Symantecの報告によると、DragonForceランサムウェアグループは米国のサービス企業への侵入において、Backdoor.Turnと呼ばれるカスタムマルウェアを使用し、コマンド&コントロール(C2)通信をMicrosoft Teamsのリレーインフラ内に隠蔽していたことが明らかになりました。
DragonForceは2023年から活動を続けるランサムウェア・アズ・ア・サービス(RaaS)オペレーションです。このグループは身代金支払いの一部を受け取る代わりに、アフィリエイトにランサムウェアツールとサポートサービスを提供しています。
Microsoft Teams TURNインフラの初の悪用事例
「Backdoor.TurnはMicrosoftのSkypeベースのIDサービスから匿名のTeamsビジタートークンを取得し、正規のMicrosoft TURNリレーを使って接続を確立した上で、攻撃者の実際のC2サーバーへのQUICセッションを実行します」とSymantecは説明しています。
このマルウェアは通信プロセスにおいて正規のMicrosoft Teamsインフラを利用するため、ネットワークトラフィックを監視する防御側には、主にMicrosoftの正規サーバーへの送信接続として見えることになります。攻撃者は被害者のネットワーク内に1〜2か月間にわたって潜伏していました。
「TURNリレーインフラがこのような形で実際の攻撃に悪用されたのは、私たちの知る限り今回が初めてです。」
DLLサイドローディングとBYOVD手法の悪用
2025年12月に初めて確認されたこの活動は、脆弱なSQLまたはMicrosoft SQL Serverシステムの悪用から始まったとみられていますが、研究者らは正確な侵入経路を特定できておらず、アクセスブローカーを介して取得されたアクセス権が利用された可能性も指摘しています。
ネットワーク内への侵入後、攻撃者は正規のVirtualBox/DbgView実行ファイルと、サイドローディングに使用する悪意のあるDLLを含むZIPアーカイブをダウンロードしました。
「実行されると、悪意のあるvboxrt.dllはサーバーリストからコードをダウンロードします。このコードはアクセスの確保、偵察、検出回避など、さまざまな目的に使用されます。」
この段階で攻撃者は追加のユーザーアカウントを作成し、侵害されたマシンへのアクセスを容易にするためにWindowsのLimitBlankPassword設定を変更するとともに、ファイアウォールルールも改変しました。
検出回避のために、攻撃者はBYOVD手法を活用してカーネルレベルの権限を取得し、セキュリティツールを無効化しました。使用されたドライバーには、HuaweiのHWAuidoOs2Ec.sys、Topaz Antifraudのwsftprm.sys(CVE-2023-52271)、Tower of FantasyのGameDriverx64.sys(CVE-2025-61155)、K7 SecurityのK7RKScan.sys(CVE-2025-1055)が含まれています。
Symantecによると、Huaweiのドライバーは「Havoc Process Terminator」と呼ばれる新たな攻撃手法の一部として使用されており、これまで攻撃への悪用は確認されていなかったとされています。Huntressの研究者らは、この侵入発生後の2026年3月に当該ドライバーの脆弱性の状態を文書化しました。
攻撃者はさらに、正規のPalo Alto Networksドライバーを装うよう設計されたカスタムビルドのマルウェアドライバー「ABYSSWORKER」も使用しました。
偵察と検出回避の活動に続き、攻撃者はデータを外部に窃取し、DragonForceランサムウェアのペイロードを展開しました。
ランサムウェア攻撃後に展開されたBackdoor.Turn
Backdoor.Turnリモートアクセス型トロイの木馬(RAT)は、ランサムウェアが展開された後に正規のDbgView64.exeプロセスに注入されており、侵害されたシステムへのアクセス維持や将来の侵入支援を目的としている可能性があります。
Backdoor.Turnはコマンドの実行、プロセスの起動、ネットワークスキャン、TLS証明書情報の取得、LDAPおよびActive Directory環境の検索、盗まれた認証情報を使ったネットワーク内での横断的移動、侵害されたシステムからのブラウザ認証情報の窃取といった機能を備えています。
「Backdoor.Turnの展開と多段階のBYOVD回避手法の組み合わせにより、彼らは現在活動中のランサムウェアグループの中で最も高い能力と持続性を持つグループの一つと位置づけられます」と研究者らは結論づけています。
Symantecは、組織が関連する攻撃を検出・対応できるよう支援するため、この活動に関連するセキュリティ侵害の指標(IoC)を公開しました。
翻訳元: https://www.helpnetsecurity.com/2026/06/16/dragonforce-microsoft-teams-malware-backdoor-turn/
