Хакерская группировка DragonForce сидела в сети крупной американской компании больше месяца – тянула данные, управляла доступом, перемещалась между хостами, готовила шифровальщик – и ни разу не спалилась. Ни один сетевой датчик так и не сработал на канал управления: весь C2-трафик уходил на легитимные серверы Microsoft Teams. Не на офшорный VPS, не на свежезарегистрированный домен, а на инфраструктуру видеосвязи, которой периметр доверяет по умолчанию – и которую сам же выводит из-под досмотра.
Интересна здесь не группировка, а приём, который она пустила в ход: командный канал, спрятанный в трафике веб-конференций. Его не маскировали под легитимный трафик – он и есть легитимный конференц-трафик к настоящим релеям Microsoft. Уязвимости тут нет ни одной, а значит, нет ни патча, ни сигнатуры, которыми это можно прикрыть.
За несколько месяцев до атаки этот приём – Ghost Calls, «призрачные звонки» – показали со сцены Black Hat как исследовательский концепт с открытым PoC. Вся его сила держится на одном штатном свойстве TURN-релеев, том самом, что обеспечивает работу видеосвязи.
Эта статья доступна только подписчикам. Оформите подписку, чтобы получить доступ ко всем премиум статьям.
Оформить подписку →Автор: hacker@shifry.local