高度なランサムウェアキャンペーンにおいて、攻撃者がMicrosoftのコラボレーションインフラを逆手に取り、コマンド&コントロール(C2)トラフィックをMicrosoft Teamsのリレーサーバー内に隠蔽するという手口が確認されました。野生環境でのマルウェア通信へのTURNリレー技術の悪用が記録されたのは、これが初の事例となります。
この侵害を調査・帰属特定したSymantecチームは、初期アクセスはSQLまたはMSSQLサーバーの脆弱性を通じて得られた可能性が高いと指摘しています。ただし、攻撃者がイニシャルアクセスブローカーからアクセスを購入していた可能性もあるとしています。
DragonForceランサムウェアの背後にいる脅威アクターは、米国の大手サービス企業を標的とし、2025年12月から1〜2か月にわたって被害者のネットワーク内に検知されることなく潜伏し続けていました。
ネットワーク内に侵入した後、攻撃者は正規のVirtualBox/DbgView実行ファイルと、サイドローディング用の悪意あるDLLをペアにした.zipアーカイブを展開しました。
悪意あるvboxrt.dllはリモートサーバーから二次ペイロードをダウンロードし、侵害された環境全体での偵察活動、永続化、および防御回避を可能にしたとSymantecは述べています。
攻撃者はさらに、ファイアウォールルールを変更し、新たなユーザーアカウントを作成するとともに、侵害されたマシンへのLimitBlankPasswordアクセスを有効化することで、足がかりをより強固なものにしました。
このキャンペーンで最も技術的に注目すべき要素は、ステルス性を確保するために正規のDbgView64.exeプロセスに注入されたカスタムGo製リモートアクセストロイの木馬(RAT)、Backdoor.Turnです。
そのC2メカニズムはBlack Hat 2025で発表された「Ghost Calls」技術を参考にしており、悪意あるトラフィックを正規のMicrosoft Teamsのアクティビティと区別できなくするために特別に設計されています。
このバックドアはまず、MicrosoftのTeams/Skypeアイデンティティバックエンドから匿名訪問者トークンを取得します。次に正規のMicrosoft TURNリレーサーバーを使って初期接続を確立した後、攻撃者の実際のC2サーバーへの直接QUICセッションを開きます。
ネットワーク防御担当者の視点では、すべてのアウトバウンドトラフィックが正規のMicrosoft Teamsサーバーで終端しているように見えるため、従来のネットワークベースの検知は完全に無効化されます。通信のトンネリング以外にも、Backdoor.
Turnはコマンド実行、TLS証明書収集を伴うネットワークスキャン、LDAPおよびActive Directoryのドメインマッピング、認証情報を利用した水平移動、そして侵害されたエンドポイントからのブラウザ認証情報窃取をサポートしています。
攻撃者は、カーネルレベルでエンドポイントセキュリティを無効化するために、異常に広範なBYOVD(Bring Your Own Vulnerable Driver)技術を展開しました。
中でも特筆すべきは、HuaweiのHWAuidoOs2Ec.sysドライバーを新たな方法で悪用するHavoc Process Terminatorです。このドライバーは攻撃発生時点では脆弱性が公表されていませんでしたが、この侵害が起きた後の2026年3月にHuntressがその悪用可能な状態を文書化しました。
攻撃者はさらに、Topaz AntifraudのwsftprM.sysにおけるCVE-2023-52271、Tower of FantasyのGamedriverx64.sysにおけるCVE-2025-61155、そしてK7 SecurityのK7RKScan.sysにおけるCVE-2025-1055も悪用しました。
さらに複雑な要素として、このグループはPalo Altoの正規ドライバーを装ったカスタムの悪意あるドライバー「Abyss Worker」を展開しました。
Symantecは、従来のBYOVD攻撃は正規の署名済みドライバーの弱点を悪用するものだと説明しています。これは目的特化型の悪意あるドライバーであり、ランサムウェアの運用においてほとんど観察されていない手法です。
DragonForceは少なくとも2023年6月から活動しており、SymantecによってHackledorbという脅威クラスターとして追跡されています。標準的なランサムウェア・アズ・ア・サービス(RaaS)の運用形態から、高度に構造化されたカルテルモデルへと進化を遂げています。
Backdoor.Turnとマルチベクター型のBYOVD回避技術を組み合わせた展開は、運用能力の大幅な飛躍を示しています。また、公開された脆弱性記録のないドライバーを悪用したことは、このグループが新たな攻撃手法の開発に積極的に投資していることを示しています。
こうした運用プロファイルは、DragonForceを現在活動中のランサムウェアグループの中でも、最も技術的に高度で執拗なグループの一つとして位置づけるものです。
注記: IPアドレスとドメインは、誤って解決またはハイパーリンクされることを防ぐため、意図的に無効化されています(例:[.])。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ再度有効化してください。
翻訳元: https://cyberpress.org/microsoft-teams-abused-malware/