TokyoBlackHatNews

bleepingcomputer.com 5分で読了

ランサムウェアグループ、Microsoft Teamsリレーを悪用して悪性トラフィックを隠蔽

DragonForceランサムウェアは、「Backdoor.Turn」という名のカスタムマルウェアを使用し、コマンド&コントロール(C2)通信をMicrosoft Teamsのリレーインフラ内に隠蔽していたことがわかりました。

このバックドアは、Microsoft TeamsがNAT越えにTURN(Traversal Using Relays around NAT)プロトコルを悪用しています。TURNはクライアントへの直接接続が不可能な場合(プライベートネットワーク上のクライアントなど)にメッセージを転送するために使用されるプロトコルです。

DragonForceは少なくとも2023年から活動しているランサムウェアグループで、カルテル型の組織構造を採用しており、悪名高い脅威グループ「Scattered Spider」との関連も指摘されています。詳細はこちらのランサムウェア活動に関するレポートをご参照ください。

セキュリティ企業Symantecの研究者によると、攻撃者はGo言語で書かれたカスタムマルウェアを使用し、米国の大手サービス企業に対して攻撃を行いました。

Backdoor.TurnはTeamsのTURNインフラを悪用します。具体的には、匿名のTeams訪問者トークンを取得し、接続確立時に正規のMicrosoft TURNリレーを利用した後、攻撃者のC2サーバーに接続します。

その結果、防御側からはMicrosoft Teamsのインフラに関連するトラフィックとして見えるため、マルウェアは信頼されたネットワーク内に通信を隠すことができます。

昨年、Praetorianは「Ghost Calls」と呼ばれる新たな手法を開発しました。これは、TeamsおよびZoomの一時的なTURN認証情報を乗っ取ることで、信頼されたビデオ会議インフラを通じた隠密な通信トンネルを作成できることを実証したものです。

Ghost Callsは2025年にそのコンセプトを実証しましたが、Backdoor.TurnはMicrosoft TeamsのTURNリレーをC2通信に悪用した、実際の攻撃環境で確認された初のマルウェアとなっています。

「Backdoor.TurnはGo言語ベースのRATであり、Microsoft TeamsのTURNリレーサーバーを悪用してC2トラフィックを偽装した、初めて確認されたマルウェアです」とSymantecは述べています

研究者たちはまた、HuaweiのHWAuidoOs2Ec.sysドライバー(別名「Havoc Process Terminator」)の悪用も指摘しており、これはBring Your Own Vulnerable Driver(BYOVD)戦術における回避手段として使用されています。

DragonForceによる攻撃の詳細

Symantecによると、2025年12月に観測されたこの攻撃は、SQLまたはMSSQLサーバーの未知の脆弱性を悪用することから始まったとみられています。

攻撃者は足がかりを確立すると、正規のVirtualBox/DbgView実行ファイルとサイドローディングに使用される悪意あるDLLファイルを含むZIPアーカイブをダウンロードしました。

この段階で攻撃者は、持続性を強化し、不正なユーザーを作成し、WindowsのLimitBlankPasswordセキュリティポリシーを悪用して容易なアクセスを確保するとともに、ファイアウォールルールを改ざんしました。

次に、HuaweiのHWAuidoOs2Ec.sys、Topaz AntifraudのWsftprm.sys(CVE-2023-52271)、Tower of FantasyのGameDriverx64.sys(CVE-2025-61155)、K7 SecurityのK7RKScan.sys(CVE-2025-1055)など複数のドライバーを使ったBYOVD技術を駆使し、カーネルレベルの権限を取得してホスト上のセキュリティツールを停止させました。

攻撃者はまた、正規のPalo Altoドライバーを装ったカスタムの悪意あるドライバー「ABYSSWORKER」も使用しました。

RAT(リモートアクセス型トロイの木馬)であるBackdoor.Turnは、ランサムウェアを展開した後に「DbgView64.exe」に注入されており、持続性の確保や将来的なアクセスを目的としている可能性が示唆されています。

このマルウェアは接続確立時に正規のMicrosoft TURNリレーサーバーを使用して匿名のTeams訪問者トークンを取得し、C2との通信を確立します。

その機能には、コマンド実行、プロセス作成、ネットワークスキャン、TLS証明書のキャプチャ、LDAP/Active Directoryの検索、Webサイトタイトルの収集、ブラウザ認証情報の窃取などが含まれます。

偵察と防御回避を完了した後、攻撃者はすべてのデータを窃取し、DragonForceランサムウェアを展開して被害者のシステムを暗号化しました。

研究者たちは、「このキャンペーンの背後にいる攻撃者は、きわめて高度なサイバー技術を駆使している」と述べています。

Symantecは、防御側がこのような攻撃を検知・阻止できるよう、侵害の痕跡(IoC)の完全なリストを公開しています。

攻撃者より先に、あらゆる防御層をテストする

セキュリティチームが記録できる攻撃成功は全体の54%に過ぎず、アラートが発生するのはわずか14%です。残りの攻撃は、環境内を検知されることなく侵入しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がどのようにSIEMおよびEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐかを解説しています。

ホワイトペーパーをダウンロード

翻訳元: https://www.bleepingcomputer.com/news/security/ransomware-gang-abuses-microsoft-teams-relays-to-hide-malicious-traffic/

ソース: bleepingcomputer.com
#Backdoor.Turn #BYOVD #C2通信 #DragonForce #Microsoft Teams #RAT #Scattered Spider #Symantec #TURNプロトコル #ランサムウェア

関連記事

CISAが攻撃に悪用されたcPanelプラグインの別の脆弱性に警告

Fortinet FortiSandboxの重大な脆弱性、攻撃での悪用が始まる

SprySOCKS Linuxマルウェアのウィンドウズ版、政府機関への攻撃に使用