قراصنة DragonForce يستغلون خوادم Teams لإخفاء برمجية Backdoor.Turn الخبيثة
يكشف تقرير جديد عن استغلال قراصنة DragonForce لشبكة Microsoft Teams لإخفاء برمجية Backdoor.Turn الخبيثة. هذا التكتيك المتطور يسمح لهم بتجاوز أنظمة الكشف التقليدية والتحكم الخفي.
مقدمة تحليلية
في تطور مقلق لأمن الفضاء السيبراني، كشفت تحقيقات مشتركة من شركتي Symantec وCarbon Black التابعتين لـ Broadcom عن تكتيك جديد وخطير تستخدمه مجموعة قراصنة DragonForce المرتبطة ببرمجيات الفدية. تكمن خطورة هذا التكتيك في استغلال البنية التحتية الشرعية لـ Microsoft Teams وتحديداً ميزة Traversal Using Relays around NAT (TURN) لإخفاء اتصالات القيادة والتحكم (C2) لبرمجية خبيثة مخصصة تدعى Backdoor.Turn. هذا الكشف يمثل أول توثيق علني لمثل هذا الاستغلال، ويسلط الضوء على مستوى متزايد من التطور في أساليب التخفي لدى المهاجمين.
لقد استُخدمت هذه البرمجية الخبيثة لاستهداف شركة خدمات أمريكية كبرى، حيث تمكن المهاجمون من البقاء داخل شبكة الضحية لمدة تتراوح بين شهر وشهرين دون اكتشاف. وتُعد القدرة على إخفاء حركة C2 ضمن تدفق البيانات المشروعة لتطبيق واسع الانتشار مثل Microsoft Teams بمثابة كابوس لمسؤولي الأمن، حيث تصبح عمليات الكشف التقليدية التي تعتمد على توقيعات محددة أو عناوين IP مشبوهة غير فعالة إلى حد كبير. هذا التطور يجبر المؤسسات على إعادة تقييم عميقة لاستراتيجياتها الدفاعية، خاصة فيما يتعلق بمراقبة تطبيقات SaaS وخدمات الحوسبة السحابية.
التحليل التقني
تعتمد Backdoor.Turn، وهي برمجية RAT مبنية بلغة Go، على آلية معقدة للغاية للتخفي. في البداية، تقوم البرمجية بالحصول على رمز زائر (visitor token) مجهول من خدمات الهوية الخلفية لـ Microsoft المدعومة من Skype والتي يستخدمها Teams. بعد ذلك، تستخدم Backdoor.Turn خادم ترحيل TURN شرعي تابع لشركة Microsoft لإعداد الاتصال. بمجرد إعداد الاتصال بمساعدة الترحيل، تنشئ البرمجية الخبيثة جلسة QUIC مباشرة مع خادم القيادة والتحكم (C2) الخاص بالمهاجم. هذا يعني أن المدافعين عن الشبكة يرون فقط اتصالات صادرة إلى خوادم Microsoft Teams المشروعة، مما يجعل التحديد والتمييز بين النشاط العادي والنشاط الخبيث أمراً شبه مستحيل.
تشير التحقيقات إلى أن المهاجمين حصلوا على الوصول الأولي من خلال استغلال ثغرة أمنية في خادم SQL أو MS-SQL، على الرغم من أن الطبيعة الدقيقة للثغرة غير معروفة. كما لا يستبعد احتمال الحصول على هذا الوصول من وسيط وصول أولي (IAB). بدأت الأنشطة الخبيثة الأولية في شبكة الضحية في ديسمبر 2025، حيث نفذ المهاجمون أمراً PowerShell لإسقاط أرشيف ZIP تحت ذريعة "تحديث عاجل للدعم الفني". كان ملف ZIP هذا مسؤولاً عن شن هجوم تحميل مكتبات DLL جانبي (DLL side-loading attack)، والذي بدوره يقوم بتشغيل مكتبة DLL ضارة لإجراء الاستطلاع، إعداد الثبات، وإسكات برامج الأمان باستخدام تعريف Huawei باسم "HWAuidoOs2Ec.sys".
يتم تحقيق هذا الإجراء الأخير عبر تقنية "أحضر تعريفك الضعيف" (bring your own vulnerable driver - BYOVD)، وهي تقنية تسمح للمهاجمين باستغلال التعريفات الشرعية التي تحتوي على نقاط ضعف لتعطيل الحلول الأمنية. وقد تم استخدام هذا التعريف في حملات إعلانية ضارة واسعة النطاق تستهدف الأفراد المقيمين في الولايات المتحدة والذين يبحثون عن مستندات متعلقة بالضرائب، رغم أن ذلك يُقال إنه حدث بعد حادثة برمجية الفدية. ومن التعريفات الأخرى المستخدمة لهذا الغرض ما يلي:
- wsftprm.sys (CVE-2023-52271)
- GameDriverX64.sys (CVE-2025-61155)
- K7RKScan.sys (CVE-2025-1055)
- ABYSSWORKER، وهو تعريف خبيث مخصص شوهد سابقاً في هجمات برمجية فدية Medusa.
