悪名高いランサムウェアグループが、Microsoft Teams のコマンド&コントロール(C&C)トラフィックを偽装することで最大2か月にわたって大手企業のネットワークに密かに潜伏し、その後攻撃を実行したと、研究者らが警告しています。
6月16日に Symantec と Carbon Black が公開した調査レポートによると、攻撃者たちは「米国の大手サービス企業」のネットワークに DragonForce ランサムウェアを展開したとのことです。
サイバー犯罪者たちは Go 言語で作成されたリモートアクセス型トロイの木馬(RAT)を使用し、Microsoft Teams の TURN リレーサーバーを悪用してコマンド&コントロールのトラフィックを隠蔽しました。研究者が「Backdoor.Turn」と命名したこのバックドアは、防御側からは正規の Microsoft Teams サーバーへの外向き接続しか見えないようにトラフィックを巧みに偽装するものでした。
Backdoor.Turn は、まず Microsoft の Skype 基盤の ID サービスから匿名の Teams 訪問者トークンを取得し、その後 Microsoft の正規 TURN リレーを使って接続を確立する仕組みです。攻撃者はさらに QUIC トランスポート層ネットワークプロトコルのセッションを利用し、感染マシンと攻撃者が制御するサーバーを接続させました。
攻撃者はまた、攻撃当時は未公開だった Huawei ドライバーの脆弱性も悪用して自らの活動を隠蔽しました。この脆弱性は後に 2026年3月、Huntress によって詳細が公開されています。
ネットワーク内での持続的なアクセスを維持するため、攻撃者はさまざまな設定やシステムを改ざんしました。具体的には、空白パスワードの制限セキュリティ設定を解除して侵害済みマシンへ容易にアクセスできるようにし、新たなユーザーアカウントを作成してアクセスを維持・拡大するとともに、ファイアウォールルールを変更してリモートアクセスを可能にし、C&C 通信が妨害されないよう徹底しました。
関連記事: ランサムウェアがサイバーセキュリティ最大の脅威であり続ける理由
こうした機能に加え、Backdoor.Turn が持つコード実行、ネットワークスキャン、認証情報を利用したネットワーク内の横断的移動、侵害済みエンドポイントからのブラウザ認証情報の窃取といった能力が組み合わさることで、攻撃者は時間をかけてネットワークへのリモートアクセスを密かに確立することができました。
これらすべての活動を陰で支えたのが、Microsoft Teams の C&C トラフィックへの巧妙な隠蔽でした。
「今回のキャンペーンで使用された攻撃者の手法は、極めて高度なサイバー技術を駆使したものです。Backdoor.Turn の設定により、セキュリティ製品からは C&C トラフィックが正規の Teams サーバーへの通信としか見えません。そのため、悪意ある行為者によってデータが密かに外部へ送信されていることに、防御側は気づくことができないのです」と、研究者らはブログ記事の中で警告しています。
この攻撃は 2025年に発生しており、攻撃者はネットワーク内に DragonForce ランサムウェアを展開してデータを窃取し、被害者のマシンを暗号化しました。被害企業が復号鍵を入手するために身代金を支払ったかどうか、またはデータ削除を求めて攻撃者に交渉したかどうかは明らかになっていません。研究者らは、攻撃者が SQL または MSSQL サーバーの脆弱性を悪用して被害者のネットワークに侵入したことが今回の攻撃の発端だったと見ています。
DragonForce は近年最も悪名高いランサムウェアグループの一つとなっており、インシデント全体の中でも相当な割合を占めるほか、複数の大手小売業者を被害者として公表しています。
「Backdoor.Turn の展開と、多層的な BYOVD(Bring Your Own Vulnerable Driver)回避手法の組み合わせは、このグループが現在活動中のランサムウェアグループの中でも最も高い能力と持続性を持つ組織の一つであることを示しています」と、研究者らは警告しています。
翻訳元: https://www.infosecurity-magazine.com/news/dragonforce-ransomware-hidden/
