BroadcomのSymantecおよびCarbon Blackの脅威ハンターチームによると、最近のDragonForceランサムウェア攻撃で展開された新たなバックドアが、コマンド&コントロール(C&C)通信にMicrosoft Teamsのリレーサーバーを悪用していることが明らかになりました。
DragonForceグループは2023年から活動しており、カルテル構造で運営されています。近年は高度な技術を積極的に採用しており、組織としての成熟度と相当なリソースの投入がうかがえます。
Backdoor.Turnとして追跡されているこの新たなマルウェアはGoで記述されており、C&Cサーバーとの通信を巧妙な手法で正規のMicrosoft Teamsトラフィックに偽装します。
「Backdoor.Turnは、MicrosoftのSkypeベースのIDサービスから匿名のTeamsビジタートークンを取得し、正規のMicrosoft TURNリレーを使用して接続を確立した後、攻撃者の実際の[C&C]サーバーへのQUICセッションを実行します」と脅威ハンターチームは説明しています。
研究者らによると、このような形でTURNリレーインフラを悪用したマルウェアファミリーは、これが初めてとみられます。
「ランサムウェア攻撃者が独自のカスタムツールを使用するケースは比較的珍しく、Backdoor.Turnのような高度なカスタムツールを使用するケースは特に異例です」と研究者らは指摘しています。
このカスタムバックドアは、米国のサービス企業への攻撃で使用されました。同社はSQLまたはMSSQLサーバーの未知の脆弱性を突かれて侵害されたとみられており、DragonForceのオペレーターがアクセスブローカーから同社へのアクセス権を購入した可能性もあります。
SymantecとCarbon Blackによると、攻撃者は2025年12月に被害者のネットワークへアクセスし、DLLサイドローディングを利用してリモートサーバーから追加のマルウェアを取得するコードを実行しました。
攻撃者は持続性を確立し、侵害した環境へのアクセスを確保した上で偵察活動を実施しました。さらに、署名済みドライバーの既知の脆弱性を突くBYOVD(Bring Your Own Vulnerable Driver)戦略を巧みに活用し、カーネルレベルのアクセス権を獲得してセキュリティプロセスを終了させました。
また、データの暗号化と窃取を目的にDragonForceランサムウェアを展開するとともに、ランサムウェア展開後も侵害したシステムへの持続的なアクセスを維持するためにBackdoor.Turnマルウェアを使用しました。
このバックドアにより、脅威アクターはコマンドの実行、プロセスの作成、ネットワークスキャンおよびLDAP/ADマッピングの実施、窃取した認証情報を使った水平移動、感染システムにインストールされたブラウザからの認証情報の窃取といった操作が可能になります。
「今回のキャンペーンの攻撃者は、極めて高度なサイバー技術を駆使しています。Backdoor.Turnの設定により、セキュリティ製品からはC&CトラフィックがTeamsの正規サーバーに向かっているようにしか見えないため、悪意のある攻撃者によってデータが抜き取られていることに防御側が気付けない状況が生まれます」と研究者らは警告しています。
翻訳元: https://www.securityweek.com/microsoft-teams-relay-servers-abused-in-dragonforce-ransomware-attack/
