TokyoBlackHatNews

gbhackers.com 5分で読了

Microsoft Teamsのリレーサーバーを悪用——ハッカーが悪性通信を隠蔽

Microsoft Teamsの信頼されたインフラが脅威アクターに悪用され、悪性トラフィックを密かに中継するための経路として使われていたことが明らかになりました。この手口は、DragonForceグループによるランサムウェアキャンペーンと関連しており、非常に高い隠密性を持つ攻撃として注目されています。

セキュリティ研究者らは、攻撃者がMicrosoft TeamsのTURN(Traversal Using Relays around NAT)サーバーを悪用してコマンド&コントロール(C2)通信を隠蔽するという、これまでに例のない新たな手法を発見しました。この技術により、悪性の通信活動が正規の企業トラフィックと見分けがつかなくなります。

Microsoft Teamsリレーの悪用

Symantecの報告によると、このキャンペーンは米国の大手サービス企業を標的としており、攻撃者がMicrosoftの公式リレーサーバーを通じて通信を秘密裏にトンネリングする中、最長2か月にわたって検知を回避し続けたとされています。

この攻撃の中核を担っているのが、「Backdoor.Turn」として追跡されている、これまで文書化されていなかったGoベースのリモートアクセス型トロイの木馬(RAT)です。このマルウェアはMicrosoft TeamsのバックエンドインフラをSkypeベースのIDサービスも含めて活用し、匿名の訪問者トークンを取得したうえで、信頼されたTURNリレー経由のアウトバウンド接続を確立します。

リレー接続が確立されると、Backdoor.TurnはQUICベースのセッションを介して攻撃者が管理するC2サーバーと通信を開始します。この最初の通信が正規のMicrosoft Teamsトラフィックと酷似しているため、従来のネットワーク監視ツールでは異常を検知できず、防御側は実質的に盲目の状態に置かれます。

実際の攻撃においてTURNリレーインフラが悪用されたことが確認されたのは、これが初めてのケースです。ステルスC2技術の大きな進化を示す事例といえます。

今回の侵入における最初のアクセスは、未知のSQLまたはMSSQLの脆弱性を突いたものか、あるいはイニシャルアクセスブローカーから権限を購入したものである可能性が高いとみられています。

Image

侵入後、攻撃者は正規のVirtualBox実行ファイルとサイドロードされたDLLをセットにした悪意のあるZIPアーカイブを展開しました。

このDLLハイジャック手法を用いることで、信頼されたアプリケーションに偽装しながら悪性のペイロードを実行し、セキュリティ制御を回避してネットワーク内部への侵害を深めることが可能になりました。

持続性を確保するため、攻撃者はシステム設定を改ざんし、空白パスワードでのログインを有効化したり、不正なユーザーアカウントを作成したり、ファイアウォールルールを変更してリモートアクセスを維持したりしました。

さらに、ADExploreやNetscanなどのツールを使って環境を詳細にマッピングし、ラテラルムーブメント(横断的侵害)の機会を探る広範なリコナサンスも実施されました。

攻撃の重要な要素として、BYOVD(Bring Your Own Vulnerable Driver)技術を用いた高度な防御回避が挙げられます。攻撃者はCVE-2023-52271CVE-2025-1055などの既知の欠陥を含む、署名済みながら脆弱性を抱えた複数のドライバーを悪用し、カーネルレベルでセキュリティプロセスを強制終了しました。

特筆すべき点として、研究者らは「Havoc Process Terminator」と呼ばれるHuawei製ドライバー「HWAuidoOs2Ec.sys」の新たな悪用を確認しており、これは実際の攻撃での使用が確認された初めてのケースとなっています。

さらに攻撃者は、正規のPalo Altoコンポーネントに偽装した「Abyss Worker」という名称のカスタムビルドの悪意あるドライバーも展開しました。このアプローチは従来のBYOVD手法とは一線を画しており、脅威アクターがツール開発に高度な技術力と多大なリソースを投じていることを示しています。

リコナサンスと防御回避を経て、DragonForceのランサムウェアペイロードが実行され、データの窃取とシステムの暗号化が行われました。興味深いことに、Backdoor.Turnは暗号化の実施後に展開されており、長期的な持続性の確保や、侵害済み環境への将来の再侵入を目的としている可能性が示唆されます。

Backdoor.Turnはコマンド実行、ネットワークスキャン、Active Directoryの列挙、認証情報の窃取、ラテラルムーブメントなど、侵害後の幅広い機能をサポートしています。

その設計は、Black Hat 2025で発表された「Ghost Calls」技術から着想を得ており、正規の通信プラットフォームを秘密のC2チャネルとして活用することに焦点を当てています。

セキュリティ専門家らは、このキャンペーンをHackledorbとも呼ばれるDragonForceランサムウェアグループに帰属させています。同グループはランサムウェア・アズ・ア・サービス(RaaS)の運営体制から、より組織化された資金力豊富なサイバー犯罪カルテルへと進化を遂げています。

カスタムマルウェアの活用、革新的な回避技術、そして正規インフラの悪用といった手口の増加は、高度に標的を絞った執拗な攻撃へのシフトを示しています。

翻訳元: https://gbhackers.com/microsoft-teams-relay-abused-by-hackers/

ソース: gbhackers.com
#Backdoor.Turn #BYOVD #C2通信 #DLLハイジャック #DragonForce #Microsoft Teams #RaaS #TURNサーバー #サイバー攻撃 #ランサムウェア

関連記事

Silent Ransom Group、ボイスフィッシングとデータ窃取恐喝で米国法律事務所を標的に

ハッカーが Fortinet FortiSandbox の重大な脆弱性を悪用した攻撃を展開中

OnionDropローダーがDLLサイドローディングを悪用して複数のインフォスティーラーを展開