Grupa ransomware DragonForce opracowała niestandardowego trojana zdalnego dostępu Backdoor.Turn napisanego w Go, który ukrywa ruch command-and-control wewnątrz infrastruktury Microsoft Teams – narzędzia powszechnie stosowanego w środowiskach korporacyjnych i whitelistowanego w firewallach. Atak wymierzony w dużą amerykańską firmę usługową pokazuje, że hakerzy coraz częściej nadużywają zaufanych platform biznesowych, aby uniknąć wykrycia przez systemy bezpieczeństwa oparte na blokadzie nieznanych domen.
Living-off-the-trusted-cloud
Technika polega na tunelowaniu C2 przez legalne endpointy Microsoft 365/Teams – ruch wygląda jak standardowa komunikacja aplikacji collaboration, przechodzi przez proxy korporacyjne i często omija inspekcję SSL bez alertu. Backdoor.Turn w Go jest lekki, trudny do sygnaturowego wykrycia i zaprojektowany pod długotrwałą persistence po initial access – typowo przez phishing, compromised credentials lub exploity VPN.
DragonForce to grupa ransomware znana z double extortion i agresywnych negocjacji. Połączenie RAT z infrastrukturą Teams sugeruje pełny kill chain: reconnaissance i persistence przez Backdoor.Turn, lateral movement, exfiltracja, a na końcu deployment ransomware – wszystko z wykorzystaniem kanałów uznawanych za bezpieczne.
Implikacje dla monitoringu sieci
- Zero Trust na ruch M365 – analiza behawioralna, nie tylko allowlist domen Microsoft.
- NDR i CASB – wykrywanie anomalii wolumenu i wzorców Teams vs baseline użytkownika.
- Endpoint correlation – proces Go spawn z Teams lub nietypowe child processes.
- Segmentacja – ograniczenie egress z stacji roboczych do tylko wymaganych usług.
Rekomendacje dla działów IT B2B
Organizacje powinny rozszerzyć playbook SOC o scenariusze C2 ukryte w SaaS: masowy upload/download Teams spoza wzorca, logowania Teams z skompromitowanych endpointów po incydencie phishing, połączenia do relay Microsoft z procesów innych niż Teams.exe. EDR z integracją M365 Defender koreluje sygnały endpoint i cloud.
Partnerzy oferujący infrastrukturę IT z warstwą SOC/MDR wdrażają reguły detekcji living-off-the-cloud i ćwiczenia tabletop symulujące atak DragonForce-style przed ransomware.
Microsoft Graph API monitoring
Defender for Cloud Apps może wykrywać anomalie w aplikacjach korzystających z Graph API – nietypowe scope, volume i geolokalizacja. Custom detection rule w Sentinel alertuje na Teams traffic z procesów non-Microsoft binary (np. Go executable).
Po incydencie DragonForce pełna rotacja refresh tokenów M365 i wymuszenie re-login wszystkich użytkowników może być konieczna jeśli token skompromitowanego konta miał szerokie scope.
Kontekst regulacyjny i raportowanie
Incydenty omawiane w tym artykule mogą wymagać oceny pod kątem RODO, NIS2 i branżowych regulacji. Organizacje powinny utrzymywać aktualny rejestr przetwarzania, procedurę oceny ryzyka naruszenia i kontakty do zespołu IR dostępne 24/7. Dokumentacja timeline incydentu – od wykrycia po remediację – jest kluczowa przy post-audit i rozmowach z ubezpieczycielem cyber.
Zalecamy coroczne ćwiczenia tabletop z udziałem zarządu, IT, legal i PR. Scenariusze powinny obejmować wyciek danych, ransomware i kompromitację łańcucha dostaw SaaS.
Długoterminowa strategia cyberodporności
Pojedyncza remediacja po incydencie nie buduje odporności organizacji. Inwestycja w defense-in-depth, ciągłe szkolenia użytkowników, threat intelligence i partnerstwo z wyspecjalizowanym dostawcą usług IT dla firm pozwala skrócić mean time to detect i mean time to respond.
Praktyczne kroki na najbliższe 30 dni
W ciągu pierwszego tygodnia: inwentaryzacja dotkniętych systemów, rotacja poświadczeń i wdrożenie dostępnych łatek. W drugim tygodniu: testy detekcji, aktualizacja playbooków IR i szkolenie kluczowych użytkowników. W trzecim i czwartym tygodniu: audyt kompensujących kontroli, raport dla zarządu i plan długoterminowej remediacji architektury. Każdy krok powinien mieć właściciela, deadline i mierzalny outcome.
Zespoły bez wewnętrznych zasobów security mogą zaangażować zewnętrznego partnera do acceleracji remediacji – typowy engagement trwa 2–6 tygodni i obejmuje assessment, hardening oraz przekazanie runbooków zespołowi IT klienta. AbejaIT wspiera organizacje B2B na każdym etapie – od szybkiej oceny ekspozycji po wdrożenie trwałych kontroli bezpieczeństwa.
Współpraca z partnerem technologicznym
Wiele organizacji B2B nie ma wystarczających zasobów wewnętrznych, aby samodzielnie utrzymać pełen program bezpieczeństwa – od threat intelligence po 24/7 SOC. Współpraca z doświadczonym dostawcą usług IT pozwala skrócić czas wdrożenia kontroli, uniknąć typowych błędów konfiguracyjnych i utrzymać ciągłość wiedzy nawet przy rotacji pracowników wewnętrznych. Model współpracy powinien jasno definiować SLA, zakres odpowiedzialności i procedurę eskalacji incydentów.
AbejaIT wspiera firmy w audytach bezpieczeństwa, hardeningu infrastruktury, wdrożeniach rozwiązań AI z governance oraz długoterminowym utrzymaniu środowisk produkcyjnych. Każdy engagement rozpoczynamy od assessmentu dojrzałości i priorytetyzacji quick wins – działań dających największą redukcję ryzyka w najkrótszym czasie.
Metryki sukcesu programu bezpieczeństwa
Skuteczny program cyberbezpieczeństwa mierzy MTTD (mean time to detect), MTTR (mean time to respond), liczbę critical findings po audycie, coverage backupów immutable oraz wynik phishing simulation. Dashboard prezentowany zarządowi co kwartał powinien pokazywać trend – nie tylko absolutne wartości. Cele powinny być realistyczne: np. skrócenie MTTR o 20% rok do roku, 100% coverage MFA na kontach admin, zero critical CVE na exposed services po 72h od publikacji.
Podsumowanie
Backdoor.Turn i nadużycie Teams to przypomnienie: whitelist SaaS nie zastępuje behawioralnej detekcji. Firmy B2B muszą monitorować ruch zaufanych aplikacji z taką samą surowością jak nieznane domeny. Zapraszamy do konsultacji w zakresie usług IT dla firm i zaawansowanego monitoringu.
Źródło: The Hacker News