Security

Taktik Mutakhir DragonForce: Sembunyikan Jaringan Komunikasi Malware di Dalam Server Microsoft Teams

10 minutes ago
2 minutes read

Sindikat ransomware DragonForce dilaporkan telah mengembangkan metode spionase siber yang sangat canggih untuk mengelabui tim pertahanan keamanan jaringan. Berdasarkan temuan terbaru dari firma keamanan Symantec, kelompok ini menggunakan malware kustom berbasis bahasa Go bernama ‘Backdoor.Turn’ yang mampu menyamarkan lalu lintas data perintah (C2 traffic) mereka di dalam infrastruktur server relai resmi milik Microsoft Teams.

DragonForce, yang telah aktif sejak tahun 2023 dan dikenal memiliki hubungan erat dengan kelompok peretas kawakan Scattered Spider, menggunakan taktik ini saat melancarkan serangan siber masif terhadap sebuah perusahaan penyedia jasa besar di Amerika Serikat.

Eksploitasi Protokol TURN: Manipulasi “Ghost Calls” di Dunia Nyata

Akar dari manipulasi ini berpusat pada penyalahgunaan protokol TURN (Traversal Using Relays around NAT). Di dalam aplikasi Microsoft Teams, protokol relai ini berfungsi sebagai jembatan untuk mendistribusikan pesan atau panggilan video ketika pengguna berada di balik jaringan privat yang ketat dan tidak bisa terhubung secara langsung.

Taktik menyusup lewat jalur konferensi video ini sebenarnya sempat diperkenalkan sebagai konsep teoretis bernama “Ghost Calls” oleh tim peneliti Praetorian pada tahun 2025. Namun, temuan Symantec terhadap Backdoor.Turn menandai kasus pertama di dunia di mana taktik eksploitasi relai Microsoft Teams ini benar-benar dipraktekkan secara aktif dalam serangan kriminal siber di dunia nyata.

[ Malware Backdoor.Turn ] โ”€โ”€โ–บ Mengambil Token Pengunjung Anonim Teams Resmi
                                       โ”‚
                                       โ–ผ
[ Server C2 Peretas ] โ—„โ”€โ”€โ”€ [ Server Relai TURN Microsoft Teams ] โ—„โ”€โ”€โ”€โ”€โ”€โ”˜
                               (Trafik Tersamarkan sebagai Jalur Tepercaya)
  1. Memanen Token Anonim: Malware Backdoor.Turn masuk ke infrastruktur Microsoft dan meminta token pengunjung anonim (anonymous visitor token) yang sah.
  2. Membuat Terowongan Siluman: Menggunakan token tersebut, malware membangun koneksi ke server relai TURN resmi milik Microsoft.
  3. Mengelabui Sistem Pertahanan: Server Microsoft kemudian meneruskan lalu lintas data tersebut ke server kendali (C2) milik peretas.

Bagi tim analis keamanan (Blue Team) maupun perangkat lunak pemantau jaringan, seluruh lalu lintas data yang keluar-masuk dari komputer korban akan terbaca sebagai aktivitas panggilan atau obrolan sah dari aplikasi Microsoft Teams, membuat koneksi ilegal ini lolos dari pemblokiran fungsional firewall.

Anatomi Serangan: Teknik BYOVD dan Pembunuhan Antivirus

Investigasi mendalam Symantec menunjukkan bahwa kelompok DragonForce memiliki keahlian ofensif tingkat tinggi. Sebelum menanamkan backdoor siluman tersebut, mereka melancarkan rangkaian taktik intrusi yang sangat agresif:

  • Akses Awal: Peretas disinyalir masuk pertama kali memanfaatkan celah keamanan zero-day yang belum diketahui pada server SQL/MSSQL korban.
  • Taktik BYOVD (Bring Your Own Vulnerable Driver): Untuk melumpuhkan sistem pertahanan antivirus dan EDR yang terpasang di komputer korban, peretas sengaja memasang jajaran driver resmi yang diketahui memiliki celah keamanan kritis tingkat kernel. Beberapa driver yang disalahgunakan meliputi:
    • HWAudioOs2Ec.sys (Driver audio milik Huawei yang berfungsi sebagai Havoc Process Terminator).
    • wsftprm.sys (Topaz Antifraud – CVE-2023-52271).
    • GameDriverx64.sys (Gim Tower of Fantasy – CVE-2025-61155).
    • K7RKScan.sys (K7 Security – CVE-2025-1055).
  • Driver Manipulasi ABYSSWORKER: Peretas juga memasang driver berbahaya kustom bernama ABYSSWORKER yang dikodekan secara khusus agar menyamar menggunakan nama identitas digital mirip driver resmi milik Palo Alto Networks.

Kemampuan Jarak Jauh Backdoor.Turn

Setelah antivirus berhasil dilumpuhkan lewat hak akses level kernel dari driver-driver di atas, peretas menyuntikkan kode Backdoor.Turn ke dalam proses sistem DbgView64.exe sebagai jaminan agar mereka tidak kehilangan akses kendali jika server sewaktu-waktu dimulai ulang (persistence).

Melalui pintu belakang berbasis Microsoft Teams ini, peretas dapat memberikan instruksi jarak jauh untuk mengeksekusi fungsi spionase berbahaya, seperti:

  • Pemindaian dan pemetaan seluruh isi jaringan internal (network scanning).
  • Pencarian data direktori aktif perusahaan (LDAP/Active Directory searching).
  • Ekstraksi sertifikat enkripsi TLS.
  • Pencurian massal kata sandi yang tersimpan di dalam aplikasi peramban (browser credential theft).

Begitu seluruh data rahasia perusahaan berhasil dijarah dan ditransfer keluar, kelompok DragonForce menutup aksi mereka dengan mengeksekusi muatan utama ransomware untuk mengenkripsi seluruh sistem komputer korban dan meninggalkan pesan tuntutan pemerasan finansial. Symantec telah merilis daftar lengkap Indikator Kompromi (IoCs) terkait struktur file malware ini agar organisasi dapat mendeteksi dini jika ada aktivitas mencurigakan serupa di jaringan mereka.

Sumber: Symantec Enterprise Advanced Threat Research Division

Tags
10 minutes ago
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button