Küberkurjategijad varjavad rünnakuliiklust Microsoft Teamsi taha

Turvafirma Symantec avastas, et DragonForce’i lunavara levitajad pääsesid ühe suure USA teenusettevõtte võrku ning tegutsesid seal kaks kuud, varjates oma juhtimisserveritega suhtlust seaduslikuks Microsoft Teamsi liikluseks. Ründajad paigaldasid Go-keeles kirjutatud kohandatud tagaukse nimega Backdoor.Turn, mis hoidis ühendust nakatunud süsteemidega. Selle asemel et pöörduda ründajate enda taristu poole, peitis tagauks oma tegevuse Microsofti koostööplatvormi liiklusse — võrguliikluse jälgijatele paistis, nagu suhtleksid süsteemid ainult Microsofti serveritega. Tagauks taotles esmalt Microsoft Teamsi ja Skype’i tagateenustelt anonüümse külastaja loa, kasutas seejärel Microsofti TURN-releeserverit ning lõi sealt QUIC-ühenduse pahatahtliku juhtimisserveriga. Symanteci hinnangul on see esimene teadaolev juhtum, kus pahavara sellist tehnikat kasutab. Backdoor.Turn paigaldati pärast DragonForce’i lunavara käivitamist, et tagada ründajatele hilisem juurdepääs või võimalus see teistele kurjategijatele edasi müüa. DragonForce tegutseb lunavara-teenusena ja seda on seostatud rühmitusega Scattered Spider, kes on rünnanud mitmeid suuri Briti jaekette.

Loe täispikka artiklit: The Register

Lisa kommentaar