Szoftveres trükkök és csapatmunka
A DragonForce legalább 2023 óta aktív, szervezett, kartellszerű működésű csoport, amelyet már összefüggésbe hoztak a hírhedt Scattered Spiderrel. A Symantec biztonsági elemzőinek jelentése szerint az Egyesült Államok egyik jelentős szolgáltató vállalatát támadták meg egy saját fejlesztésű, Go nyelven írt kártevővel. A támadás során a Backdoor.Turn úgy szerez be anonim Teams-látogatói tokent, hogy közben engedélyezett Microsoft TURN (Traversal Using Relays around NAT) relay-szervert használ, majd átküldi az adatforgalmat a saját irányítószerverükre. Így a támadók teljesen láthatatlanul működhetnek a céges hálózatokon belül. Ez a trükk már 2025-ben került tesztelésre a Kísértethívások (Ghost Calls) nevű módszerben, de a Backdoor.Turn az első, amely a vadonban is bizonyított.
Kernel-szintű támadások és állandó jelenlét
A decemberi támadás egy ismeretlen, valószínűleg SQL- vagy MSSQL-sérülékenység kihasználásával indult. Miután bejutottak a rendszerbe, ZIP-archívumból futtattak legitimnek látszó, de valójában oldalról betöltött (sideloadolt) káros DLL-t. Ezután létrehoztak álfelhasználókat, manipulálták a Windows-jelszóházirendet, átírták a tűzfalbeállításokat, majd különféle sérülékeny illesztőprogramokkal (például Huawei, Topaz Antifraud, Tower of Fantasy, K7 Security) megszerezték a rendszerszintű hozzáférést, és blokkolták a vírusirtókat. Az ABYSSWORKER nevű, Palo Altónak álcázott illesztőprogram is segítette őket ebben.
Adatlopás és zárolás
A DbgView64.exe-be injektálták a Backdoor.Turn RAT-ot, így tartós hozzáférést tartottak fenn. A szoftver távoli parancsvégrehajtásra, új folyamatok indítására, hálózatfelderítésre, hitelesítési adatok ellopására, TLS-tanúsítványok gyűjtésére, Active Directory-keresésre és böngészőjelszavak megszerzésére is képes. Miután minden adatot összegyűjtöttek, a DragonForce zsarolóvírust futtatták, majd zárolták az áldozat gépeit. A következmények beláthatatlanok lehetnek, mert ilyen szintű, sokrétű támadásnál nehéz kiszámítani, hol és mikor csapnak le újra. A Symantec közzétette az összes ismert fertőzési jelet, hogy a védekezők előre felkészülhessenek az új trükkökre.
