drivers não autorizados |
Operadores ligados ao ransomware DragonForce passaram a empregar um trojan de acesso remoto customizado, escrito em Go e denominado Backdoor.Turn, para esconder tráfego de comando e controle dentro da infraestrutura de relays TURN do Microsoft Teams. A análise conjunta da Symantec e da Carbon Black, ambas sob o guarda-chuva da Broadcom, descreve o implante em uma grande empresa de serviços dos Estados Unidos, cujo nome não foi divulgado.
O mecanismo observado representa a primeira documentação pública de abuso da infraestrutura Traversal Using Relays around NAT da Microsoft nesse contexto ofensivo. Para equipes de defesa, o tráfego aparente limita-se a conexões de saída para servidores legítimos do Teams, enquanto o backdoor estabelece, após a fase de relay, uma sessão QUIC direta com o servidor malicioso de comando e controle. Os investigadores estimam que os atacantes permaneceram na rede da vítima entre um e dois meses, período compatível com reconhecimento prolongado, preparação de persistência e operação encoberta posterior à etapa de extorsão.
O caso reforça a evolução operacional do ecossistema DragonForce, atribuído ao ator Hackledorb, que teria migrado de um modelo clássico de ransomware como serviço para uma estrutura de cartel mais formalizada. A combinação de evasão por driver vulnerável trazido pelo próprio atacante, side-loading de DLL, desativação de software de segurança e canal de comando disfarçado em serviço corporativo amplamente permitido coloca o grupo entre os operadores de ransomware mais persistentes e tecnicamente sofisticados descritos em atividade pós-2025.
A cadeia inicia com acesso à rede corporativa, possivelmente por exploração de falha em servidor SQL ou MS-SQL — sem confirmação da vulnerabilidade específica — ou por aquisição de acesso por intermediário especializado. A atividade maliciosa inicial foi registrada em dezembro de 2025, quando os operadores executaram uma sequência PowerShell que depositou um arquivo ZIP apresentado como hotfix de suporte técnico. Esse arquivo dispara um ataque de side-loading de DLL: uma biblioteca legítima carrega uma DLL maliciosa responsável por reconhecimento local, criação de persistência e tentativa de neutralizar controles de segurança.
A neutralização de proteções recorre à técnica bring your own vulnerable driver. O artefato citado na investigação é o driver Huawei identificado como HWAuidoOs2Ec.sys, empregado para obter primitivas de kernel necessárias à evasão. O mesmo driver foi associado, em momento posterior ao incidente de ransomware, a uma campanha de malvertising voltada a pessoas nos Estados Unidos que buscavam documentos relacionados a impostos, o que indica reutilização de componentes entre operações distintas do mesmo ecossistema.
Após a implantação do ransomware DragonForce, os operadores executaram o Backdoor.Turn por injeção no processo legítimo DbgView64.exe. Essa ordem temporal sugere intenção de preservar acesso residual no host comprometido para reutilização futura, escalada adicional ou eventual revenda do acesso. O backdoor implementa um canal baseado em relays TURN alinhado à técnica denominada Ghost Calls, previamente documentada em agosto de 2024. O fluxo obtém um token de visitante anônimo nos serviços de identidade do Teams apoiados pelo backend Skype, utiliza um servidor Microsoft legítimo como relay TURN durante o estabelecimento da conexão e, concluída essa etapa, abre sessão QUIC direta com o servidor de comando e controle controlado pelo atacante.
As capacidades descritas para o Backdoor.Turn incluem execução de comandos, criação de processos, varredura de rede, consultas LDAP e pesquisa em Active Directory, movimentação lateral apoiada em credenciais e coleta de credenciais armazenadas em navegadores. O relatório enfatiza que, do ponto de vista de monitoramento perimetral convencional, a atividade se assemelha a uso legítimo de infraestrutura de colaboração, o que reduz a visibilidade de defensores e pode mascarar exfiltração encoberta de dados durante a permanência prolongada na rede.
O incidente documentado atingiu ambiente corporativo de uma grande prestadora de serviços norte-americana. A superfície técnica envolve estáções e servidores Windows capazes de executar PowerShell, carregar DLLs por side-loading e aceitar drivers de terceiros no kernel, além de endpoints com DbgView64.exe presente ou explorável para injeção de código.
