Операторы вымогательской группировки DragonForce применили новый метод маскировки атак, используя серверы Microsoft Teams для сокрытия вредоносного трафика. Исследователи из Symantec и Carbon Black обнаружили, что в недавней кампании хакеры задействовали кастомный бэкдор Backdoor.Turn.Backdoor.Turn маскирует обмен данными между заражённой системой и командным сервером под легитимный трафик Microsoft Teams. Это позволяет обходить системы сетевой безопасности, которые не блокируют соединения с доверенными облачными сервисами Microsoft.Злоумышленники используют эту тактику, чтобы избежать обнаружения на ранних этапах атаки. После проникновения в сеть они развёртывают вредоносное ПО, которое имитирует обычную активность пользователей Teams.DragonForce известна атаками на различные организации, и использование легитимных сервисов для сокрытия трафика становится всё более популярным среди вымогателей. Ранее подобные методы применялись с сервисами Google Drive и Dropbox.Эксперты по безопасности отмечают, что такой подход усложняет выявление аномалий в сети, так как администраторам сложно отличить вредоносный трафик от обычных корпоративных коммуникаций. Организациям рекомендуется внедрять более детальный мониторинг трафика к облачным сервисам и использовать инструменты поведенческого анализа.