DragonForce-ryhmän käyttämä Backdoor.Turn RAT piilottaa C2-liikenteen Microsoft Teamsin välityspalvelimiin. Hyökkäys kohdistui yhdysvaltalaiseen palveluyritykseen, ja uhka paljastui lokakuussa.
DragonForce-nimellä tunnetut kyberrikolliset ovat alkaneet hyödyntää Microsoft Teamsin välitysinfrastruktuuria piilottaakseen komentoliikenteensä. Ryhmä käyttää tätä tarkoitusta varten kehittämäänsä Go-kielistä etähallintahaittaohjelmaa, joka tunnetaan nimellä Backdoor.Turn. Tämä tekniikka tekee haitallisen liikenteen havaitsemisesta huomattavasti vaikeampaa perinteisillä tietoturvaratkaisuilla.
Havaittu hyökkäys kohdistui merkittävään yhdysvaltalaiseen palveluyritykseen, paljastaen toiminnan laajuuden ja kohdistuksen. Broadcomin omistamat Symantec ja Carbon Black ovat analysoineet uhkaa ja todenneet sen käyttämän kehittyneen tekniikan. Vaikka tarkka yrityksen nimi on pidety julkisuudessa, tapaus korostaa tietoturvauhrien monimutkaistumista.
Backdoor.Turn-haittaohjelma mahdollistaa laajan etäyhteyden ja hallinnan kohdejärjestelmään, mukaan lukien tiedostojen lataamisen ja suorittamisen sekä järjestelmän komentojen antamisen. Erityisen huolestuttavaa on, että kyseinen haittaohjelma pystyy myös kiertämään tunnistusjärjestelmiä naamioimalla tietoliikenteensä normaaliksi Microsoft Teams -viestinnäksi.
MSP:iden ja yritysten tietoturvahenkilöstön on nyt kiinnitettävä erityistä huomiota verkkoliikenteen analysointiin ja epätavallisten yhteyksien etsimiseen, erityisesti Microsoft Teamsin käytön yhteydessä. On suositeltavaa päivittää tietoturvaohjelmistot ja seurata aktiivisesti uusia uhkia, jotka hyödyntävät pilvipohjaisia viestintäpalveluita tiedonsiirron piilottamiseen.
Tärkeimmät pointit
- DragonForce-ryhmä käyttää Go-kielistä Backdoor.Turn RAT -haittaohjelmaa.
- C2-liikenne naamioidaan osaksi Microsoft Teamsin välitysinfrastruktuuria.
- Hyökkäys kohdistui merkittävään yhdysvaltalaiseen palveluyritykseen.
- Symantec ja Carbon Black ovat analysoineet uhan teknisiä yksityiskohtia.
- Haittaohjelma mahdollistaa tiedostojen hallinnan ja etäkomentojen suorittamisen.
Lähde: The Hacker News — alkuperäinen artikkeli julkaistu 18.6.2026