Servidores SQL ou MS-SQL expostos ou mal configurados figuram como possível vetor de entrada inicial, embora a falha explorada não tenha sido identificada com precisão. A infraestrutura de identidade e relays do Microsoft Teams — incluindo tokens de visitante anônimos e servidores TURN — constitui o canal de saída aparentemente legítimo usado pelo backdoor. Ambientes com Active Directory e navegadores corporativos ficam diretamente no caminho das funções de enumeração LDAP e roubo de credenciais de sessão web descritas para o implante.
- Hosts Windows com execução de scripts PowerShell e políticas permissivas para arquivos ZIP disfarçados de suporte
- Servidores SQL/MS-SQL potencialmente expostos como ponto de entrada inicial
- Endpoints com carregamento de driver
HWAuidoOs2Ec.sysou outros artefatos BYOVD - Processos
DbgView64.execom comportamento de injeção ou tráfego de rede atípico após evento de ransomware - Conexões de saída para infraestrutura Microsoft Teams seguidas de sessões QUIC para destinos externos não correlacionados com uso legítimo de colaboração
A detecção exige correlacionar telemetria de endpoint, identidade, rede e resposta a incidentes de ransomware. O padrão central não é apenas a presença do malware, mas a sequência em que extorsão, evasão por driver vulnerável e persistência pós-ransomware coexistem no mesmo host ou domínio.
Em rede, equipes devem examinar fluxos de saída para domínios e endereços associados ao Microsoft Teams e, em seguida, identificar sessões QUIC para destinos que não correspondam a reuniões, chamadas ou clientes autorizados. Tokens de visitante anônimos obtidos fora de janelas de uso esperado de colaboração merecem alerta, especialmente em servidores ou estáções sem perfil de usuário de Teams.
No endpoint, sinais incluem criação de arquivo ZIP após atividade PowerShell com narrativa de hotfix, carregamento de DLL não assinada ou inconsistente com o binário principal, presença do driver HWAuidoOs2Ec.sys, tentativas de desabilitar produtos de segurança e execução ou injeção anômala envolvendo DbgView64.exe depois da detecção do ransomware DragonForce. Em identidade e diretório, consultas LDAP amplas, autenticações laterais incomuns e acesso a credenciais de navegador devem ser cruzados com a linha do tempo de dezembro de 2025 em diante.
- Sequência PowerShell seguida de escrita de ZIP com nomenclatura compatível com falso hotfix de suporte técnico
- Eventos de carregamento de driver kernel associados a
HWAuidoOs2Ec.sysou padrões BYOVD - Tráfego aparentemente legítimo para relays TURN do Teams com continuação QUIC para destino externo não inventariado
- Injeção ou execução atípica ligada a
DbgView64.exeapós contenção inicial de ransomware DragonForce - Atividade de varredura de rede, enumeração LDAP/Active Directory e acesso a repositórios de credenciais de navegador no mesmo período de permanência prolongada
A resposta deve tratar o ransomware como apenas uma fase visível de uma intrusão mais longa. Após isolar hosts afetados e conter a extorsão, é necessário presumir persistência residual via Backdoor.Turn e revalidar todo o período de um a dois meses de atividade prévia, não apenas o momento do deploy criptográfico.
Em hardening, servidores SQL e MS-SQL devem ser priorizados para correção, exposição mínima, autenticação forte e monitoramento de exploração, dado o vetor inicial suspeito. Políticas de execução devem restringir PowerShell não assinado ou restrito, bloquear side-loading por validação de integridade de DLLs e impedir instalação de drivers não aprovados, com atenção específica ao driver Huawei citado.
No monitoramento, proxies e NDR precisam inspecionar não só destinos Microsoft, mas também continuidade de protocolo após relays TURN. Em resposta a incidentes, imagens forenses devem incluir análise de processos injetados, drivers carregados e artefatos ZIP remanescentes. A rotação de credenciais de domínio e de navegador é recomendada quando houver evidência das capacidades de movimentação lateral e coleta descritas para o backdoor.
- Presumir acesso residual pós-ransomware e caçar
DbgView64.exe, drivers BYOVD e artefatos ZIP/PowerShell mesmo após pagamento ou restauração inicial - Restringir e auditar servidores SQL/MS-SQL; considerar correção emergencial se exposição coincidir com o perfil de entrada suspeito
- Bloquear ou alertar sobre carregamento de
HWAuidoOs2Ec.syse reforçar políticas de driver assinado e allowlist - Correlacionar tráfego Teams/TURN com sessões QUIC externas em estáções sem uso legítimo de colaboração
- Revisar tokens de visitante anônimos, credenciais de Active Directory e segredos de navegador após confirmação de presença do Backdoor.Turn ou do ecossistema DragonForce
0 Comentários