AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Nueva técnica ‘Ghost Calls’ emplea servidores TURN de Zoom y Teams para evadir detección C2**

admin

### 1. Introducción

En el panorama actual de amenazas, los actores maliciosos continúan perfeccionando sus estrategias para evitar los controles de seguridad y mantener la persistencia en sistemas comprometidos. Una nueva técnica de evasión post-explotación, apodada ‘Ghost Calls’, ha llamado la atención de la comunidad de ciberseguridad al aprovechar la infraestructura legítima de servidores TURN utilizada por aplicaciones de videoconferencia como Zoom y Microsoft Teams. Esta táctica permite a los atacantes encubrir el tráfico de comando y control (C2), dificultando su detección tanto para soluciones de monitoreo de red como para los equipos de respuesta ante incidentes.

### 2. Contexto del Incidente o Vulnerabilidad

Los servidores TURN (Traversal Using Relays around NAT) son componentes críticos en la arquitectura de aplicaciones de comunicación en tiempo real, ya que facilitan la conectividad entre usuarios detrás de firewalls o NATs. Plataformas ampliamente adoptadas como Zoom, Microsoft Teams, Google Meet y otras, confían en esta tecnología para garantizar la calidad y estabilidad de las conexiones.

Recientemente, investigadores de ciberseguridad han identificado que los actores de amenazas están abusando de servidores TURN públicos y privados de estas plataformas para encapsular y desviar el tráfico C2. El método, denominado ‘Ghost Calls’, aprovecha la confianza que las organizaciones depositan en el tráfico relacionado con estos servicios, sorteando inspecciones de red, listas blancas de dominios y mecanismos de detección tradicionales en gateways de seguridad.

### 3. Detalles Técnicos

**CVE y superficie de ataque:** Actualmente, la técnica ‘Ghost Calls’ no está vinculada a una vulnerabilidad concreta (sin CVE asignado), sino que explota el diseño funcional de los servidores TURN y la permisividad de las reglas de red institucionales.

**Vectores de ataque:** El atacante, tras comprometer un sistema mediante técnicas tradicionales (exploits, phishing, malware personalizado), establece un canal de post-explotación hacia el exterior. Mediante herramientas de tunneling, encapsula el tráfico C2 (por ejemplo, sesiones de Metasploit o Cobalt Strike) en paquetes TURN, utilizando puertos UDP/TCP 3478 y 443, habitualmente permitidos por firewalls corporativos.

**TTPs MITRE ATT&CK:**
– **T1095 (Non-Application Layer Protocol):** Uso de protocolos no estándar para C2.
– **T1571 (Non-Standard Port):** Utilización de puertos legítimos para encubrir tráfico malicioso.
– **T1090.003 (Multi-hop Proxy):** Encadenamiento de proxys para dificultar el rastreo.

**Indicadores de compromiso (IoC):**
– Conexiones persistentes a dominios y subredes de TURN asociados a plataformas SaaS (ej. *.zoom.us, *.teams.microsoft.com).
– Tráfico TURN anómalo con payloads no propios de sesiones RTC.
– Solicitudes de asignación y binding frecuentemente repetidas fuera de horarios laborales.

**Frameworks y herramientas:**
– Adaptaciones de Cobalt Strike y Metasploit para encapsular beacons en tráfico TURN/STUN.
– Utilización de librerías como `pion/turn` en Go o `coturn` para construir proxys maliciosos.

### 4. Impacto y Riesgos

El principal riesgo derivado de ‘Ghost Calls’ es la capacidad de los atacantes para mantener canales de C2 persistentes y encubiertos, incluso en entornos altamente monitorizados. Según estimaciones de firmas de threat intelligence, hasta un 70% de las empresas del Fortune 500 permiten tráfico TURN sin inspección profunda debido a la dependencia operativa de plataformas colaborativas.

La explotación de este vector puede facilitar:
– Exfiltración de datos sensibles sin ser detectada.
– Movimientos laterales en redes internas.
– Implantación de payloads adicionales y mantenimientos de acceso post-explotación.

A nivel económico, incidentes asociados a canales C2 encubiertos han derivado en costes medios de contención superiores a 4,5 millones de euros, incluyendo sanciones por incumplimiento de GDPR y NIS2 en casos de brechas no notificadas a tiempo.

### 5. Medidas de Mitigación y Recomendaciones

Para mitigar los riesgos asociados a ‘Ghost Calls’, se recomienda:
– **Inspección profunda de paquetes (DPI):** Implementar soluciones capaces de analizar el contenido real de sesiones TURN y detectar patrones anómalos en payloads.
– **Restricción de dominios y registros DNS:** Limitar el acceso a servidores TURN únicamente a los dominios y rangos IP estrictamente necesarios para la operativa empresarial.
– **Monitorización de comportamiento:** Establecer alertas ante patrones inusuales de uso TURN, como conexiones fuera de horarios o desde sistemas sin clientes RTC instalados.
– **Segmentación de red:** Aislar los sistemas críticos de aquellos que puedan iniciar tráfico TURN.
– **Actualización de políticas de seguridad:** Revisar excepciones en firewalls y proxies, evitando la sobreexposición de puertos 3478 y 443 a todo el tráfico TURN.
– **Colaboración con proveedores SaaS:** Solicitar informes detallados de uso y accesos a servicios TURN.

### 6. Opinión de Expertos

Analistas de amenazas de firmas como Mandiant y Kaspersky advierten que este tipo de técnicas “living off the land”, que abusan de servicios legítimos, marcarán la tendencia en operaciones APT avanzadas durante 2024 y 2025. Según David Barroso, CTO de CounterCraft, “la confianza ciega en el tráfico de plataformas colaborativas debe revisarse urgentemente; la frontera entre lo legítimo y lo malicioso es cada vez más difusa”.

### 7. Implicaciones para Empresas y Usuarios

Para los CISOs y responsables de seguridad, este incidente evidencia la necesidad de redefinir los controles de red y priorizar la visibilidad sobre todo el tráfico, incluso aquel proveniente de aplicaciones SaaS de confianza. Los usuarios, por su parte, deben ser conscientes de que la mera utilización de herramientas populares no implica inmunidad frente a ataques avanzados.

Además, el cumplimiento normativo bajo GDPR y NIS2 exige capacidades de detección y respuesta ante canales de exfiltración encubiertos, así como la notificación proactiva de incidentes que puedan impactar la confidencialidad de datos personales.

### 8. Conclusiones

‘Ghost Calls’ representa una evolución significativa en las técnicas de evasión C2, aprovechando infraestructuras de comunicación altamente confiadas. Las organizaciones deben adaptar sus estrategias de defensa, incrementando la visibilidad y el control sobre servicios utilizados cotidianamente. La colaboración entre equipos internos y proveedores SaaS será clave para anticipar y mitigar amenazas de esta naturaleza en el futuro inmediato.

(Fuente: www.bleepingcomputer.com)