تكمن ملاحظة بارزة أخرى في هذا الهجوم في تنفيذ Backdoor.Turn عن طريق حقنها في عملية "DbgView64.exe" الشرعية بعد نشر برمجية فدية DragonForce. هذا يشير إلى محاولة للحفاظ على الوصول المستمر إلى المضيف المخترق لهجمات لاحقة أو لإعادة بيعه لتحقيق الربح. تعتمد آلية Backdoor.Turn القائمة على TURN على تقنية اتصال C2 الخفية المسماة "Ghost Calls"، والتي تم توثيقها بواسطة Praetorian في أغسطس 2024. تدعم هذه البرمجية الخبيثة مجموعة واسعة من القدرات، بما في ذلك تنفيذ الأوامر، إنشاء العمليات، مسح الشبكة، البحث في LDAP وActive Directory، الحركة الجانبية القائمة على بيانات الاعتماد، وسرقة بيانات اعتماد المتصفح.
السياق وتأثير السوق
تؤكد هذه النتائج صورة مجموعة قرصنة تتبع أساليب إلكترونية متطورة لتنفيذ هجمات مستهدفة عالية التأثير، مع ترك الضحايا في الظلام بشأن عمليات سحب البيانات السرية. هذا الأمر ذو أهمية خاصة حيث تحول Hackledorb، الفاعل وراء DragonForce، من نموذج برمجية الفدية كخدمة (RaaS) التقليدي إلى هيكل كارتل منظم ورسمي للغاية. هذا التغيير في الاستراتيجية يشير إلى رغبة في تحقيق أقصى قدر من الكفاءة والسرية في عملياتهم، مما يجعلهم خصوماً أكثر تحدياً.
إن استغلال بنية تحتية لخدمات سحابية معروفة وموثوقة مثل Microsoft Teams يمثل سابقة خطيرة في مشهد التهديدات. بدلاً من محاولة تجاوز الأنظمة الأمنية المعقدة من خلال ثغرات مباشرة، يختار المهاجمون التخفي داخل تدفقات البيانات التي تُعتبر عادةً آمنة ومشروعة. هذا النهج يفرض ضغطاً هائلاً على حلول الأمن التقليدية القائمة على الكشف عن الشذوذ أو التوقيعات، حيث أن حركة C2 لا تظهر كشذوذ بل كجزء طبيعي من عمل التطبيق. ينبغي على المؤسسات الآن أن تستثمر في حلول أمنية أكثر عمقاً، قادرة على تحليل حركة البيانات السياقية وتحديد السلوكيات الشاذة ضمن التطبيقات المشروعة.
يكشف الجدول الزمني التشغيلي للمجموعة عن نمط من التطوير المستمر للقدرات، مع تبني تقنيات متقدمة للغاية كعلامة مميزة لنشاطهم بعد عام 2025. هذه القدرة على التكيف والتطور السريع تضع DragonForce في مصاف مجموعات برمجيات الفدية الأكثر قدرة واستمرارية في العمل اليوم. وهذا يشير إلى أننا قد نشهد المزيد من الهجمات التي تستغل نقاط ضعف غير متوقعة في تطبيقات وخدمات شائعة، مما يعمق التحديات التي يواجهها المدافعون عن الشبكات.
رؤية Glitch4Techs
من منظور Glitch4Techs، يمثل الكشف عن استغلال DragonForce لبنية Microsoft Teams التحتية نقطة تحول حرجة في تكتيكات الهجمات السيبرانية. إن التحدي الأكبر الذي يواجهه المدافعون يكمن في التمييز بين حركة C2 الخفية وحركة Teams الشرعية. تعتمد معظم حلول الأمان على الفحص عند الحواف أو على الكشف عن الأنماط المعروفة، وهو ما يصبح غير فعال تماماً أمام هجوم يتنكر في هيئة تطبيق موثوق به. هذا يتطلب تحولاً جذرياً نحو نماذج أمنية تركز على "الثقة الصفرية" (Zero Trust) والتحليل السلوكي المستمر داخل الشبكة وليس فقط عند نقاط الدخول والخروج.
تثير هذه التقنية مخاوف أمنية عميقة حول الثقة في التطبيقات التجارية الجاهزة (COTS) ومنصات الاتصال المستخدمة على نطاق واسع. إذا كان بإمكان المهاجمين استغلال بروتوكولات أساسية مثل TURN وQUIC داخل هذه المنصات، فإن كل خدمة سحابية قد تصبح نقطة ضعف محتملة. كما أن استخدام تقنيات BYOVD لإسكات برامج الأمان يضيف طبقة أخرى من التعقيد، مما يجعل الكشف عن وجود المهاجمين أمراً صعباً للغاية حتى بعد الاختراق الأولي.
نتوقع أن تؤدي هذه التكتيكات إلى موجة جديدة من الهجمات التي تستغل البنى التحتية الشرعية لتطبيقات SaaS الأخرى، ليس فقط لتمرير حركة C2 ولكن أيضاً لسرقة البيانات دون إثارة الإنذارات. يجب على المؤسسات التركيز على مراقبة سلوك المستخدمين ونقاط النهاية (Endpoint Detection and Response - EDR) بشكل مكثف، بالإضافة إلى تنفيذ حلول الكشف والاستجابة الموسعة (Extended Detection and Response - XDR) التي يمكنها تجميع وتحليل البيانات من مصادر متعددة لتحديد الأنماط الشاذة التي قد تشير إلى نشاط Backdoor.Turn أو ما شابهها. هذا التهديد يؤكد أن الابتكار في الدفاع يجب أن يتجاوز سرعة ابتكار المهاجمين، وهو سباق لا يمكن لأي من الطرفين التوقف فيه.
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.