Az új Ghost Calls trükk: így bújnak el támadók a Zoom és a Teams forgalmában
A kibertámadók új módszert vetettek be: a Ghost Calls technika segítségével a Zoom és a Microsoft Teams videókonferencia-alkalmazások infrastruktúráját használják parancs- és vezérlési (C2) műveletek elrejtésére. A támadók valódi, ideiglenes fiókokat és a WebRTC protokollt kombinálják egyedi eszközökkel, hogy a legtöbb védelmi rendszert megkerüljék – mindezt kihasználás nélkül, biztonsági hibára nincs szükség.
Hogyan működik a Ghost Calls?
A Ghost Calls az úgynevezett TURN (Traversal Using Relays around NAT) szervereket használja ki. Ezeket a szervereket a Zoom és a Teams is alkalmazza, hogy a tűzfalak mögötti eszközök stabilan tudjanak kommunikálni. Amikor egy felhasználó csatlakozik egy megbeszéléshez, ideiglenes TURN hitelesítő adatokat kap – a hackerek ezeket veszik át, majd egy WebRTC-alapú, titkosított adatfolyamot hoznak létre köztük és az áldozatuk között.
Ennek segítségével bármilyen adatot képesek továbbítani, vagy a C2 forgalmat is képesek elrejteni a normál videókonferencia-szolgáltatások forgalmában. A forgalom a megbízhatónak tekintett Zoom vagy Teams rendszeren keresztül halad, ezért a legtöbb tűzfal, proxy és TLS-vizsgálat semmit sem vesz észre. A támadók ráadásul nem fedik fel saját IP-címüket vagy szervereiket, hanem mindent a szolgáltatón keresztül intéznek, gyors és rugalmas kapcsolatot élvezve – ráadásul a 443-as porton UDP és TCP protokollal is működhetnek. Mindez sokkal gyorsabb, megbízhatóbb és nehezebben észlelhető, mint a szokásos C2 trükkök.
TURNt: az új nyílt forráskódú eszköz
Adam Crosser kutató egy nyílt forráskódú eszközt is bemutatott, TURNt néven. Ez két komponensből áll: a Controller a támadó gépén fut és SOCKS proxyt indít, míg a Relay a kompromittált gépre kerül, és a szolgáltatók TURN szerverein keresztül hoz létre adatcsatornát a Controllerrel.
A TURNt segítségével nemcsak proxyszolgáltatást és porttovábbítást lehet megvalósítani, hanem adatlopást és rejtett VNC-kapcsolatot is. Bár a Ghost Calls módszer nem használ ki konkrét Zoom vagy Teams biztonsági rést, a szolgáltatók már dolgoznak a lehetséges szigorításokon. A Zoom például olyan frissítést vezetett be, amely tiltja a peer-to-peer kapcsolatokat a TURN infrastruktúrán belül, így csak a kliens és a központi médiaszerver párosítható. Azonban ahol a rendszer közvetlen p2p kapcsolatokat is engedélyez, ott a kockázat megmarad.
A Steamet üzemeltető Valve komoly támadás alá került New York állam részéről, mert a hatóságok illegális szerencsejátékkal vádolják a loot boxok véletlenszerűen generált tartalma miatt...
Az elmúlt években a cégek szinte kizárólag a fiatal, technikailag képzett munkaerőt hajszolták, miközben folyamatosan háttérbe szorították az egyik legértékesebb csoportot: az 50 feletti nőket...
🌊 A Golf-áramlatban megbújó korai figyelmeztető jel segíthet előre jelezni a hatalmas atlanti-óceáni áramlatrendszer összeomlását, ami alapjaiban formálhatja át Európa és az egész északi félteke éghajlatát...
A Webflow, amely weboldal-építést és tárhelyszolgáltatást kínál, most egy úttörő MI-megoldással erősít: felvásárolta a Vidosót, hogy marketingcsomagját bővítse...
Az Egyesült Államok és Európa bűnüldöző szervei, valamint magáncégek közös akciójának köszönhetően sikerült felszámolni a SocksEscort nevű kiberbűnözői proxihálózatot...
🚀 Ahogy a kőolaj ára 100 dollár (körülbelül 36 500 forint) fölé emelkedik a közel-keleti feszültségek miatt, sokan aggódnak, vajon az emelkedő energiaköltségek megrázzák-e a Bitcoin-hálózatot...
Egy lényeges szempont, hogy a Palantir továbbra is használja az Anthropic által fejlesztett MI-nyelvi modellt, a Claude-ot, miközben az amerikai védelmi minisztérium már feketelistára tette az Anthropicot...
Egyre több volt DigitalMint-alkalmazottról derül ki, hogy a kiberbiztonsági cég egyes zsarolóvírus-tárgyalói titokban a BlackCathez (ALPHV) bűnszervezettel működtek együtt...
🚗 Amikor bemutatták a Rivian R2-t, sokan abban bíztak, hogy végre lesz egy jól felszerelt, mutatós elektromos SUV, amit nemcsak a leggazdagabbak engedhetnek meg maguknak...
💡 Napjaink MI-rendszerei, mint a ChatGPT vagy a Gemini, mindennapos partnerekké váltak a gondolkodásban, a problémamegoldásban és az emlékek felidézésében...
🛡 Az Apple nemrég frissítéseket adott ki, hogy a régebbi iPhone- és iPad-modelleken is kijavítsa a Coruna exploitcsomaggal célzott súlyos sérülékenységeket...
💸 Szinte mindenki pánikol a Bitcoin-piacon, mégsem dőlt be a buli. Több fronton is dúl a feszültség: a közel-keleti feszültségek óta folyamatosan adják el a Bitcoint az összes tárcaméretben, de az árfolyam még mindig közel 25 millió forintnál (70 000 USD) oldalaz...
💡 A depresszió eredetét régóta kutatják, de most új nyomokra bukkantak a tudósok: az agy- és vérsejtek energiahasznosításában mutatkozó zavarok lehetnek felelősek a betegség kialakulásáért...
🚀 Érdekes felvetés, hogy a Meta négy vadonatúj, saját igényeire szabott MI-chipet mutatott be, amelyek közül több már most is nagyvállalati rendszerekben fut, sőt néhány felülmúlja a legjobb, kereskedelmi forgalomban kapható riválisokat...
