Az új Ghost Calls trükk: így bújnak el támadók a Zoom és a Teams forgalmában
A kibertámadók új módszert vetettek be: a Ghost Calls technika segítségével a Zoom és a Microsoft Teams videókonferencia-alkalmazások infrastruktúráját használják parancs- és vezérlési (C2) műveletek elrejtésére. A támadók valódi, ideiglenes fiókokat és a WebRTC protokollt kombinálják egyedi eszközökkel, hogy a legtöbb védelmi rendszert megkerüljék – mindezt kihasználás nélkül, biztonsági hibára nincs szükség.
Hogyan működik a Ghost Calls?
A Ghost Calls az úgynevezett TURN (Traversal Using Relays around NAT) szervereket használja ki. Ezeket a szervereket a Zoom és a Teams is alkalmazza, hogy a tűzfalak mögötti eszközök stabilan tudjanak kommunikálni. Amikor egy felhasználó csatlakozik egy megbeszéléshez, ideiglenes TURN hitelesítő adatokat kap – a hackerek ezeket veszik át, majd egy WebRTC-alapú, titkosított adatfolyamot hoznak létre köztük és az áldozatuk között.
Ennek segítségével bármilyen adatot képesek továbbítani, vagy a C2 forgalmat is képesek elrejteni a normál videókonferencia-szolgáltatások forgalmában. A forgalom a megbízhatónak tekintett Zoom vagy Teams rendszeren keresztül halad, ezért a legtöbb tűzfal, proxy és TLS-vizsgálat semmit sem vesz észre. A támadók ráadásul nem fedik fel saját IP-címüket vagy szervereiket, hanem mindent a szolgáltatón keresztül intéznek, gyors és rugalmas kapcsolatot élvezve – ráadásul a 443-as porton UDP és TCP protokollal is működhetnek. Mindez sokkal gyorsabb, megbízhatóbb és nehezebben észlelhető, mint a szokásos C2 trükkök.
TURNt: az új nyílt forráskódú eszköz
Adam Crosser kutató egy nyílt forráskódú eszközt is bemutatott, TURNt néven. Ez két komponensből áll: a Controller a támadó gépén fut és SOCKS proxyt indít, míg a Relay a kompromittált gépre kerül, és a szolgáltatók TURN szerverein keresztül hoz létre adatcsatornát a Controllerrel.
A TURNt segítségével nemcsak proxyszolgáltatást és porttovábbítást lehet megvalósítani, hanem adatlopást és rejtett VNC-kapcsolatot is. Bár a Ghost Calls módszer nem használ ki konkrét Zoom vagy Teams biztonsági rést, a szolgáltatók már dolgoznak a lehetséges szigorításokon. A Zoom például olyan frissítést vezetett be, amely tiltja a peer-to-peer kapcsolatokat a TURN infrastruktúrán belül, így csak a kliens és a központi médiaszerver párosítható. Azonban ahol a rendszer közvetlen p2p kapcsolatokat is engedélyez, ott a kockázat megmarad.
⚠️ Az amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) sürgős figyelmeztetést adott ki egy kritikus súlyosságú VMware vCenter Server sebezhetőségről, amelyet támadók már aktívan kihasználnak...
💥 Az év első Windows 11-frissítése igazi katasztrófát okozott a Microsoftnál. Először leállásokat jelentettek egyes gépeken a januári javítás telepítése után, ezért a Microsoft gyors sürgősségi javítást adott ki...
Az idei évben teljesen új fejezet nyílik a globális félvezetőiparban: az Nvidia várhatóan felülmúlja az Apple-t, és a világ legnagyobb szerződéses chipgyártójának, a tajvani TSMC-nek a legnagyobb ügyfelévé válik...
Az idei davosi Világgazdasági Fórumon Jensen Huang, az Nvidia vezetője meghökkentő gondolatot fogalmazott meg: az MI várhatóan a fizikai munkát igénylő pozíciók számát növeli...
🌊 A nyugati Csendes-óceán tavaszi felszíni vizeinek szokatlanul magas sótartalma drámai módon növeli az El Niño rendkívül erős, időjárást felforgató eseményeinek esélyét...
A svájci Proton VPN nagy bejelentéssel rázta fel a Linux világát: óriási megújuláson megy át mind a grafikus felületű (GUI), mind a parancssoros (CLI) alkalmazása...
💲 Érdemes látni, hogy az amerikai dollár hirtelen zuhanása pénteken vette kezdetét, miután kiderült: a New York-i Fed valóságos ritkaságnak számító „rate check”-et (árfolyam-ellenőrzést) végzett a dollár/jen árfolyamon...
A Brax Technologies újabb merész lépést tesz a független okoseszközök piacán: bemutatta Open Slate nevű 2 az 1-ben táblagépét, amely egyszerre szolgál fogyasztói táblagépként és teljes értékű, ARM-alapú Linux munkaállomásként...
A Metaplanet jelentős változásokon ment keresztül 2025 végén, amikor több mint 100 milliárd jen összegű számviteli veszteséget volt kénytelen elszámolni a bitcoin árfolyamának ingadozása miatt...
Az Appalache-hegységben, különösen Pennsylvaniában és Nyugat-Virginiában, savas, rozsdaszínű víz szivárog a bányákból, narancssárgára színezve a köveket és fémmel borítva a patakmedreket...
Az Ark Invest pénteken összesen 21,5 millió dollár, vagyis nagyjából 7,5 milliárd forint értékben vásárolt részvényeket három jelentős kriptovállalat részvényeiből, miközben a bitcoin árfolyama a 90 000 dollár (kb...
Egy kaliforniai startup, a Karman Industries merőben új módszerrel hűti a szerverközpontokat: a SpaceX rakétamotorjainak technológiáját vetette be, hogy kevesebb árammal, víz nélkül, ráadásul sokkal kisebb helyigénnyel működjön a rendszer...
🌳 A világ vezetői már 2015-ben elköteleződtek a nettó zéró kibocsátás mellett, azonban a cél közel sem olyan könnyen elérhető, mint sok ország remélte – még ott sem, ahol hatalmas erdőterületek vannak, amelyek elvileg elnyelik a szén-dioxidot, ha megállítják az erdőirtást...
Legújabb vészfrissítését adta ki a Microsoft a Windows 11-hez, miután ismét kritikus hibákat találtak az Outlookban és a felhőben tárolt fájlok kezelésében...
