Giriş
DragonForce ransomware, Microsoft Teams üzerinden komut ve kontrol trafiğini gizlemek için tasarlanmış ‘Backdoor.Turn’ isimli özel bir kötü amaçlı yazılım kullanıyor. Bu durum, hem bireysel kullanıcılar hem de kuruluşlar için siber güvenlik açısından oldukça kaygı verici bir tehdittir.
Saldırı Nasıl Çalışıyor?
DragonForce, Microsoft Teams’in TURN (Traversal Using Relays around NAT) protokolünü kötüye kullanarak, doğrudan bağlantının mümkün olmadığı durumlarda mesaj dağıtımını gerçekleştiriyor. Araştırmalar, bu kötü amaçlı yazılımın anonim bir Teams ziyaretçi token’ı elde ederek, bağlantı kurulumu sırasında meşru bir Microsoft TURN relay’i üzerinden saldırganın komut ve kontrol (C2) sunucusuna bağlandığını göstermektedir. Bu sayede, savunucular Microsoft Teams altyapısına ait trafiği görürken, kötü amaçlı yazılım iletişimlerini güvenilir bir ağda gizlemeyi başarıyor.
Etkilenen Sistemler
DragonForce’un saldırıları, *CVE-2023-52271* (Topaz Antifraud wsftprm.sys), *CVE-2025-61155* (Tower of Fantasy GameDriverx64.sys), ve *CVE-2025-1055* (K7 Security K7RKScan.sys) gibi çeşitli zayıflıkları içeriyor. Ayrıca, Huawei’nin HWAuidoOs2Ec.sys sürücüsü, “Bring Your Own Vulnerable Driver” (BYOVD) taktiklerinde kaçmayı sağlamak için kullanılmıştır.
Hackerlar, sahte kullanıcılar yaratmayı, Windows’ta LimitBlankPassword güvenlik politikasını sömürmeyi, ve güvenlik duvarı kurallarını değiştirmeyi de içererek sistemde kalıcılık sağlamışlardır.
Çözüm ve Korunma
Kullanıcılar ve güvenlik ekipleri, aşağıdaki önlemleri alarak saldırılara karşı korunabilirler:
- Güncellemeler: Tüm yazılımlarınızı ve güvenlik sistemlerinizi en güncel sürümlerle güncelleyin.
- Portları Kapatma: Gereksiz portları kapatın ve ağınızı koruyun.
- Ağ İzleme: Şüpheli aktiviteleri izleyebilmek için ağ trafiğinizi düzenli olarak gözden geçirin.
- IoC Takibi: Symantec tarafından sağlanan indikatörleri (IoCs) kullanarak sisteminizi tarayın.
Sonuç
Bu kapsamda, işletmelerin güncel savunma stratejileri geliştirerek ve ağ güvenliğini artırarak bu tür saldırılara karşı proaktif önlemler almaları şarttır. Kötü amaçlı yazılımları gizleme ve yayılma potansiyeli olan tehditlerle başa çıkabilmek için sistemlerinizi sürekli güncel tutun ve ilgili güvenlik önlemlerini alın.
